RU77472U1 - RUTKIT DETECTION AND TREATMENT SYSTEM - Google Patents

RUTKIT DETECTION AND TREATMENT SYSTEM Download PDF

Info

Publication number
RU77472U1
RU77472U1 RU2008107129/22U RU2008107129U RU77472U1 RU 77472 U1 RU77472 U1 RU 77472U1 RU 2008107129/22 U RU2008107129/22 U RU 2008107129/22U RU 2008107129 U RU2008107129 U RU 2008107129U RU 77472 U1 RU77472 U1 RU 77472U1
Authority
RU
Russia
Prior art keywords
software
classes
hkcu
shell
microsoft
Prior art date
Application number
RU2008107129/22U
Other languages
Russian (ru)
Inventor
Андрей Владимирович Собко
Original Assignee
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского"
Priority to RU2008107129/22U priority Critical patent/RU77472U1/en
Application granted granted Critical
Publication of RU77472U1 publication Critical patent/RU77472U1/en

Links

Landscapes

  • User Interface Of Digital Computer (AREA)

Abstract

Полезная модель относится к антивирусным средствам и более конкретно к средствам обнаружения руткита. Техническим результатом является повышение эффективности обнаружения присутствия руткита в компьютерной системе. Система включает в себя средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.The utility model relates to antivirus tools and more specifically to rootkit detection tools. The technical result is to increase the detection efficiency of the presence of a rootkit in a computer system. The system includes a tool for creating the first image for the selected operating system and registry files, while this tool is configured to create the first image after loading the boot drivers, but before loading all the other drivers; means for permanently storing the first image obtained by said means for creating the first image; means for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; means for issuing a message to the user about a rootkit infection of the computer according to the comparison results received from the said means of comparison, while the means for issuing a message is configured to issue this message in case of inequality of the first and second images.

Description

Область техникиTechnical field

Настоящая полезная модель относится к компьютерным системам и более конкретно к системе для обнаружения и лечения руткита.The present utility model relates to computer systems and more particularly to a system for detecting and treating rootkits.

Уровень техникиState of the art

Руткитом называется набор программного обеспечения, который часто используется посторонними (обычно это злоумышленник) для того, чтобы, получив доступ к компьютерной системе, скрывать запущенные процессы, файлы или системные данные, которые позволяют злоумышленнику иметь доступ к системе при незнании об этом самим пользователем. Известно на данный момент, что руткиты существуют на различных опериционных системах, таких как Linux, Solaris и различные версии Microsoft Windows. Компьютер, зараженный руткитом, часто называют "руткитованным".A rootkit is a set of software that is often used by outsiders (usually an attacker) in order to gain access to a computer system and hide running processes, files, or system data that allow an attacker to have access to the system if the user does not know about it. It is known at the moment that rootkits exist on various operating systems, such as Linux, Solaris, and various versions of Microsoft Windows. A rootkit infected computer is often referred to as a rootkit.

Сам термин "руткит" (также пишется как "рут кит") изначально относится к набору перекомпилированных Unix-команд, таких как The term rootkit itself (also spelled rootkit) originally refers to a set of recompiled Unix commands, such as

"ps", "netstat", "w" и "passwd", которые тщательно скрывают любые следы злоумышленника, которые обычно отображают эти команды. Таким образом, злоумышленник может иметь доступ "рут" в системе, при этом системный администратор не будет иметь об этом ни малейшего понятия. Сейчас этот термин уже относится не только к Unix системам, так как есть команды, которые выполняют похожие функции не только для Unix систем, а также, например, для Microsoft Windows (даже если эти операционные системы не имеют "рут" доступа)."ps", "netstat", "w" and "passwd", which carefully hide any traces of the attacker that these commands usually display. Thus, an attacker can have root access in the system, while the system administrator will not have the slightest idea about this. Now this term already refers not only to Unix systems, since there are commands that perform similar functions not only for Unix systems, but also, for example, for Microsoft Windows (even if these operating systems do not have root access).

Руткит обычно скрывает логины, процессы, трэды, ключи реестра, файлы и логи, а также может включать различное программное обеспечение для перехвата данных с терминалов, сетевых подключений и с клавиатуры.A rootkit usually hides logins, processes, trades, registry keys, files and logs, and may also include various software to intercept data from terminals, network connections, and from the keyboard.

Руткиты бывают трех различных типов: руткиты уровня ядра, библиотек и приложений. Руткиты уровня ядра добавляют дополнительный код и/или заменяют часть кода ядра на свой код для того, чтобы скрыть нелегальный доступ к системе. Это часто делается с помощью добавления нового кода в ядро с помощью драйвера устройства или загрузочного модуля, таких как подгружаемые модули ядра в Linux или драйверы устройств в Microsoft Windows. Руткиты уровня библиотек обычно изменяют или заменяют системные вызовы такими, которые скрывают информацию о нарушителе. Руткиты уровня приложений могут заменять обычные исполняемые файлы подделками с "троянами" или же могут изменять функциональность существующих, используя различные заплатки, внедряемые части кода и пр. Руткиты уровня ядра могут быть особенно опасными, так как их тяжело обнаружить без соответствующего программного обеспечения.Rootkits come in three different types: kernel-level rootkits, libraries, and applications. Kernel-level rootkits add additional code and / or replace part of the kernel code with their own code in order to hide illegal access to the system. This is often done by adding new code to the kernel using a device driver or boot module, such as loadable kernel modules on Linux or device drivers on Microsoft Windows. Library-level rootkits usually modify or replace system calls with those that hide information about the intruder. Application-level rootkits can replace regular executables with fakes with trojans, or they can change the functionality of existing ones using various patches, embedded parts of the code, etc. Kernel-level rootkits can be especially dangerous, since they are difficult to detect without the appropriate software.

Руткиты обычно сохраняются на диске для активации после перезапуска системы и являются скрытыми для операционной системы во время запросов к файловой системе. Руткиты тяжело обнаружить по той причине, что они активируются до того, как операционная система полностью загрузится, при этом, часто позволяя установить скрытые файлы, процессы и учетные записи пользователей в операционную систему. Руткиты обычно встраиваются в процессы операционной системы похожим способом, что и фильтры, что не позволяет обычным средствам обнаружения найти скрытое программное обеспечение.Rootkits are usually stored on disk for activation after a system restart and are hidden to the operating system during requests to the file system. Rootkits are difficult to detect for the reason that they are activated before the operating system is fully loaded, while often allowing you to install hidden files, processes and user accounts in the operating system. Rootkits are usually integrated into operating system processes in a similar way to filters, which prevents conventional detection tools from finding hidden software.

Одной из сложностей обнаружения руткитов является тот факт, что в отличие от вирусов руткиты обычно сами себя активируют, когда загружается операционная система, при этом сами руткиты приобретают системные привилегии. Также руткиты предпринимают действия, чтобы скрыть свое присутствие для того, чтобы традиционные антивирусные механизмы не смогли их обнаружить. Например, типичная антивирусная программа делает вызов системной функции для распознавания запущенных процессов. Руткит перехватывает этот вызов и возвращает антивирусу свой список процессов, где сам процесс руткита отсутствует. К тому же руткит обычно скрывает файлы, в которых он хранится, от традиционных антивирусных механизмов, которые проверяют файлы с использованием вирусных сигнатур. Другими словами файлы, в которых хранится руткит, никогда не проверяются антивирусом, что делает обнаружение и лечение руткитов особенно трудной задачей.One of the difficulties of detecting rootkits is the fact that, unlike viruses, rootkits usually activate themselves when the operating system boots up, while rootkits themselves acquire system privileges. Rootkits also take steps to hide their presence so that traditional antivirus engines cannot detect them. For example, a typical antivirus program makes a call to a system function to recognize running processes. The rootkit intercepts this call and returns to the antivirus its list of processes where the rootkit process itself is absent. In addition, the rootkit usually hides the files in which it is stored from traditional anti-virus mechanisms that scan files using virus signatures. In other words, the files in which the rootkit is stored are never scanned by the antivirus, which makes the detection and treatment of rootkits especially difficult.

В рамках операционной системы Microsoft Windows руткит работает, перехватывая системные вызовы (через так называемый Windows API или интерфейс программирования приложений). Within the Microsoft Windows operating system, the rootkit works by intercepting system calls (through the so-called Windows API or application programming interface).

Перехват и изменение низкоуровневых API-функций являются механизмом, который использует руткит для скрытия своего присутствия в системе. Более того, руткит может скрыть присутствие в системе любого своего описания в настройках процессов, файлах и папках, ключах реестра и т.д. Многие руткиты включают свои собственные драйверы и сервисы в систему, которые также оказываются скрыты. Патент US 7032114 описывает метод обнаружения руткита, в котором сравниваются начальный и конечный образец системы для того, чтобы обнаружить наличие в ней руткита.Intercepting and modifying low-level API functions is a mechanism that uses a rootkit to hide its presence in the system. Moreover, a rootkit can hide the presence of any description in the system in the process settings, files and folders, registry keys, etc. Many rootkits include their own drivers and services in the system, which also turn out to be hidden. US patent 7032114 describes a method for detecting a rootkit, which compares the initial and final sample of the system in order to detect the presence of a rootkit in it.

Публикация US 2006/0168352 описывает стандартный подход к лечению сетевого узла, где формируются начальный и последующий образ системы, сделанный после перезагрузки, после чего происходит сравнение этих образов.Publication US 2006/0168352 describes a standard approach to treating a network node, where the initial and subsequent image of the system, made after a reboot, is formed, after which these images are compared.

Патент US 6792556 описывает стандартный подход к обнаружению вирусов и восстановлению компьютера после заражения вирусом во время загрузки. В этом методе делается образ системы, который сохраняется в файл. После этого во время загрузки системы сравниваются загрузочные записи с образом системы, считанным из файла. После сравнения - если обнаружен вирус - то система восстанавливается из первоначального безопасного образа. Более того, в рамках данного патента при создании образа могут использоваться контрольные суммы.US 6792556 describes a standard approach to detecting viruses and recovering a computer after a virus infection at boot time. In this method, a system image is made, which is saved to a file. After that, during system boot, boot records are compared with the system image read from the file. After comparison - if a virus is detected - then the system is restored from the original safe image. Moreover, in the framework of this patent, checksums can be used when creating the image.

Тем не менее, большинство стандартных систем не могут быть использованы для обнаружения руткитов в силу их особенностей. Более того, большинство стандартных систем не гарантируют обнаружения большей части руткитов, которые скрывают свое присутствие, даже если используется сигнатурное сравнение.However, most standard systems cannot be used to detect rootkits due to their features. Moreover, most standard systems do not guarantee the detection of most rootkits that hide their presence, even if signature comparison is used.

Следовательно, техническим результатом данной полезной модели является предоставление системы, которая обеспечивает более эффективное обнаружение руткитов.Therefore, the technical result of this utility model is to provide a system that provides more efficient rootkit detection.

Сущность полезной моделиUtility Model Essence

Соответственно, настоящая полезная модель относится к системе для обнаружения руткитов, которые устраняют один или более недостатков соответствующего уровня техники.Accordingly, the present utility model relates to a system for detecting rootkits that eliminate one or more disadvantages of the related art.

Система для обнаружения руткита на компьютере, которая содержит: средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.A system for detecting a rootkit on a computer, which contains: means for creating the first image for the selected files of the operating system and registry, while this tool is configured to create the first image after loading the boot drivers, but before loading all other drivers; means for permanently storing the first image obtained by said means for creating the first image; means for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; means for issuing a message to the user about a rootkit infection of the computer according to the comparison results received from the said means of comparison, while the means for issuing a message is configured to issue this message in case of inequality of the first and second images.

В частном варианте выделенные файлы включают также системные службы.In a private embodiment, dedicated files also include system services.

Еще в одном частном варианте операционной системой является WINDOWS.In another private embodiment, the operating system is WINDOWS.

В другом частном варианте операционная система WINDOWS может быть как 32, так и 64-разрядной.In another particular embodiment, the WINDOWS operating system can be either 32 or 64-bit.

Еще в одном частном варианте упомянутое средство для создания первого образа выполнено с возможностью создания первого образа после обнаружения флага SERVICE_BOOT_START.In another particular embodiment, said means for creating the first image is configured to create the first image after detecting the SERVICE_BOOT_START flag.

Еще в одном частном варианте упомянутое средство для создания первого образа и упомянутого средства для создания второго образа выполнены с возможностью создания первого и второго образов соответственно с использованием ключа HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute.In another particular embodiment, said means for creating the first image and said means for creating the second image are configured to create the first and second images, respectively, using the key HKLM \ SYSTEM \ CurrentControlSet \ Control \ SessionManager \ BootExecute.

Краткое описание прилагаемых чертежейBrief description of the attached drawings

Сопровождающие чертежи, которые включены сюда для обеспечения дополнительного понимания полезной модели, включены в и составляют часть этого описания, показывающего варианты осуществления полезной модели, и совместно с описанием служат для объяснения принципов работы полезной модели.The accompanying drawings, which are included here to provide an additional understanding of the utility model, are included in and constitute part of this description showing embodiments of the utility model, and together with the description, serve to explain the operating principles of the utility model.

На фиг.1 изображена схема, которая иллюстрирует возможное воплощение полезной модели.Figure 1 shows a diagram that illustrates a possible embodiment of a utility model.

На фиг.2а и 2б изображены схемы создания и использования образов.On figa and 2b shows a diagram of the creation and use of images.

На фиг.3 показана блок-схема заявленной системы.Figure 3 shows a block diagram of the claimed system.

Подробное описание предпочтительных вариантов осуществленияDetailed Description of Preferred Embodiments

Теперь будут сделаны ссылки на подробные предпочтительные варианты осуществления настоящей полезной модели, примеры которой показаны на сопровождающих чертежах.Reference will now be made to detailed preferred embodiments of the present utility model, examples of which are shown in the accompanying drawings.

Как отмечено выше, практически все современные компьютеры используют операционные системы для управления различными функциями. На данный момент наиболее популярной операционной системой является Microsoft Windows, множество версий которой включает Windows NT 4.0, Windows 2000, Windows 2003, Windows XP (включая 64-разрядную версию). Windows Vista (включая 64-разрядную версию), Windows CE, Xbox OS и т.д. Настоящая полезная модель предназначена для работы, по крайней мере, во всех текущих и будущих версиях операционной системы Microsoft Windows. Также специалисту в уровне техники должно быть понятно, что описанные здесь идеи могут быть также применены к другим операционным системам.As noted above, almost all modern computers use operating systems to control various functions. At the moment, the most popular operating system is Microsoft Windows, many versions of which include Windows NT 4.0, Windows 2000, Windows 2003, Windows XP (including the 64-bit version). Windows Vista (including 64-bit), Windows CE, Xbox OS, etc. This utility model is designed to work in at least all current and future versions of the Microsoft Windows operating system. It should also be understood by a person skilled in the art that the ideas described herein can also be applied to other operating systems.

Как уже было сказано, операционная система Windows уязвима для заражения руткитом, поэтому ниже рассматривается подход к решению проблемы по обнаружению руткита в данной системе.As already mentioned, the Windows operating system is vulnerable to rootkit infection, therefore the approach to solving the problem of rootkit detection in this system is described below.

Создание образа обычно подразумевает копирование сектора за сектором целой файловой системы, т.е. всей служебной информации и данных. Если файловая система активна в текущий момент, то копируемые файлы могут быть изменены во время копирования, а некоторые файлы могут быть открыты для редактирования или Creating an image usually involves copying sector by sector of the whole file system, i.e. all service information and data. If the file system is currently active, then the copied files can be changed during copying, and some files can be opened for editing or

наоборот закрыты. В самом простом случае операции со всей файловой системой приостанавливаются на некоторый промежуток времени и в это время происходит создание образа. Конечно, такой подход неприменим к серверам, которые постоянно используют свои файловые системы.vice versa closed. In the simplest case, operations with the entire file system are suspended for a certain period of time and at this time an image is created. Of course, this approach does not apply to servers that constantly use their file systems.

Как показано на фиг.3, где изображена блок-схема, которая иллюстрирует возможное воплощение полезной модели. Предложенная система содержит средство 301 для создания первого образа для выделенных файлов операционной системы и реестра, средство 302 для постоянного хранения первого образа, полученного средством 301 для создания первого образа; средство 303 для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство 304 для сравнения первого образа, полученного из упомянутого средства 302 постоянного хранения, и второго образа, полученного от средства 303 создания второго образа; средство 305 для выдачи сообщения пользователю о заражении руткитом по результатам сравнения, полученным от упомянутого средства 304 сравнения.As shown in figure 3, which shows a block diagram that illustrates a possible embodiment of the utility model. The proposed system comprises means 301 for creating the first image for the selected files of the operating system and registry, means 302 for permanently storing the first image obtained by means 301 for creating the first image; means 303 for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means 304 for comparing the first image obtained from said permanent storage means 302 and the second image obtained from the second image creating means 303; means 305 for issuing a message to the user about infection with a rootkit according to the comparison results obtained from said comparison means 304.

Средство 305 для выдачи сообщения выдает это сообщение в случае неравенства первого и второго образов. В данном случае неравенство первого и второго образов означает обнаружение скрытых файлов и веток реестра, т.е. наличия в компьютере руткита.Means 305 for issuing a message issues this message in case of inequality of the first and second images. In this case, the inequality of the first and second images means the discovery of hidden files and registry branches, i.e. the presence of a rootkit in the computer.

Кроме того, необходимо отметить, что средство 301 выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов, а именно, после обнаружения флага SERVICE_BOOT_START.In addition, it should be noted that the tool 301 is configured to create the first image after loading the boot drivers, but before loading all the other drivers, namely, after the SERVICE_BOOT_START flag is detected.

На фиг.1 показан алгоритм работы заявленной системы. На этапе 102 начинается процесс загрузки операционной системы на компьютере. На этапе 104 загружаются загрузочные драйвера. Загрузочными драйверами являются драйвера устройств, которые обеспечивают минимальный уровень функциональности - это драйвера графического адаптера, клавиатуры, мыши и жесткого диска. На этапе 106 средство 301 создает первый образ. Средство 301 предназначено для работы на нулевом уровне процессоров Intel после запуска системы, загрузки драйверов и старта служб. Службы в операционной системе Microsoft Windows являются аналогами демонов в системе UNIX. Полученный первый образ из средства 301 передается в средство 302 для постоянного хранения.Figure 1 shows the algorithm of the claimed system. At step 102, the process of loading the operating system on the computer begins. At 104, boot drivers are loaded. Boot drivers are device drivers that provide a minimum level of functionality - these are drivers for the graphics adapter, keyboard, mouse, and hard drive. At step 106, the tool 301 creates a first image. Tool 301 is designed to operate at the zero level of Intel processors after starting the system, loading drivers, and starting services. Services on the Microsoft Windows operating system are analogous to daemons on the UNIX system. The obtained first image from the means 301 is transferred to the means 302 for permanent storage.

На этапе 108 операционная система завершает процесс загрузки и как раз в этот момент руткит имеет возможность провести собственную инициализацию. На этапе 110 средство 303 создает второй образ, который сравнивается в средстве 304 сравнения с первым образом, полученным из средства 302, на этапе 112. Если средство 304 устанавливает, что образы идентичны, то на этапе 114 средство 305 выдачи сообщения выводит заключение об отсутствии в компьютере руткита и об этом информирует пользователя. В том случае, если образы не совпадают, то средство 305 выдает сообщение о наличии руткита в компьютере и на этапе 116 происходит перезагрузка компьютера. На этапе 118 загружаются загрузочные драйвера, а после этого, на этапе 120, средство 301 создает новый первый образ системы. На этапе 122 происходит лечение руткита и процесс возвращается к этапу 108.At step 108, the operating system completes the boot process, and just at that moment, the rootkit has the ability to perform its own initialization. At step 110, means 303 creates a second image, which is compared in means of comparison 304 with the first image obtained from means 302, at step 112. If means 304 determines that the images are identical, then at step 114, message issuing means 305 concludes that rootkit computer and informs the user about it. In the event that the images do not match, then the tool 305 displays a message about the presence of a rootkit in the computer and, at step 116, the computer restarts. At step 118, boot drivers are loaded, and after that, at step 120, tool 301 creates a new first system image. At step 122, rootkit treatment occurs and the process returns to step 108.

Как показано на фиг.1, первый образ операционной системы создается в тот момент, когда загружены загрузочные драйвера с флагом SERVICE_BOOT_START, но до того момента как запущены системные службы с флагом SERVICE_SYSTEM_START. To есть первый образ создается еще до запуска подсистемы Win32. Также стоит отметить, что первый образ формируется с помощью ключа HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperation.As shown in figure 1, the first image of the operating system is created at the moment when the boot driver with the SERVICE_BOOT_START flag is loaded, but before the system services with the SERVICE_SYSTEM_START flag are started. That is, the first image is created before the Win32 subsystem is launched. It is also worth noting that the first image is formed using the key HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ PendingFileRenameOperation.

Этот образ включает по крайней мере ветки реестра, которые отвечают за запуск драйверов, удаление и переименование файлов (например HKLM\System\CurrentControlSet\Services), подсчет контрольной суммы файлов и т.д. Специалисту в уровне техники также станет очевидно, что в образ может входить и иная информация.This image includes at least registry branches that are responsible for launching drivers, deleting and renaming files (for example, HKLM \ System \ CurrentControlSet \ Services), calculating the checksum of files, etc. It will also become apparent to a person skilled in the art that other information may also be included in the image.

После создания первого образа системы он сохраняется с помощью средства 302 постоянного хранения, таким как жесткий диск, флэш-память, кассета, DVD диск и т.д. После загрузки операционной системы можно создавать образ ее текущего состояния. Второй образ системы создается таким же образом что и первый, и должен содержать те же данные - в том случае, если руткит не заразил операционную систему. Как только второй образ системы создан, его можно будет сравнить с первым и на основе сравнения сделать заключение. Если нет никаких различий между образами, то в системе отсутствует руткит и она может загружаться и дальше. Различие между образами говорит о том, что система заражена руткитом и ее можно восстановить, например, из ранее созданной безопасной копии.After creating the first image of the system, it is saved using the means 302 for permanent storage, such as a hard disk, flash memory, tape, DVD disc, etc. After loading the operating system, you can create an image of its current state. The second image of the system is created in the same way as the first, and should contain the same data - if the rootkit did not infect the operating system. Once the second image of the system is created, it can be compared with the first and based on the comparison, a conclusion can be drawn. If there are no differences between the images, then the system does not have a rootkit and it can boot further. The difference between the images indicates that the system is infected with a rootkit and can be restored, for example, from a previously created safe copy.

В качестве опции в интервале между созданием первого и второго образов можно использовать журнал со списком загруженных, As an option, in the interval between the creation of the first and second images, you can use the log with a list of downloaded ones,

измененных и/или удаленных файлов, а также списком измененных значений реестра. Журнал может выглядеть следующим образом:changed and / or deleted files, as well as a list of changed registry values. The log might look like this:

[time] Explorer.EXE - create section for execute<path>\avp.exe - SUCCESS[time] Explorer.EXE - create section for execute <path> \ avp.exe - SUCCESS

[time] Explorer.EXE [pid] - Process Create:<path>\avp.exe [pid] - SUCCESS[time] Explorer.EXE [pid] - Process Create: <path> \ avp.exe [pid] - SUCCESS

[time] avp.exe [pid] - Thread Create [tid] - SUCCESS[time] avp.exe [pid] - Thread Create [tid] - SUCCESS

[time] avp.exe [pid] - RegSetValue - [time] avp.exe [pid] - RegSetValue -

Key:"HKCU\Software\Microsoft\Windows\CurrentVersion\Run", Value "avp",Key: "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run", Value "avp",

Type: REG_SZ, Data: "<path>\avp.exe" - SUCCESSType: REG_SZ, Data: "<path> \ avp.exe" - SUCCESS

Средства 301 и 303 создания первого и второго образов могут создавать образ, используя контрольные суммы, хэши или другие похожие односторонние функции. Каждый драйвер, например, обычно хранится в виде файла, доступного для операционной системы. Контрольную сумму (например, хэш) эти средства 301 и 303 могут генерировать для каждого такого файла драйвера. Заметим, что в случае использования таких односторонних функций как функции хэширования или другие криптографические функции, контрольные суммы надежно шифруются, при этом только сам пользователь имеет ключ для последующего сравнения или создания образа. Таблица 1 ниже показывает пример образа с 4 драйверами, обозначенными как А1-А4, отвечающими файлам для драйверов, обозначенными как FA1-FA4, и 4 соответствующими контрольными суммами, обозначенными как НА1-НА4:The means 301 and 303 for creating the first and second images can create an image using checksums, hashes, or other similar one-way functions. Each driver, for example, is usually stored as a file available to the operating system. A checksum (e.g., hash) can be generated by these tools 301 and 303 for each such driver file. Note that if one-way functions such as hash functions or other cryptographic functions are used, the checksums are securely encrypted, and only the user himself has the key for subsequent comparison or image creation. Table 1 below shows an example image with 4 drivers labeled A1-A4, corresponding files for drivers labeled FA1-FA4, and 4 corresponding checksums labeled HA1-HA4:

Название драйвераDriver name Название файла драйвераDriver file name Контрольная сумма файла драйвераDriver File Checksum А1A1 FA1FA1 НА1HA1

А2A2 FA2FA2 НА2ON 2 A3A3 FА3FA3 НА3HA3 А4A4 FA4FA4 НА4HA4

Если второй образ имеет те же значения НА 1-НА4, то средство сравнения 304 может заключить, что операционная система не заражена руткитом и может продолжить процесс загрузки.If the second image has the same values ON 1-HA4, then the comparison tool 304 may conclude that the operating system is not infected with a rootkit and may continue the boot process.

Но возникает другая ситуация, когда второй образ отличается от первого, как, например, на нижеприведенной таблице:But another situation arises when the second image is different from the first, as, for example, in the table below:

Название драйвераDriver name Название файла драйвераDriver file name Контрольная сумма файла драйвераDriver File Checksum А1A1 FA1FA1 НА1HA1 А4A4 FA4FA4 НА4' (НА4' !=НА4)HA4 '(HA4'! = HA4)

Как можно видеть из этого образа, драйверы А2 и A3 либо удалены, либо скрыты, а файл FA4, содержащий драйвер А4, был изменен. В этом случае есть большая вероятность того, что произошло заражение руткитом, и требуется загрузить операционную систему с заранее созданной безопасной копии.As you can see from this image, the A2 and A3 drivers are either deleted or hidden, and the FA4 file containing the A4 driver has been changed. In this case, there is a high probability that a rootkit infection has occurred, and you need to load the operating system from a previously created safe copy.

Пример образа 1':Example image 1 ':

Название драйвераDriver name Название файла драйвераDriver file name Контрольная сумма файла драйвераDriver File Checksum А1A1 FA1FA1 НА1HA1

A3A3 FА3FA3 НА3HA3 А4A4 FA4FA4 НА4'HA4 '

Сравнивая результаты образов 1, 2 и 1', средство 304 сравнения может заключить, что драйвер А2 был действительно удален, файл драйвера А4 был изменен, а драйвер A3 скрывает факт своего присутствия в системе и, следовательно, это почти наверняка руткит. Следует удалить драйвер из реестра, а соответствующий ему файл должен быть либо удален, либо помещен в карантин.Comparing the results of images 1, 2, and 1 ', the comparison tool 304 can conclude that the A2 driver was really deleted, the A4 driver file was changed, and the A3 driver hides the fact of its presence in the system and, therefore, this is almost certainly a rootkit. You must remove the driver from the registry, and the corresponding file must either be deleted or quarantined.

В вышерассмотренном примере приведены только 4 драйвера, хотя специалисту в уровне техники должно быть понятно, что полезная модель не ограничена 4 драйверами и похожим образом можно работать с любым их количеством.In the above example, only 4 drivers are shown, although it should be clear to a person skilled in the art that the utility model is not limited to 4 drivers and that any number of drivers can be similarly operated.

