Система обнаружения и лечения руткита

 

Полезная модель относится к антивирусным средствам и более конкретно к средствам обнаружения руткита. Техническим результатом является повышение эффективности обнаружения присутствия руткита в компьютерной системе. Система включает в себя средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.

Область техники

Настоящая полезная модель относится к компьютерным системам и более конкретно к системе для обнаружения и лечения руткита.

Уровень техники

Руткитом называется набор программного обеспечения, который часто используется посторонними (обычно это злоумышленник) для того, чтобы, получив доступ к компьютерной системе, скрывать запущенные процессы, файлы или системные данные, которые позволяют злоумышленнику иметь доступ к системе при незнании об этом самим пользователем. Известно на данный момент, что руткиты существуют на различных опериционных системах, таких как Linux, Solaris и различные версии Microsoft Windows. Компьютер, зараженный руткитом, часто называют "руткитованным".

Сам термин "руткит" (также пишется как "рут кит") изначально относится к набору перекомпилированных Unix-команд, таких как

"ps", "netstat", "w" и "passwd", которые тщательно скрывают любые следы злоумышленника, которые обычно отображают эти команды. Таким образом, злоумышленник может иметь доступ "рут" в системе, при этом системный администратор не будет иметь об этом ни малейшего понятия. Сейчас этот термин уже относится не только к Unix системам, так как есть команды, которые выполняют похожие функции не только для Unix систем, а также, например, для Microsoft Windows (даже если эти операционные системы не имеют "рут" доступа).

Руткит обычно скрывает логины, процессы, трэды, ключи реестра, файлы и логи, а также может включать различное программное обеспечение для перехвата данных с терминалов, сетевых подключений и с клавиатуры.

Руткиты бывают трех различных типов: руткиты уровня ядра, библиотек и приложений. Руткиты уровня ядра добавляют дополнительный код и/или заменяют часть кода ядра на свой код для того, чтобы скрыть нелегальный доступ к системе. Это часто делается с помощью добавления нового кода в ядро с помощью драйвера устройства или загрузочного модуля, таких как подгружаемые модули ядра в Linux или драйверы устройств в Microsoft Windows. Руткиты уровня библиотек обычно изменяют или заменяют системные вызовы такими, которые скрывают информацию о нарушителе. Руткиты уровня приложений могут заменять обычные исполняемые файлы подделками с "троянами" или же могут изменять функциональность существующих, используя различные заплатки, внедряемые части кода и пр. Руткиты уровня ядра могут быть особенно опасными, так как их тяжело обнаружить без соответствующего программного обеспечения.

Руткиты обычно сохраняются на диске для активации после перезапуска системы и являются скрытыми для операционной системы во время запросов к файловой системе. Руткиты тяжело обнаружить по той причине, что они активируются до того, как операционная система полностью загрузится, при этом, часто позволяя установить скрытые файлы, процессы и учетные записи пользователей в операционную систему. Руткиты обычно встраиваются в процессы операционной системы похожим способом, что и фильтры, что не позволяет обычным средствам обнаружения найти скрытое программное обеспечение.

Одной из сложностей обнаружения руткитов является тот факт, что в отличие от вирусов руткиты обычно сами себя активируют, когда загружается операционная система, при этом сами руткиты приобретают системные привилегии. Также руткиты предпринимают действия, чтобы скрыть свое присутствие для того, чтобы традиционные антивирусные механизмы не смогли их обнаружить. Например, типичная антивирусная программа делает вызов системной функции для распознавания запущенных процессов. Руткит перехватывает этот вызов и возвращает антивирусу свой список процессов, где сам процесс руткита отсутствует. К тому же руткит обычно скрывает файлы, в которых он хранится, от традиционных антивирусных механизмов, которые проверяют файлы с использованием вирусных сигнатур. Другими словами файлы, в которых хранится руткит, никогда не проверяются антивирусом, что делает обнаружение и лечение руткитов особенно трудной задачей.

