Безопасность: OTL как эволюция HijackThis для более опытных пользователей

Все знают HijackThis и его основные возможности. Конечно, менее известным и гораздо более новым является программное обеспечение OTL, программа, которую можно добавить в свой «набор инструментов».

Самые «современные» вредоносные программы умеют прятаться от самых популярных программ безопасности и зачастую их компоненты уже не отображаются в журнале HijackThis. Поэтому для проведения аналитической деятельности полезно полагаться на другие программы, столь же бесплатные.

OTL — это программа, которая до сих пор мало используется в нашей стране, но способна вести полный журнал, максимально незаметно передавая любые вредоносные программы, присутствующие в сканируемой системе. Следует отметить, что это программное обеспечение, которое, по сути, предлагает диагностические возможности, но при этом включает некоторые инструменты для прямого устранения угроз.

Однако его использование рекомендуется только для опытных пользователей, способных понять значение каждого элемента.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Одна из самых интересных возможностей, предлагаемых OTL, состоит в сканировании пользовательского типа. Опираясь на эту функцию, можно создавать очень подробные окончательные отчеты, адаптируя их к конкретным потребностям.

OTL можно использовать после выполнения, например, сканирования с помощью Antimalware и Combofix от Malwarebytes, чтобы лучше понять, что происходит «за кулисами», и легче «найти» любое вредоносное ПО, которое все еще может присутствовать на машине.

Прежде чем приступить к использованию OTL, следует отметить, что в настоящее время (на момент написания этой статьи) используется пара антивирусных движков (CAT-Quickheal и eSafe; см. доступный анализ на VirusTotal) указывают исполняемый файл программы как зараженный. Очевидно, что это «ложные срабатывания», т.е. неверные отчеты из-за низкоуровневых проверок, которые может выполнять OTL.

Исполняемый файл OTL (программа не требует установки) доступен для скачивания нажмите здесь. Как мы уже указывали, в случае с другими программами могло случиться так, что в случае заражения системы вредоносная программа могла предотвратить запуск OTL, дважды щелкнув файл .exe. В этих ситуациях вы должны иметь возможность решить проблему, например, переименовав файл .exe с расширением .com или .scr (автор также делает доступными уже переименованные файлы: OTL.com е OTL.scr).

После запуска OTL в системах Windows 7 и Windows Vista вам придется ответить утвердительно, когда появится предупреждающее сообщение UAC. OTL представляет следующее окно:

Параметр «Использовать безопасный список» заставляет OTL использовать своего рода «белый список», содержащий более 600 файлов, разработанных Microsoft, которые, безусловно, считаются безопасными во время сканирования. Таким образом, эти элементы не будут отображаться в файле журнала.

Кнопка Быстрое сканирование позволяет запустить быстрое сканирование с настройками OTL по умолчанию (нажав на нее, вы заметите автоматическое изменение настроек ниже). Кнопка «Выполнить сканирование», с другой стороны, позволяет вам выполнять настраиваемое сканирование, действуя в соответствии с настройками, перечисленными в полях в главном окне. Этот режим сканирования способен учитывать, кроме того, любые детальные анализы, указанные в области Пользовательские сканирования/исправления.

В конце операции сканирования OTL создаст два файла журнала (OTL.txt и Extras.txt), хранящиеся в той же папке программы.

В логе, формируемом OTL, различные элементы, обнаруживаемые программой, разбиты, как и в случае с HijackThis, на несколько групп. Действительно, объекты, отмеченные кодами между O1 и O24, имеют то же самое значение, что и элементы, о которых сообщает HijackThis.

Вот другие коды, используемые для обозначения других элементов в итоговом отчете:

КНР — процессы
МОД — Модули
SRV — Услуги (группа O23 HijackThis)
ДРВ – Драйверы
IE — настройки Internet Explorer
ФФ — настройки файрфокса
O27 — параметры, связанные с открытием файлов изображений
O28 — Выполнение хуков оболочки
O29 — Поставщики услуг безопасности
O30 — Лса
O31 — SafeBoot (настройки, связанные с безопасным режимом Windows)
O32 — файлы «автозапуска» присутствуют на дисках
O33 — Точки крепления2
O34 — содержимое ключа «BootExecute» в реестре Windows
O35 — параметры, связанные с открытием и выполнением файлов оболочки .com и .exe.
O36 — DLL-файлы appcert
O37 — ассоциации файлов и связанные параметры

Более опытные пользователи могут передавать расширенные команды в OTL, используя поле Custom Scans/Fixes.

Вот некоторые примеры:
CREATERESTOREPOINT — позволяет создать точку восстановления Windows
%systemroot%system32filename.dll/md5 — позволяет получить MD5-подпись указанного файла (возможно указать один файл или их набор, используя подстановочные знаки). Полученную таким образом подпись MD5 можно использовать, например, для запроса VirusTotal (см. Эта страница) и иметь дальнейшие отзывы об опасности или, наоборот, о легитимности рассматриваемого файла.

Переключатель /lockedfiles (пример: %systemroot%system32*.dll/lockedfiles) вместо этого можно использовать для идентификации тех файлов, которые заблокированы операционной системой и для которых вычисление соответствующей MD5-сигнатуры невозможно.

Введя ключ реестра Windows, вы можете получить список содержащихся в нем значений. Указав следующее, например, можно установить, активирована служба Windows Update или нет (сбой применения обновлений безопасности) на исследуемой машине:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU.

С помощью области «Выборочные сканирования/исправления» также можно попросить OTL внести изменения в используемую систему, удалив файлы и папки, связанные с действием вредоносных программ, удалив службы и исправив системный реестр. Специальные команды — [EMPTYTEMP] ред. [EMPTYFLASH] — позволяет вам удалить кеш браузера, временные файлы, хранящиеся в используемой системе, и «Flash cookie»: с помощью двух команд OTL обычно требует перезагрузки Windows, чтобы также удалить временные файлы, используемые в настоящее время.

Команда [RESETHOSTS] он позволяет вам «сбросить» содержимое файла Windows HOSTS, если оно было изменено каким-либо вредоносным ПО.

В случае, если некоторые копии вредоносных программ были сохранены внутри предыдущих точек восстановления Windows, [CLEARALLRESTOREPOINTS] позволит вам удалить все существующие точки восстановления и создать новую после завершения очистки.

Для получения дополнительной информации вы можете обратиться к нашему форуму, а также на этой странице.
Напоминаем, что OTL отображает в своих отчетах как информацию, которая может быть связана с активностью вредоносного ПО, так и абсолютно безобидные элементы. Во избежание повреждения ваших систем OTL должны использовать только и исключительно самые опытные пользователи.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *