Autoruns w trybie offline

  • Article

Autoruns dostepny z Sysinternals jest naprawde fantastycznym narzedziem. Podczas ostatniego MVP Summit w Redmond, w ramach dyskusji z Markiem Russinovichem moglismy sie dowidziec jak od srodka wyglada walka z wylapywaniem kolejnych miejsc, w których mozna umiescic aplikacje uruchamiajaca sie w sposób niezalezny od woli uzytkownika. Autoruns wszystkie te miejsca przeglada i w jasny sposób pokazuje co i dlaczego wystartuje razem z systemem. W efekcie, dostajemy calkiem niezla bron do walki z typowym malwarem. Problem jednak pojawia sie w sytuacji, gdy ów automatycznie uruchamiany malware próbuje blokowac wszelkie narzedzia, mogace wspomóc uzytkownika w usuwaniu go. W takiej sytuacji, niezawodna metoda jest dostep offline. Skoro nie uruchamiamy systemu, to razem z nim nie uruchamiamy malware. A dane sa przeciez na dysku i mozna do nich siegnac na wiele róznych sposobów. O ile chodzi o pliki, to sprawa jest stosunkowo prosta – ich usuniecie po uruchomieniu na przyklad Windows PE jest operacja szybka i bezbolesna. Usunac lub zmienic klucz w rejestrze tez jest latwo – wystarczy z poziomu Windows PE podlaczyc odpowiednia galaz, zmodyfikowac odlaczyc i po restarcie jest juz dobrze. Klopot jednak w tym, ze galezi do sprawdzenia jest dosc duzo. Skoro w normalnie dzialajacym systemie Autoruns usprawnia prace, to i przy dostepie offline, skorzystanie z tego narzedzia moze oszczedzic sporo czasu. Dlatego, do sprawy mozna podejsc w nastepujacy sposób:

  • Przygotowac pendrive (ewentualnie plyte) z Autoruns
  • Uruchomic komputer z plyty instalacyjnej Windows 7 / 2008 R2
  • Nacisnac Shift+F10 aby uruchomic cmd.exe
  • Przy uzyciu "list vol" z narzedzia diskpart sprawdzic jakie literki przypisane sa do dysku systemowego i pendrive
  • Uruchomic Autoruns z pendrive
  • Z menu File wybrac "Analyze Offline System..."
  • Wprowadzic sciezke do badanego systemu Windows (przycisk "..." nie zadziala i trzeba wklepac samodzielnie)
  • Wprowadzic sciezke do profilu uzytkownika, u którego wystepuja podejrzane zjawiska
    image
  • Gotowe! Mozna teraz spokojnie przejrzec co badany system zechce sobie uruchomic przy najblizszym restarcie. Mozna oczywiscie czesc rzeczy (tylko z rozsadkiem i umiarem!) usunac lub wylaczyc.

Malware zostaje zabity.

Tak zupelnie na marginesie chcialbym zaznaczyc, ze opisana powyzej metoda dobra jest na komputerach domowych i dla wlasnej satysfakcji. Zainfekowane czymkolwiek komputery firmowe nalezy zaorac i zainstalowac od nowa. Troche to brutalne podejscie, ale jedyne naprawde bezpieczne.

Autor: Grzegorz Tworek [MVP]