В рамках операционной системы Microsoft Windows руткит работает, перехватывая системные вызовы (через так называемый Windows API или интерфейс программирования приложений).

Перехват и изменение низкоуровневых API-функций являются механизмом, который использует руткит для скрытия своего присутствия в системе. Более того, руткит может скрыть присутствие в системе любого своего описания в настройках процессов, файлах и папках, ключах реестра и т.д. Многие руткиты включают свои собственные драйверы и сервисы в систему, которые также оказываются скрыты. Патент US 7032114 описывает метод обнаружения руткита, в котором сравниваются начальный и конечный образец системы для того, чтобы обнаружить наличие в ней руткита.

Публикация US 2006/0168352 описывает стандартный подход к лечению сетевого узла, где формируются начальный и последующий образ системы, сделанный после перезагрузки, после чего происходит сравнение этих образов.

Патент US 6792556 описывает стандартный подход к обнаружению вирусов и восстановлению компьютера после заражения вирусом во время загрузки. В этом методе делается образ системы, который сохраняется в файл. После этого во время загрузки системы сравниваются загрузочные записи с образом системы, считанным из файла. После сравнения - если обнаружен вирус - то система восстанавливается из первоначального безопасного образа. Более того, в рамках данного патента при создании образа могут использоваться контрольные суммы.

Тем не менее, большинство стандартных систем не могут быть использованы для обнаружения руткитов в силу их особенностей. Более того, большинство стандартных систем не гарантируют обнаружения большей части руткитов, которые скрывают свое присутствие, даже если используется сигнатурное сравнение.

Следовательно, техническим результатом данной полезной модели является предоставление системы, которая обеспечивает более эффективное обнаружение руткитов.

Сущность полезной модели

Соответственно, настоящая полезная модель относится к системе для обнаружения руткитов, которые устраняют один или более недостатков соответствующего уровня техники.

Система для обнаружения руткита на компьютере, которая содержит: средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.

В частном варианте выделенные файлы включают также системные службы.

Еще в одном частном варианте операционной системой является WINDOWS.

В другом частном варианте операционная система WINDOWS может быть как 32, так и 64-разрядной.

Еще в одном частном варианте упомянутое средство для создания первого образа выполнено с возможностью создания первого образа после обнаружения флага SERVICE_BOOT_START.

Еще в одном частном варианте упомянутое средство для создания первого образа и упомянутого средства для создания второго образа выполнены с возможностью создания первого и второго образов соответственно с использованием ключа HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute.

Краткое описание прилагаемых чертежей

Сопровождающие чертежи, которые включены сюда для обеспечения дополнительного понимания полезной модели, включены в и составляют часть этого описания, показывающего варианты осуществления полезной модели, и совместно с описанием служат для объяснения принципов работы полезной модели.

На фиг.1 изображена схема, которая иллюстрирует возможное воплощение полезной модели.

На фиг.2а и 2б изображены схемы создания и использования образов.

На фиг.3 показана блок-схема заявленной системы.

Подробное описание предпочтительных вариантов осуществления

Теперь будут сделаны ссылки на подробные предпочтительные варианты осуществления настоящей полезной модели, примеры которой показаны на сопровождающих чертежах.

Как отмечено выше, практически все современные компьютеры используют операционные системы для управления различными функциями. На данный момент наиболее популярной операционной системой является Microsoft Windows, множество версий которой включает Windows NT 4.0, Windows 2000, Windows 2003, Windows XP (включая 64-разрядную версию). Windows Vista (включая 64-разрядную версию), Windows CE, Xbox OS и т.д. Настоящая полезная модель предназначена для работы, по крайней мере, во всех текущих и будущих версиях операционной системы Microsoft Windows. Также специалисту в уровне техники должно быть понятно, что описанные здесь идеи могут быть также применены к другим операционным системам.