Фиг.2а и 2б показывают в виде диаграмм создание и использование образов. Как показано на фиг.2а, у компьютера выделена часть памяти, обычно обозначаемая как пространство ядра, в котором расположены операционная система с драйверами и службами. Пространство ядра обозначено как 202 на фиг.2а. Обычно, исходя из архитектуры Intel, код, который выполняется в пространстве ядра, работает на нулевом уровне. Схема уровней в архитектуре Intel выглядит как 0-1-2-3, где нулевой - самый привилегированный.Figa and 2b show in the form of diagrams the creation and use of images. As shown in FIG. 2a, a portion of the memory is allocated to the computer, usually referred to as the kernel space in which the operating system with drivers and services are located. The core space is designated as 202 in FIG. 2a. Typically, based on Intel architecture, code that runs in kernel space runs at level zero. The level scheme in Intel architecture looks like 0-1-2-3, where zero is the most privileged.

Как показано на фиг.2а, пространство ядра 202 содержит код для различных служб 240, реестра 218 и загрузочных драйверов 206. Исходное приложение, о котором шла речь выше, также расположено в пространстве ядра 202. Загрузочные драйвера 206 используются для взаимодействия с сетевой картой 224, монитором 226, клавиатурой 228 и мышью 230. Исходное приложение использует файлы драйверов 222, которые обычно хранятся на локальном жестком диске или другом хранилище данных, для генерации контрольных сумм 216. Для генерации контрольных сумм 216 также используются значения реестра 218. Все вместе это составляет данные образа 1, который формируется средством 301 создания первого образа.As shown in FIG. 2a, kernel space 202 contains code for various services 240, registry 218, and boot drivers 206. The source application discussed above is also located in kernel space 202. Boot drivers 206 are used to interact with network card 224 , monitor 226, keyboard 228, and mouse 230. The original application uses driver files 222, which are usually stored on the local hard drive or other data storage, to generate checksums 216. To generate checksums 216, the I register 218. All together, this makes image data 1, which is formed by means of the creation of the first image 301.

Фиг.2б показывает ситуацию, когда в системе присутствует руткит 208. Там также изображены два приложения, 216А и 216N, которые работают в так называемом пространстве пользователя или на третьем уровне. Руткит 206 вносит изменения в реестр 204, файловую систему 210 и возможно другие части компьютерной системы. После подсчета контрольных сумм и создания второго образа 214 с помощью средства 301 создания первого образа и средства 303 создания второго образа, средство 304 сравнения может сравнивать (как показано на 232) два получившихся образа, образ 1 и образ 2, используя побитовое или побайтовое сравнение. В результате этого сравнения можно обнаружить скрытые файлы и тем самым выявить наличие руткита 208 в системе.Fig. 2b shows a situation where a rootkit 208 is present in the system. Two applications, 216A and 216N, which work in the so-called user space or at the third level, are also shown there. Rootkit 206 makes changes to the registry 204, file system 210, and possibly other parts of the computer system. After calculating the checksums and creating the second image 214 using the first image creating means 301 and the second image creating means 303, the comparison tool 304 can compare (as shown in 232) two resulting images, image 1 and image 2, using bitwise or byte comparison. As a result of this comparison, you can detect hidden files and thereby detect the presence of rootkit 208 in the system.

Ниже приведен типичный набор файлов, характерный для операционной системы Win32:The following is a typical set of files specific to the Win32 operating system:

Ветки реестра:Registry branches:

HKCR\exefile\shell\open\commandHKCR \ exefile \ shell \ open \ command

HKCR\exefile\shell\runas\commandHKCR \ exefile \ shell \ runas \ command

HKCR\comfile\shell\open\commandHKCR \ comfile \ shell \ open \ command

HKCR\comfile\shell\runas\commandHKCR \ comfile \ shell \ runas \ command

HKCR\piffile\shell\open\commandHKCR \ piffile \ shell \ open \ command

HKCR\piffile\shell\runas\commandHKCR \ piffile \ shell \ runas \ command

HKCR\batfile\shell\open\commandHKCR \ batfile \ shell \ open \ command

HKCR\batfile\shell\runas\commandHKCR \ batfile \ shell \ runas \ command

HKCR\htafile\shell\open\commandHKCR \ htafile \ shell \ open \ command

HKCR\htafile\shell\runas\commandHKCR \ htafile \ shell \ runas \ command

HKCR\cmdfile\shell\open\commandHKCR \ cmdfile \ shell \ open \ command

HKCR\cmdfile\shell\runas\commandHKCR \ cmdfile \ shell \ runas \ command

HKCR\scrfile\shell\open\commandHKCR \ scrfile \ shell \ open \ command

HKCR\scrfile\shell\runas\commandHKCR \ scrfile \ shell \ runas \ command

HKCR\txtfile\shell\open\commandHKCR \ txtfile \ shell \ open \ command

HKCR\txtfile\she]l\runas\commandHKCR \ txtfile \ she] l \ runas \ command

HKCR\regfile\shell\open\commandHKCR \ regfile \ shell \ open \ command

HKCR\regfile\shell\runas\commandHKCR \ regfile \ shell \ runas \ command

HKCR\*file\shell\open\commandHKCR \ * file \ shell \ open \ command

HKCR\*file\shell\runas\commandHKCR \ * file \ shell \ runas \ command

*\Software\Microsoft\Windows NT\Current Version\AEDebug\Debugger* \ Software \ Microsoft \ Windows NT \ Current Version \ AEDebug \ Debugger

*\Software\Microsoft\Windows NT\Current Version\Winlogon\Shell* \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Shell

*\Software\Microsoft\Windows NT\Current Version\Winlogon\UserInit* \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon \ UserInit

*\Sofbvare\Microsoft\Windows NT\Currcnt Version\Windows\Run* \ Sofbvare \ Microsoft \ Windows NT \ Currcnt Version \ Windows \ Run

*\Software\Microsoft\Windows*\Current Version\Windows\Load* \ Software \ Microsoft \ Windows * \ Current Version \ Windows \ Load

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Taskman* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Taskman

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\System* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ System

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Notify\*\DllName* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Notify \ * \ DllName

*\Software\Microsoft\Windows*\Current Version\Run*\** \ Software \ Microsoft \ Windows * \ Current Version \ Run * \ *

HKCU\Software\Mirabilis\ICQ\Agent\Apps\*HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ *

HKLM\System\Control Set???\Services\*\Parameters\Service DllHKLM \ System \ Control Set ??? \ Services \ * \ Parameters \ Service Dll

HKLM\System\Control Set???\Services\*\Image PathHKLM \ System \ Control Set ??? \ Services \ * \ Image Path

HKLM\System\Control Set???\Services\VXD\*\Static VxDHKLM \ System \ Control Set ??? \ Services \ VXD \ * \ Static VxD

HKLM\system\control set???\control\Session Manager\Boot ExecuteHKLM \ system \ control set ??? \ control \ Session Manager \ Boot Execute

HKLM\System\control set???\Control\MPRServices\*\DLL NameHKLM \ System \ control set ??? \ Control \ MPRServices \ * \ DLL Name

HKLM\System\Current Control Set\Services\VXD\*\Static VxDHKLM \ System \ Current Control Set \ Services \ VXD \ * \ Static VxD

