Исследование системы

Исследование системы

Previous pageReturn to chapter overviewNext page

Исследование системы - это функция, позволяющая изучить систему и сформировать HTML протокол, позволяющий обнаружить подозрительные файлы и программы. Исследование системы может применяться для  оперативного изучения системы и (или) последующей отправки протокола для анализа в конференции вирусологов.

Запуск исследования системы производится из меню "Файл / Исследование системы", при выполнении которого выводится диалоговое окно исследования системы.

Переключатели позволяют указать, какую информацию необходимо собрать в ходе исследования системы. По умолчанию все переключатели включены и сбор информации идет по максимуму.

На исследование системы оказывает влияние антируткит (поскольку нейтрализация перехватов может привести к отображению маскируемой руткитом информации) и наличие в системе драйвера расширенного мониторинга системы AVZPM.

 

Группа  параметров "Собираемая информация"

 

Переключатель "Запущенные процессы"

Если он включен, то в отчет исследования системы выводится таблица со списком процессов.

 

Переключатель "Библиотеки процессов"

Данный переключатель доступен, если включен переключатель "Запущенные процессы". Если он включен, то в отчет исследования системы выводится таблица со списком библиотек, используемых запущенными процессами. Поддерживается два вида списка - список DLL, совмещенный со списком процессов (после каждого процесса перечисляются его DLL) и список DLL в виде отдельной таблицы без повторов. Последний вариант выбран по умолчанию, т.к. список DLL без повторов гораздо компактнее (в этом списке есть столбец со списком PID процессов, использующих DLL)

 

Переключатель "Службы и драйверы"

Если он включен, то в отчет исследования системы выводится таблица со списком служб и драйверов изучаемого компьютера. Данная функция  не работает на Windows 9x

 

Переключатель "Модули пространства ядра"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей пространства ядра. Данная функция  не работает на Windows 9x

 

Переключатель "Автозапуск"

Если он включен, то в отчет исследования системы выводится таблица со списком автозапускаемых программ. Для каждого элемента автозапуска в примечаниях указано, каким образом он стартует.

 

Переключатель "Настройки SPI/LSP"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения SPI (NSP и TSP провайдеры)

 

Переключатель "Порты TCP/UDP"

Если он включен, то в отчет исследования системы выводится таблица открытых портов TCP/UDP (на Windows XP и 2003 выводится информация о прослушивающем порт приложении)

 

Переключатель "Модули расширения IE"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения Internet Explorer (BHO, панели и т.п.)

 

Переключатель "Модули расширения проводника"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения проводника (explorer.exe). Модули расширения проводника регистрируются в системном реестре и известны вредоносные программы, регистрирующие себя как расширение проводника для обеспечения своего скрытного запуска

 

Переключатель "Модули расширения системы печати"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения ссистемы печати - мониторы печати, провайдеры печати. Модуль расширения является обычной библиотекой DLL и известен ряд троянских программ, применяющих такой метод автозапуска.

 

Группа  параметров "Параметры"

 

Переключатель "Исключить из протокола файлы, опознанные как безопасные"

Если он включен, то из отчета исследования системы исключаются все файлы, опознанные по базе безопасных. В большинстве случаев включение данной опции приводит к существенному сокращению размера протокола и упрощению его анализа.

 

Переключатель "Добавить протокол последнего сканирования AVZ"

Если он включен, то к протоколу исследования системы добавляется текущий протокол AVZ, сформированный в ходе последнего сканирования. Включение данной опции удобно в случае необходимости отправки протокола вместе с результатами исследования системы.

 

Переключатель "Создать ZIP архив с протоколом исследования системы"

Если данный переключатель включен, то помимо протоколов исследования автоматически создается архив формата ZIP, содержащий протокол исследования. Эта опция удобна в случае, если протокол необходимо отправить по почте или поместить в конференцию.

 

Переключатель "Добавить в протокол интерактивные элементы для генерации скриптов"

Включение данного переключателя приводит к добавлению в протокол интерактивных элементов, позволяющих полуавтоматически создавать скрипты. Следует учесть, что при открытии такого протокола в IE может  выводиться сообщение системы безопасности о том, что документ содержит активные элементы. Если не разрешить их использование, то протокол откроется, но интерактивные функции в нем будут недоступны.

 

Переключатель "Создать XML протокол для автоматического анализа"

Включение данного переключателя приводит к созданию XML файла, дублирующего HTML протокол. XML файл предназначен для использования в автоматических анализаторах протоколов.

 

Кнопка "Пуск"

Кнопка пуск запускает исследование системы. Перед началом исследования запрашивается имя файла для сохранения протокола. После выбора имени файла проводится исследование системы, формируется файл протокола и выводится запрос на просмотр протокола. В случае согласия пользователя протокол открывается в браузере, применяемом в системе по умолчанию.

 

Кнопка "Закрыть"

Закрывает окно исследования

 

На заметку:

Следует учитывать, что наличие в системе антивирусного монитора может замедлить исследование и оно может длиться от 1-2 до 5 минут. Типовое время формирования составляет не более 30 сек. В процессе исследования в нижней части окна выводится прогресс-индикатор.

 

На заметку:

Перед запуском исследования системы рекомендуется:

1. Закрыть все неиспользуемые программы

2. Запустить браузер - это позволит анализатору изучить загруженные в его адресное пространство библиотеки.

3. Во время исследования системы не рекомендуется запускать и завершать программы, как-то работать с системой - это может повлиять на результаты анализа.