Как уже было сказано, операционная система Windows уязвима для заражения руткитом, поэтому ниже рассматривается подход к решению проблемы по обнаружению руткита в данной системе.

Создание образа обычно подразумевает копирование сектора за сектором целой файловой системы, т.е. всей служебной информации и данных. Если файловая система активна в текущий момент, то копируемые файлы могут быть изменены во время копирования, а некоторые файлы могут быть открыты для редактирования или

наоборот закрыты. В самом простом случае операции со всей файловой системой приостанавливаются на некоторый промежуток времени и в это время происходит создание образа. Конечно, такой подход неприменим к серверам, которые постоянно используют свои файловые системы.

Как показано на фиг.3, где изображена блок-схема, которая иллюстрирует возможное воплощение полезной модели. Предложенная система содержит средство 301 для создания первого образа для выделенных файлов операционной системы и реестра, средство 302 для постоянного хранения первого образа, полученного средством 301 для создания первого образа; средство 303 для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство 304 для сравнения первого образа, полученного из упомянутого средства 302 постоянного хранения, и второго образа, полученного от средства 303 создания второго образа; средство 305 для выдачи сообщения пользователю о заражении руткитом по результатам сравнения, полученным от упомянутого средства 304 сравнения.

Средство 305 для выдачи сообщения выдает это сообщение в случае неравенства первого и второго образов. В данном случае неравенство первого и второго образов означает обнаружение скрытых файлов и веток реестра, т.е. наличия в компьютере руткита.

Кроме того, необходимо отметить, что средство 301 выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов, а именно, после обнаружения флага SERVICE_BOOT_START.

На фиг.1 показан алгоритм работы заявленной системы. На этапе 102 начинается процесс загрузки операционной системы на компьютере. На этапе 104 загружаются загрузочные драйвера. Загрузочными драйверами являются драйвера устройств, которые обеспечивают минимальный уровень функциональности - это драйвера графического адаптера, клавиатуры, мыши и жесткого диска. На этапе 106 средство 301 создает первый образ. Средство 301 предназначено для работы на нулевом уровне процессоров Intel после запуска системы, загрузки драйверов и старта служб. Службы в операционной системе Microsoft Windows являются аналогами демонов в системе UNIX. Полученный первый образ из средства 301 передается в средство 302 для постоянного хранения.

На этапе 108 операционная система завершает процесс загрузки и как раз в этот момент руткит имеет возможность провести собственную инициализацию. На этапе 110 средство 303 создает второй образ, который сравнивается в средстве 304 сравнения с первым образом, полученным из средства 302, на этапе 112. Если средство 304 устанавливает, что образы идентичны, то на этапе 114 средство 305 выдачи сообщения выводит заключение об отсутствии в компьютере руткита и об этом информирует пользователя. В том случае, если образы не совпадают, то средство 305 выдает сообщение о наличии руткита в компьютере и на этапе 116 происходит перезагрузка компьютера. На этапе 118 загружаются загрузочные драйвера, а после этого, на этапе 120, средство 301 создает новый первый образ системы. На этапе 122 происходит лечение руткита и процесс возвращается к этапу 108.

Как показано на фиг.1, первый образ операционной системы создается в тот момент, когда загружены загрузочные драйвера с флагом SERVICE_BOOT_START, но до того момента как запущены системные службы с флагом SERVICE_SYSTEM_START. To есть первый образ создается еще до запуска подсистемы Win32. Также стоит отметить, что первый образ формируется с помощью ключа HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperation.

Этот образ включает по крайней мере ветки реестра, которые отвечают за запуск драйверов, удаление и переименование файлов (например HKLM\System\CurrentControlSet\Services), подсчет контрольной суммы файлов и т.д. Специалисту в уровне техники также станет очевидно, что в образ может входить и иная информация.