HKLM\system\Current control set\control\Session Manager\Boot ExecuteHKLM \ system \ Current control set \ control \ Session Manager \ Boot Execute

HKLM\System\Current Control Set\Control\MPR Services\*\DLL NameHKLM \ System \ Current Control Set \ Control \ MPR Services \ * \ DLL Name

HKLM\Software\Microsoft\Active Setup\Installed Components\*\StubPathHKLM \ Software \ Microsoft \ Active Setup \ Installed Components \ * \ StubPath

HKLM\Software\Microsoft\Windows NT\Current Version\WOW\BOOT\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ WOW \ BOOT \ *

HKLM\Software\Microsoft\Windows NT\Current Version\Drivers\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Drivers \ *

HKLM\Software\Microsoft\Windows NT\Current Version\Drivers32\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Drivers32 \ *

HKLM\Software\Microsoft\Windows NT\Current Version\Windows\AppInit_DLLsHKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Windows \ AppInit_DLLs

*\SOFTWARE\Microsoft\Windows\Current Version\Shell Service Object Delay Load\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Shell Service Object Delay Load \ *

HKLM\SOFTWARE\Microsoft\VBA\Monitors\*\CLSIDHKLM \ SOFTWARE \ Microsoft \ VBA \ Monitors \ * \ CLSID

HKCU\Control Panel\Desktop\SCRNSAVE.EXEHKCU \ Control Panel \ Desktop \ SCRNSAVE.EXE

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shared Task Scheduler\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Shared Task Scheduler \ *

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks \ *

*\Software\Policies\Microsoft\Windows\System\Scripts\** \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts \ *

*\Software\Microsoft\Windows\Current Version\policies\Explorer\Run\** \ Software \ Microsoft \ Windows \ Current Version \ policies \ Explorer \ Run \ *

*\Software\Microsoft\Windows\Current Version\Policies\System\Shell* \ Software \ Microsoft \ Windows \ Current Version \ Policies \ System \ Shell

HKLM\Software\Microsoft\Windows\Current Version\Shell Extensions\Approved\*HKLM \ Software \ Microsoft \ Windows \ Current Version \ Shell Extensions \ Approved \ *

*\Software\Microsoft\Command Processor\Auto Run HKLM\Software\Microsoft\Internet Explorer\Toolbar\** \ Software \ Microsoft \ Command Processor \ Auto Run HKLM \ Software \ Microsoft \ Internet Explorer \ Toolbar \ *

*\Software\Microsoft\Internet Explorer\MenuExt\** \ Software \ Microsoft \ Internet Explorer \ MenuExt \ *

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.exe\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .exe \ *

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.com\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .com \ *

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.bat\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .bat \ *

HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.pif\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .pif \ *

*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects \ *

HKLM\Software\Microsoft\Windows\Current Version\App Paths\*\*HKLM \ Software \ Microsoft \ Windows \ Current Version \ App Paths \ * \ *

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ImageHKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Image

File Execution Options\*\DebuggerFile Execution Options \ * \ Debugger

*\SOFTWARE\Microsoft\Internet Explorer\Extensions\*\** \ SOFTWARE \ Microsoft \ Internet Explorer \ Extensions \ * \ *

*\SOFTWARE\Microsoft\Internet Explorer\Extensions\** \ SOFTWARE \ Microsoft \ Internet Explorer \ Extensions \ *

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*\Contains\Files\*HKLM \ SOFTWARE \ Microsoft \ Code Store Database \ Distribution Units \ * \ Contains \ Files \ *

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*HKLM \ SOFTWARE \ Microsoft \ Code Store Database \ Distribution Units \ *

Средства 301 и 303 подсчитывают контрольные суммы для следующих файлов:Tools 301 and 303 calculate checksums for the following files:

c:\autoexec.batc: \ autoexec.bat

%System Drive%\autoexec.bat% System Drive% \ autoexec.bat

c:\config.sysc: \ config.sys

%System Drive%\config.sys% System Drive% \ config.sys

Winstart.batWinstart.bat

win.iniwin.ini

system, inisystem, ini

*:\autorun.inf*: \ autorun.inf

Также контрольные суммы генерируются средствами 301 и 303 для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).Also, checksums are generated by means of 301 and 303 for all drivers, .dll and .exe files (or more broadly - for all files listed in the above registry branches).

Далее приведен типичный набор файлов, характерный для операционной системы Win64:The following is a typical set of files specific to the Win64 operating system:

Просматриваются следующие ветки реестра:The following registry branches are viewed:

- HKCU\Software\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run

- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run

- HKLM\Software\Microsoft\Windows\Current Version\Run- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run

- HKLM\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run

Run Once - related branches:Run Once - related branches:

- HKCU\Software\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run Once

- HKCU\Software\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex

- HKLM\Software\Microsoft\Windows\Current Version\Run Once- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run Once

- HKLM\Software\Microsoft\Windows\Current Version\Run Once Ex- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once Ex

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run Once

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once Ex

CLSIDs - related branches:CLSIDs - related branches:

- HKCU\Software\Classes\CLSID- HKCU \ Software \ Classes \ CLSID

- HKLM\Software\Classes\CLSID- HKLM \ Software \ Classes \ CLSID

- HKCU\Software\Classes\Wow6432Node\CLSID- HKCU \ Software \ Classes \ Wow6432Node \ CLSID

- HKLM\Software\Classes\Wow6432Node\CLSID- HKLM \ Software \ Classes \ Wow6432Node \ CLSID

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\CLSID- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ CLSID

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\CLSID- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ CLSID

Search - related branches:Search - related branches:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Search

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Search

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Search- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Search

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Search

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Mnternet Explorer\Search- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Mnternet Explorer \ Search

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search Url- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Search Url

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\Search Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft Mnternet Explorer \ Search Url

ActiveX load and installation - related branches:ActiveX load and installation - related branches:

- HKLM\Software\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Code Store Database\Distribution Units- HKLM \ Software \ Microsoft \ Code Store Database \ Distribution Units HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Code Store Database \ Distribution Units

- HKLM\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units Drivers:- HKLM \ Software \ Wow6432Node \ Microsoft \ Code Store Database \ Distribution Units HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Code Store Database \ Distribution Units Drivers:

- HKLM\System\Current Control Set\Services Context Menu Handlers - - related branches:- HKLM \ System \ Current Control Set \ Services Context Menu Handlers - - related branches:

- HKCU\Software\Classes\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ * \ shellex \ Context Menu Handlers

- HKLM\Software\Classes\*\shellex\Context Menu Handlers- HKLM \ Software \ Classes \ * \ shellex \ Context Menu Handlers

- HKCU\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers

- HKLM\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKLM \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ * \ shellex \ Context Menu Handlers

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers

Browser Helper Object:Browser Helper Object:

- HKCU\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects Shell Execute Hooks:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects Shell Execute Hooks:

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks

Name Server Protection:Name Server Protection:

- HKLM\System\Current Control Set\Services\Tcpip\Parameters Screen Saver:- HKLM \ System \ Current Control Set \ Services \ Tcpip \ Parameters Screen Saver:

- HKCU\Control Panel\Desktop Lsp:- HKCU \ Control Panel \ Desktop Lsp:

- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Protocol_Catalog 9\Catalog_Entries- HKLM \ System \ Current Control Set \ Services \ WinSock2 \ Parameters \ Protocol_Catalog 9 \ Catalog_Entries

- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Name Space_Catalog5\Catalog_Entries- HKLM \ System \ Current Control Set \ Services \ WinSock2 \ Parameters \ Name Space_Catalog5 \ Catalog_Entries

Ini File Mapping:Ini File Mapping:

- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot

- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini

- HKLM\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot

- HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ win.ini

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini

IE About:IE About:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs

- HKLM\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\About URLs- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ About URLs

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\About URLs IE Explorer Bars:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft Mnternet Explorer \ About URLs IE Explorer Bars:

- HKCU\Software\Microsoft\Internet Explorer\Explorer Bars- HKCU \ Software \ Microsoft \ Internet Explorer \ Explorer Bars

- HKLM\Software\Microsoft\Internet Explorer\Explorer Bars- HKLM \ Software \ Microsoft \ Internet Explorer \ Explorer Bars

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Explorer Bars

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Explorer Bars

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\ Internet Explorer\Explorer Bars Restrict Run:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Explorer Bars Restrict Run:

- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Restrict Run Shell Open Command:- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Restrict Run Shell Open Command:

- HKCU\Software\Classes\batfile\shell\open\command- HKCU \ Software \ Classes \ batfile \ shell \ open \ command

- HKCU\Software\Classes\batfile\shell\runas\command- HKCU \ Software \ Classes \ batfile \ shell \ runas \ command

- HKCU\Software\Classes\comfile\shell\open\command- HKCU \ Software \ Classes \ comfile \ shell \ open \ command

- HKCU\Software\Classes\exefile\shell\open\command- HKCU \ Software \ Classes \ exefile \ shell \ open \ command

- HKCU\Software\Classes\ftp\shell\open\command- HKCU \ Software \ Classes \ ftp \ shell \ open \ command

- HKCU\Software\Classes\htafile\shell\open\command- HKCU \ Software \ Classes \ htafile \ shell \ open \ command

- HKCU\Software\Classes\htmlfile\shell\open\command- HKCU \ Software \ Classes \ htmlfile \ shell \ open \ command

- HKCU\Software\Classes\http\shell\open\command- HKCU \ Software \ Classes \ http \ shell \ open \ command

- HKCU\Software\Classes\https\shell\open\command- HKCU \ Software \ Classes \ https \ shell \ open \ command

- HKCU\Software\Classes\mailto\shell\open\command- HKCU \ Software \ Classes \ mailto \ shell \ open \ command

- HKCU\Software\Classes\mp3file\shell\open\command- HKCU \ Software \ Classes \ mp3file \ shell \ open \ command

- HKCU\Software\Classes\mpegfile\shell\open\command- HKCU \ Software \ Classes \ mpegfile \ shell \ open \ command

- HKCU\Software\Classes\piffile\shell\open\command- HKCU \ Software \ Classes \ piffile \ shell \ open \ command

- HKCU\Software\Classes\txtfile\shell\open\command- HKCU \ Software \ Classes \ txtfile \ shell \ open \ command

- HKCU\Software\Classes\cmdfile\shell\open\command- HKCU \ Software \ Classes \ cmdfile \ shell \ open \ command

- HKCU\Software\Classes\regfile\shell\open\command- HKCU \ Software \ Classes \ regfile \ shell \ open \ command

- HKCU\Software\Classes\scrfile\shell\open\command- HKCU \ Software \ Classes \ scrfile \ shell \ open \ command

- HKCU\Software\Classes\vbsfile\shell\open\command- HKCU \ Software \ Classes \ vbsfile \ shell \ open \ command

- HKLM\Software\Classes\batfile\shell\open\command- HKLM \ Software \ Classes \ batfile \ shell \ open \ command

- HKLM\Software\Classes\batfile\shell\runas\command- HKLM \ Software \ Classes \ batfile \ shell \ runas \ command

- HKLM\Software\Classes\comfile\shell\open\command- HKLM \ Software \ Classes \ comfile \ shell \ open \ command

- HKLM\Software\Classes\exefile\shell\open\command- HKLM \ Software \ Classes \ exefile \ shell \ open \ command

- HKLM\Software\Classes\ftp\shell\open\command- HKLM \ Software \ Classes \ ftp \ shell \ open \ command

- HKLM\Software\Classes\htafile\shell\open\command- HKLM \ Software \ Classes \ htafile \ shell \ open \ command

- HKLM\Software\Classes\htmlfile\shell\open\command- HKLM \ Software \ Classes \ htmlfile \ shell \ open \ command

- HKLM\Software\Classes\http\shell\open\command- HKLM \ Software \ Classes \ http \ shell \ open \ command

- HKLM\Software\Classes\https\shell\open\command- HKLM \ Software \ Classes \ https \ shell \ open \ command

- HKLM\Software\Classes\mailto\shell\open\command- HKLM \ Software \ Classes \ mailto \ shell \ open \ command

- HKLM\Software\Classes\mp3file\shell\open\command- HKLM \ Software \ Classes \ mp3file \ shell \ open \ command

- HKLM\Software\Classes\mpegfile\shell\open\command- HKLM \ Software \ Classes \ mpegfile \ shell \ open \ command

- HKLM\Software\Classes\piffile\shell\open\command- HKLM \ Software \ Classes \ piffile \ shell \ open \ command

- HKLM\Software\Classes\txtfile\shell\open\command- HKLM \ Software \ Classes \ txtfile \ shell \ open \ command

- HKLM\Software\Classes\cmdfile\shell\open\command- HKLM \ Software \ Classes \ cmdfile \ shell \ open \ command

- HKLM\Software\Classes\regfile\shell\open\command- HKLM \ Software \ Classes \ regfile \ shell \ open \ command

- HKLM\Software\Classes\scrfile\shell\open\command- HKLM \ Software \ Classes \ scrfile \ shell \ open \ command

- HKLM\Software\C lasses\vbsfile\shell\open\command- HKLM \ Software \ C lasses \ vbsfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\batfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKCU \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command

- HKCU\Software\Classes\Wow6432Node\comfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\exefile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\ftp\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ ftp \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\htafile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\http\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\https\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\mailto\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\piffile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\regfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command

- HKCU\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\batfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKLM \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command

- HKLM\Software\Classes\Wow6432Node\comfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\exefile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command

- HKLM\Software\C lasses\Wow6432Node\ftp\shell\open\command- HKLM \ Software \ C lasses \ Wow6432Node \ ftp \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\htafile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\http\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\https\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\mailto\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\piffile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\cmdfile\shell\open\comrnand- HKLM \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ comrnand

- HKLM\Software\Classes\Wow6432Node\regfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command

- HKLM\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ batfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\runas\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ batfile \ shell \ runas \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\comfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ comfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\exefile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ exefile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\ftp\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ ftp \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htafile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ htafile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ htmlfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\http\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ http \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\https\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ https \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mailto\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mailto \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mp3file\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mp3file \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mpegfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\piffile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ piffile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\txtfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ txtfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ cmdfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\regfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ regfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\scrfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ scrfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ vbsfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \comfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHlNE\Software\Classes\Wow6432Node\exefile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHlNE \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\ftp\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ ftp \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htafile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \http\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHrNE\Software\Classes\Wow6432Node\https\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHrNE \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mailto\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\piffile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\regfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command

