Kolejną grupą, którą napotkać można podczas analizy log'ów z HT są wpisy zaczynające się na literę F - F0, F1, F2, F3. Sekcja ta odpowiada za aplikacje i procesy uruchamiane automatycznie na podstawie wpisów w plikach system.ini i win.ini lub odpowiednich miejsc w Rejestrze.
Jeśli chodzi o wpisy z przedrostkiem F0, to sprawa jest prosta - wywalamy je praktycznie zawsze (chyba, że korzystamy z shell'a alternatywnego, wtedy F0 będzie odnosił się do niego [tyle, że wtedy pewnie rozpoznamy w tym miejscu aplikację, którą w tym celu instalowaliśmy]). F0 w log'u HijakThis odpowiada właśnie za shell w Windows. W pliku system.ini zobaczyć to możemy
odnajdując ciąg Shell=. Wpis ten określa, jaki program będzie pełnił rolę shell'a Windows. Jest on wykorzystywany w Win 9x i wcześniejszych. W skrócie, ten program ładuje pulpit, zarządza oknami i ogólnie pozwala użytkownikowi na interakcję z systemem operacyjnym. Program, do którego odnosi się wpis Shell=, zostanie automatycznie załadowany po starcie systemu i będzie pełnił funkcję domyślnego shell'a (jest też możliwość załadowania kilku plików w ten sposób - wtedy wyglądałoby to np.: Shell=explorer.exe inny_program.exe). Windows'y 95 i 98 standardowo jako shell'a używają Explorer.exe.
F1 z kolei odnosi się do pliku win.ini - konkretnie do wartości pojawiających się po ciągach: Run= i/lub Load= - tu również program, który pojawi się w tych miejscach, zostanie załadowany po starcie systemu. Wpis run= był wykorzystywany raczej przez Windows'y 3.1, 95 i 98, a pozwala na kompatybilność wsteczną ze starszymi
programami. Drugi wpis - load= jest używany do ładowania sterowników sprzętu. W przypadku F1, użytkownik musi sam określić, czy znajdujący się tutaj program powinien zostać usunięty, czy nie.
Przykłady wpisów z F0 i F1:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
F2 i F3, to odpowiedniki F0 i F1 z tą różnicą, że o ile poprzednie korzystały z plików .ini, tak te odnoszą się do
systemowego Rejestru, z którego korzystają Windows 2000, XP i NT. Te systemy nie używają już
praktycznie plików system.ini i win.ini, a funkcja kompatybilności została tutaj przechrzczona na IniFileMapping. Ładuje on zawartość plików .ini w Rejestr, każdej linii zapisanej w w/w plikach przyporządkowując pojedyńczy klucz. Uruchamiając więc program, który normalnie sprawdza ustawienia w pliku .ini, najpierw sprawdzany jest w Rejestrze klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping , w którym podane są miejsca, skąd mają zostać odczytane ustawienia.
Kolejnym wpisem, który można znaleźć w F2 jest UserInit. W systemach Win 2000, XP, NT i 2003
jest on związany z wpisem: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit . Zawarte są w nim wytyczne, jaki program ma zostać załadowany, po zalogowaniu się użytkownika do systemu. W nim znajdują się też informacje o profilu, uzywanych czcionkach, barwach, itp., które są przyporządkowane dla danego użytkownika. Standardowo program, który odpowiada temu kluczowi, znajduje się w systemowym folderze windows\system32\userinit.exe . W tym miejscu możliwe jest również dodanie kilku innych programów ładowanych przez ten klucz, oddzielając je po prostu przecinkami, np.: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\inny_program.exe . W ten sposób oba programy zostaną uruchomione przy starcie systemu, co może się okazać dobrym miejscem dla trojan'ów, spyware, itp.
Warto też pamiętać, że sam Fix na wpisach w HT nie wystarcza, aby usunąć podejrzany plik z dysku - jeśli więc zauważymy taki, to po usunięciu jego wpisu z listy HijackThis, powinniśmy namierzyć go np.: poprzez Start => Szukaj, bądź przez narzędzie do wyszukiwania w Total Commander i usunąć taki plik ręcznie.
Subskrybuj:
Komentarze do posta (Atom)
Brak komentarzy:
Prześlij komentarz