После создания первого образа системы он сохраняется с помощью средства 302 постоянного хранения, таким как жесткий диск, флэш-память, кассета, DVD диск и т.д. После загрузки операционной системы можно создавать образ ее текущего состояния. Второй образ системы создается таким же образом что и первый, и должен содержать те же данные - в том случае, если руткит не заразил операционную систему. Как только второй образ системы создан, его можно будет сравнить с первым и на основе сравнения сделать заключение. Если нет никаких различий между образами, то в системе отсутствует руткит и она может загружаться и дальше. Различие между образами говорит о том, что система заражена руткитом и ее можно восстановить, например, из ранее созданной безопасной копии.

В качестве опции в интервале между созданием первого и второго образов можно использовать журнал со списком загруженных,

измененных и/или удаленных файлов, а также списком измененных значений реестра. Журнал может выглядеть следующим образом:

[time] Explorer.EXE - create section for execute<path>\avp.exe - SUCCESS

[time] Explorer.EXE [pid] - Process Create:<path>\avp.exe [pid] - SUCCESS

[time] avp.exe [pid] - Thread Create [tid] - SUCCESS

[time] avp.exe [pid] - RegSetValue -

Key:"HKCU\Software\Microsoft\Windows\CurrentVersion\Run", Value "avp",

Type: REG_SZ, Data: "<path>\avp.exe" - SUCCESS

Средства 301 и 303 создания первого и второго образов могут создавать образ, используя контрольные суммы, хэши или другие похожие односторонние функции. Каждый драйвер, например, обычно хранится в виде файла, доступного для операционной системы. Контрольную сумму (например, хэш) эти средства 301 и 303 могут генерировать для каждого такого файла драйвера. Заметим, что в случае использования таких односторонних функций как функции хэширования или другие криптографические функции, контрольные суммы надежно шифруются, при этом только сам пользователь имеет ключ для последующего сравнения или создания образа. Таблица 1 ниже показывает пример образа с 4 драйверами, обозначенными как А1-А4, отвечающими файлам для драйверов, обозначенными как FA1-FA4, и 4 соответствующими контрольными суммами, обозначенными как НА1-НА4:

Название драйвераНазвание файла драйвераКонтрольная сумма файла драйвера
А1FA1 НА1

А2FA2 НА2
A3FА3НА3
А4 FA4НА4

Если второй образ имеет те же значения НА 1-НА4, то средство сравнения 304 может заключить, что операционная система не заражена руткитом и может продолжить процесс загрузки.

Но возникает другая ситуация, когда второй образ отличается от первого, как, например, на нижеприведенной таблице:

Название драйвераНазвание файла драйвераКонтрольная сумма файла драйвера
А1FA1 НА1
А4FA4НА4' (НА4' !=НА4)

Как можно видеть из этого образа, драйверы А2 и A3 либо удалены, либо скрыты, а файл FA4, содержащий драйвер А4, был изменен. В этом случае есть большая вероятность того, что произошло заражение руткитом, и требуется загрузить операционную систему с заранее созданной безопасной копии.

Пример образа 1':

Название драйвераНазвание файла драйвераКонтрольная сумма файла драйвера
А1FA1 НА1

A3FА3 НА3
А4FA4НА4'

Сравнивая результаты образов 1, 2 и 1', средство 304 сравнения может заключить, что драйвер А2 был действительно удален, файл драйвера А4 был изменен, а драйвер A3 скрывает факт своего присутствия в системе и, следовательно, это почти наверняка руткит. Следует удалить драйвер из реестра, а соответствующий ему файл должен быть либо удален, либо помещен в карантин.

В вышерассмотренном примере приведены только 4 драйвера, хотя специалисту в уровне техники должно быть понятно, что полезная модель не ограничена 4 драйверами и похожим образом можно работать с любым их количеством.

Фиг.2а и 2б показывают в виде диаграмм создание и использование образов. Как показано на фиг.2а, у компьютера выделена часть памяти, обычно обозначаемая как пространство ядра, в котором расположены операционная система с драйверами и службами. Пространство ядра обозначено как 202 на фиг.2а. Обычно, исходя из архитектуры Intel, код, который выполняется в пространстве ядра, работает на нулевом уровне. Схема уровней в архитектуре Intel выглядит как 0-1-2-3, где нулевой - самый привилегированный.

Как показано на фиг.2а, пространство ядра 202 содержит код для различных служб 240, реестра 218 и загрузочных драйверов 206. Исходное приложение, о котором шла речь выше, также расположено в пространстве ядра 202. Загрузочные драйвера 206 используются для взаимодействия с сетевой картой 224, монитором 226, клавиатурой 228 и мышью 230. Исходное приложение использует файлы драйверов 222, которые обычно хранятся на локальном жестком диске или другом хранилище данных, для генерации контрольных сумм 216. Для генерации контрольных сумм 216 также используются значения реестра 218. Все вместе это составляет данные образа 1, который формируется средством 301 создания первого образа.

Фиг.2б показывает ситуацию, когда в системе присутствует руткит 208. Там также изображены два приложения, 216А и 216N, которые работают в так называемом пространстве пользователя или на третьем уровне. Руткит 206 вносит изменения в реестр 204, файловую систему 210 и возможно другие части компьютерной системы. После подсчета контрольных сумм и создания второго образа 214 с помощью средства 301 создания первого образа и средства 303 создания второго образа, средство 304 сравнения может сравнивать (как показано на 232) два получившихся образа, образ 1 и образ 2, используя побитовое или побайтовое сравнение. В результате этого сравнения можно обнаружить скрытые файлы и тем самым выявить наличие руткита 208 в системе.

Ниже приведен типичный набор файлов, характерный для операционной системы Win32:

Ветки реестра:

HKCR\exefile\shell\open\command

HKCR\exefile\shell\runas\command

HKCR\comfile\shell\open\command

HKCR\comfile\shell\runas\command

HKCR\piffile\shell\open\command

HKCR\piffile\shell\runas\command

HKCR\batfile\shell\open\command

HKCR\batfile\shell\runas\command

HKCR\htafile\shell\open\command

HKCR\htafile\shell\runas\command

HKCR\cmdfile\shell\open\command

HKCR\cmdfile\shell\runas\command

HKCR\scrfile\shell\open\command

HKCR\scrfile\shell\runas\command

HKCR\txtfile\shell\open\command

HKCR\txtfile\she]l\runas\command

HKCR\regfile\shell\open\command

HKCR\regfile\shell\runas\command

HKCR\*file\shell\open\command

HKCR\*file\shell\runas\command

*\Software\Microsoft\Windows NT\Current Version\AEDebug\Debugger

*\Software\Microsoft\Windows NT\Current Version\Winlogon\Shell

*\Software\Microsoft\Windows NT\Current Version\Winlogon\UserInit

*\Sofbvare\Microsoft\Windows NT\Currcnt Version\Windows\Run

*\Software\Microsoft\Windows*\Current Version\Windows\Load

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Taskman

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\System

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Notify\*\DllName

*\Software\Microsoft\Windows*\Current Version\Run*\*

HKCU\Software\Mirabilis\ICQ\Agent\Apps\*

HKLM\System\Control Set???\Services\*\Parameters\Service Dll

HKLM\System\Control Set???\Services\*\Image Path

HKLM\System\Control Set???\Services\VXD\*\Static VxD

HKLM\system\control set???\control\Session Manager\Boot Execute

HKLM\System\control set???\Control\MPRServices\*\DLL Name

HKLM\System\Current Control Set\Services\VXD\*\Static VxD

HKLM\system\Current control set\control\Session Manager\Boot Execute

HKLM\System\Current Control Set\Control\MPR Services\*\DLL Name

HKLM\Software\Microsoft\Active Setup\Installed Components\*\StubPath

HKLM\Software\Microsoft\Windows NT\Current Version\WOW\BOOT\*

HKLM\Software\Microsoft\Windows NT\Current Version\Drivers\*

HKLM\Software\Microsoft\Windows NT\Current Version\Drivers32\*

HKLM\Software\Microsoft\Windows NT\Current Version\Windows\AppInit_DLLs

*\SOFTWARE\Microsoft\Windows\Current Version\Shell Service Object Delay Load\*

HKLM\SOFTWARE\Microsoft\VBA\Monitors\*\CLSID

HKCU\Control Panel\Desktop\SCRNSAVE.EXE

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shared Task Scheduler\*

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks\*

*\Software\Policies\Microsoft\Windows\System\Scripts\*

*\Software\Microsoft\Windows\Current Version\policies\Explorer\Run\*

*\Software\Microsoft\Windows\Current Version\Policies\System\Shell

HKLM\Software\Microsoft\Windows\Current Version\Shell Extensions\Approved\*

*\Software\Microsoft\Command Processor\Auto Run HKLM\Software\Microsoft\Internet Explorer\Toolbar\*

*\Software\Microsoft\Internet Explorer\MenuExt\*

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.exe\*

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.com\*

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.bat\*

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.pif\*

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects\*

HKLM\Software\Microsoft\Windows\Current Version\App Paths\*\*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Image

File Execution Options\*\Debugger

*\SOFTWARE\Microsoft\Internet Explorer\Extensions\*\*

*\SOFTWARE\Microsoft\Internet Explorer\Extensions\*

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*\Contains\Files\*

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*

Средства 301 и 303 подсчитывают контрольные суммы для следующих файлов:

c:\autoexec.bat

%System Drive%\autoexec.bat

c:\config.sys

%System Drive%\config.sys

Winstart.bat

win.ini

system, ini

*:\autorun.inf

Также контрольные суммы генерируются средствами 301 и 303 для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).

Далее приведен типичный набор файлов, характерный для операционной системы Win64:

Просматриваются следующие ветки реестра:

- HKCU\Software\Microsoft\Windows\Current Version\Run

- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run

- HKLM\Software\Microsoft\Windows\Current Version\Run

- HKLM\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run

Run Once - related branches:

- HKCU\Software\Microsoft\Windows\Current Version\Run Once

- HKCU\Software\Microsoft\Windows\Current Version\Run Once Ex

- HKLM\Software\Microsoft\Windows\Current Version\Run Once

- HKLM\Software\Microsoft\Windows\Current Version\Run Once Ex

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once Ex

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex

CLSIDs - related branches:

- HKCU\Software\Classes\CLSID

- HKLM\Software\Classes\CLSID

- HKCU\Software\Classes\Wow6432Node\CLSID

- HKLM\Software\Classes\Wow6432Node\CLSID

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\CLSID

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\CLSID

Search - related branches:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Search

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Mnternet Explorer\Search

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search Url

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search Url

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search Url

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search Url

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\Search Url

ActiveX load and installation - related branches:

- HKLM\Software\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Code Store Database\Distribution Units

- HKLM\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units Drivers:

- HKLM\System\Current Control Set\Services Context Menu Handlers - - related branches:

- HKCU\Software\Classes\*\shellex\Context Menu Handlers

- HKLM\Software\Classes\*\shellex\Context Menu Handlers

- HKCU\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers

- HKLM\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\*\shellex\Context Menu Handlers

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers

Browser Helper Object:

- HKCU\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects Shell Execute Hooks:

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks

Name Server Protection:

- HKLM\System\Current Control Set\Services\Tcpip\Parameters Screen Saver:

- HKCU\Control Panel\Desktop Lsp:

- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Protocol_Catalog 9\Catalog_Entries

- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Name Space_Catalog5\Catalog_Entries

Ini File Mapping:

- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot

- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini

- HKLM\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot

- HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini

IE About:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\About URLs

- HKLM\SOFTWARE\Microsoft\Internet Explorer\About URLs

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\About URLs

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\About URLs

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\About URLs IE Explorer Bars:

- HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

- HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\ Internet Explorer\Explorer Bars Restrict Run:

- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Restrict Run Shell Open Command:

- HKCU\Software\Classes\batfile\shell\open\command

- HKCU\Software\Classes\batfile\shell\runas\command

- HKCU\Software\Classes\comfile\shell\open\command

- HKCU\Software\Classes\exefile\shell\open\command

- HKCU\Software\Classes\ftp\shell\open\command

- HKCU\Software\Classes\htafile\shell\open\command

- HKCU\Software\Classes\htmlfile\shell\open\command

- HKCU\Software\Classes\http\shell\open\command

- HKCU\Software\Classes\https\shell\open\command

- HKCU\Software\Classes\mailto\shell\open\command

- HKCU\Software\Classes\mp3file\shell\open\command

- HKCU\Software\Classes\mpegfile\shell\open\command

- HKCU\Software\Classes\piffile\shell\open\command

- HKCU\Software\Classes\txtfile\shell\open\command

- HKCU\Software\Classes\cmdfile\shell\open\command

- HKCU\Software\Classes\regfile\shell\open\command

- HKCU\Software\Classes\scrfile\shell\open\command

- HKCU\Software\Classes\vbsfile\shell\open\command

- HKLM\Software\Classes\batfile\shell\open\command

- HKLM\Software\Classes\batfile\shell\runas\command

- HKLM\Software\Classes\comfile\shell\open\command

- HKLM\Software\Classes\exefile\shell\open\command

- HKLM\Software\Classes\ftp\shell\open\command

- HKLM\Software\Classes\htafile\shell\open\command

- HKLM\Software\Classes\htmlfile\shell\open\command

- HKLM\Software\Classes\http\shell\open\command

- HKLM\Software\Classes\https\shell\open\command

- HKLM\Software\Classes\mailto\shell\open\command

- HKLM\Software\Classes\mp3file\shell\open\command

- HKLM\Software\Classes\mpegfile\shell\open\command

- HKLM\Software\Classes\piffile\shell\open\command

- HKLM\Software\Classes\txtfile\shell\open\command

- HKLM\Software\Classes\cmdfile\shell\open\command

- HKLM\Software\Classes\regfile\shell\open\command

- HKLM\Software\Classes\scrfile\shell\open\command

- HKLM\Software\C lasses\vbsfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\batfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\batfile\shell\runas\command

- HKCU\Software\Classes\Wow6432Node\comfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\exefile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\ftp\shell\open\command

- HKCU\Software\Classes\Wow6432Node\htafile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\htmlfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\http\shell\open\command

- HKCU\Software\Classes\Wow6432Node\https\shell\open\command

- HKCU\Software\Classes\Wow6432Node\mailto\shell\open\command

- HKCU\Software\Classes\Wow6432Node\mp3file\shell\open\command

- HKCU\Software\Classes\Wow6432Node\mpegfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\piffile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\txtfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\cmdfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\regfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\scrfile\shell\open\command

- HKCU\Software\Classes\Wow6432Node\vbsfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\batfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\batfile\shell\runas\command

- HKLM\Software\Classes\Wow6432Node\comfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\exefile\shell\open\command

- HKLM\Software\C lasses\Wow6432Node\ftp\shell\open\command

- HKLM\Software\Classes\Wow6432Node\htafile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\htmlfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\http\shell\open\command

- HKLM\Software\Classes\Wow6432Node\https\shell\open\command

- HKLM\Software\Classes\Wow6432Node\mailto\shell\open\command

- HKLM\Software\Classes\Wow6432Node\mp3file\shell\open\command

- HKLM\Software\Classes\Wow6432Node\mpegfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\piffile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\txtfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\cmdfile\shell\open\comrnand

- HKLM\Software\Classes\Wow6432Node\regfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\scrfile\shell\open\command

- HKLM\Software\Classes\Wow6432Node\vbsfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\runas\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\comfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\exefile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\ftp\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htafile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htmlfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\http\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\https\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mailto\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mp3file\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mpegfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\piffile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\txtfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\cmdfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\regfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\scrfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\vbsfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\runas\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \comfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHlNE\Software\Classes\Wow6432Node\exefile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\ftp\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htafile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htmlfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \http\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHrNE\Software\Classes\Wow6432Node\https\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mailto\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mp3file\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mpegfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\piffile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\txtfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\cmdfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\regfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\scrfile\shell\open\command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\vbsfile\shell\open\command

User Shell Folders:

- HKCU\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders

IE Main:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Main

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Main

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Main

IE Extensions:

- HKCU\Software\Microsoft Internet Explorer\Extensions

- HKLM\Software\Microsoft\Internet Explorer\Extensions

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Extensions

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Extensions

IE Plugin:

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft Internet Explorer\Plugins\Extension

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension

IE Menu Extension:

- HKCU\Software\Microsoft\Internet Explorer\MenuExt

IE Toolbar:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar

- HKLM\Software\Microsoft\Internet Explorer\Toolbar

- HKLM\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Toolbar

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar

IE Shell Browser:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser

IE Uri Search Hooks:

- HKCU\Software\Microsoft\Internet Explorer\Url Search Hooks

- HKLM\Software\Microsoft\Internet Explorer\Url Search Hooks

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Url Search Hooks

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Url Search Hooks

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Url

Search Hooks

IE Web Browser:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Web Browser Safe Boot:

- HKLM\System\Current Control Set\Control\Safe Boot\Minimal

- HKLM\System\Current Control Set\Control\Safe Boot\Network

Autorun:

- HKCU\Software\Microsoft\Command Processor

- HKLM\Software\Microsoft\Command Processor

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Command Processor

- HKLM\Software\Wow6432Node\Microsoft\Command Processor

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Command Processor

Контрольные суммы подсчитываются для следующих файлов:

%SystemRoot%\System32\drivers\*.sys

%SYSTEMROOT%\System32\Tasks (Task Scheduler)

%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup

(Startup Folder)

С:\autoexec.bat

%SystemDrive%\autoexec.bat

c:\config.sys

%SystemDrive%\config.sys

Winstart.bat

win.ini

system.ini

*:\autorun.inf

Также контрольные суммы генерируются для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).

Имея вышеописанные предпочтительные варианты осуществления, специалисту в уровне технике будет очевидно, что будут достигнуты конкретные преимущества описанного способа и устройства. Следует также учитывать, что различные модификации, адаптации и альтернативные варианты осуществления могут быть сделаны в объеме и сущности настоящей полезной модели. Кроме того, полезная модель определяется следующей формулой.

1. Система для обнаружения руткита на компьютере, которая содержит:

средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов;

средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа;

средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов;

средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа;

средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.

2. Система по п.1, в которой выделенные файлы включают также системные службы.

3. Система по п.1, в которой операционной системой является WINDOWS.

4. Система по п.3, в которой операционная система WINDOWS может быть как 32, так и 64-разрядной.

5. Система по п.1, в которой упомянутое средство для создания первого образа выполнено с возможностью создания первого образа после обнаружения флага SERVICE-BOOT-START.

6. Система по п.1, в которой упомянутое средство для создания первого образа и упомянутого средства для создания второго образа выполнены с возможностью создания первого и второго образов соответственно с использованием ключа HKLM/SYSTEM/Current Control Set/Control/Session Manager/Boot Execute.



 

Похожие патенты:

Изобретение относится к автоматизированным системам управления и может быть использовано для управления производственно-технологическими процессами предприятия газовой или нефтяной промышленности с управлением затратами по месту их возникновения

Тренажер // 106124
Наверх