User Shell Folders:User Shell Folders:

- HKCU\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

- HKLM\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders

IE Main:IE Main:

- HKCU\SOFTWARE\Microsoft\Internet Explorer\Main- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Main

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Main- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Main

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Main- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Main

IE Extensions:IE Extensions:

- HKCU\Software\Microsoft Internet Explorer\Extensions- HKCU \ Software \ Microsoft Internet Explorer \ Extensions

- HKLM\Software\Microsoft\Internet Explorer\Extensions- HKLM \ Software \ Microsoft \ Internet Explorer \ Extensions

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Extensions

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Extensions- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Extensions

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Extensions- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Extensions

IE Plugin:IE Plugin:

- HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Plugins \ Extension

- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Plugins \ Extension

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft Internet Explorer\Plugins\Extension- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft Internet Explorer \ Plugins \ Extension

- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Plugins \ Extension

IE Menu Extension:IE Menu Extension:

- HKCU\Software\Microsoft\Internet Explorer\MenuExt- HKCU \ Software \ Microsoft \ Internet Explorer \ MenuExt

IE Toolbar:IE Toolbar:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar

- HKLM\Software\Microsoft\Internet Explorer\Toolbar- HKLM \ Software \ Microsoft \ Internet Explorer \ Toolbar

- HKLM\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar- HKLM \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Toolbar

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Toolbar- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Toolbar

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Toolbar

IE Shell Browser:IE Shell Browser:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Shell Browser

IE Uri Search Hooks:IE Uri Search Hooks:

- HKCU\Software\Microsoft\Internet Explorer\Url Search Hooks- HKCU \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks

- HKLM\Software\Microsoft\Internet Explorer\Url Search Hooks- HKLM \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks

- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Url Search Hooks- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Url Search Hooks

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Url Search Hooks- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Url

Search HooksSearch hooks

IE Web Browser:IE Web Browser:

- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Web Browser Safe Boot:- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Web Browser Safe Boot:

- HKLM\System\Current Control Set\Control\Safe Boot\Minimal- HKLM \ System \ Current Control Set \ Control \ Safe Boot \ Minimal

- HKLM\System\Current Control Set\Control\Safe Boot\Network- HKLM \ System \ Current Control Set \ Control \ Safe Boot \ Network

Autorun:Autorun:

- HKCU\Software\Microsoft\Command Processor- HKCU \ Software \ Microsoft \ Command Processor

- HKLM\Software\Microsoft\Command Processor- HKLM \ Software \ Microsoft \ Command Processor

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Command Processor- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Command Processor

- HKLM\Software\Wow6432Node\Microsoft\Command Processor- HKLM \ Software \ Wow6432Node \ Microsoft \ Command Processor

- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Command Processor- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Command Processor

Контрольные суммы подсчитываются для следующих файлов:Checksums are calculated for the following files:

%SystemRoot%\System32\drivers\*.sys% SystemRoot% \ System32 \ drivers \ *. Sys

%SYSTEMROOT%\System32\Tasks (Task Scheduler)% SYSTEMROOT% \ System32 \ Tasks (Task Scheduler)

%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start

Menu\Programs\StartupMenu \ Programs \ Startup

(Startup Folder)(Startup Folder)

С:\autoexec.batC: \ autoexec.bat

%SystemDrive%\autoexec.bat% SystemDrive% \ autoexec.bat

c:\config.sysc: \ config.sys

%SystemDrive%\config.sys% SystemDrive% \ config.sys

Winstart.batWinstart.bat

win.iniwin.ini

system.inisystem.ini

*:\autorun.inf*: \ autorun.inf

Также контрольные суммы генерируются для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).Also, checksums are generated for all drivers, .dll and .exe files (or more broadly - for all files listed in the above registry branches).

Имея вышеописанные предпочтительные варианты осуществления, специалисту в уровне технике будет очевидно, что будут достигнуты конкретные преимущества описанного способа и устройства. Следует также учитывать, что различные модификации, адаптации и альтернативные варианты осуществления могут быть сделаны в объеме и сущности настоящей полезной модели. Кроме того, полезная модель определяется следующей формулой.Having the preferred embodiments described above, it will be apparent to those skilled in the art that the specific advantages of the described method and apparatus will be achieved. It should also be borne in mind that various modifications, adaptations, and alternative embodiments can be made within the scope and essence of the present utility model. In addition, a utility model is defined by the following formula.

Claims (6)

1. Система для обнаружения руткита на компьютере, которая содержит:1. A system for detecting a rootkit on a computer, which contains: средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов;means for creating the first image for the selected operating system and registry files, while this tool is configured to create the first image after loading the boot drivers, but before loading all the other drivers; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа;means for permanently storing the first image obtained by said means for creating the first image; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов;means for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа;means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.means for issuing a message to the user about a rootkit infection of the computer according to the comparison results received from the said means of comparison, while the means for issuing a message is configured to issue this message in case of inequality of the first and second images. 2. Система по п.1, в которой выделенные файлы включают также системные службы.2. The system according to claim 1, in which the selected files also include system services. 3. Система по п.1, в которой операционной системой является WINDOWS.3. The system of claim 1, wherein the operating system is WINDOWS. 4. Система по п.3, в которой операционная система WINDOWS может быть как 32, так и 64-разрядной.4. The system according to claim 3, in which the WINDOWS operating system can be either 32 or 64-bit. 5. Система по п.1, в которой упомянутое средство для создания первого образа выполнено с возможностью создания первого образа после обнаружения флага SERVICE-BOOT-START.5. The system according to claim 1, wherein said means for creating the first image is configured to create the first image after detecting the SERVICE-BOOT-START flag. 6. Система по п.1, в которой упомянутое средство для создания первого образа и упомянутого средства для создания второго образа выполнены с возможностью создания первого и второго образов соответственно с использованием ключа HKLM/SYSTEM/Current Control Set/Control/Session Manager/Boot Execute.
Figure 00000001
6. The system according to claim 1, wherein said means for creating the first image and said means for creating the second image are configured to create the first and second images, respectively, using the HKLM / SYSTEM / Current Control Set / Control / Session Manager / Boot Execute key .
Figure 00000001
RU2008107129/22U 2008-02-28 2008-02-28 RUTKIT DETECTION AND TREATMENT SYSTEM RU77472U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2008107129/22U RU77472U1 (en) 2008-02-28 2008-02-28 RUTKIT DETECTION AND TREATMENT SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2008107129/22U RU77472U1 (en) 2008-02-28 2008-02-28 RUTKIT DETECTION AND TREATMENT SYSTEM

Publications (1)

Publication Number Publication Date
RU77472U1 true RU77472U1 (en) 2008-10-20

Family

ID=40041749

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008107129/22U RU77472U1 (en) 2008-02-28 2008-02-28 RUTKIT DETECTION AND TREATMENT SYSTEM

Country Status (1)

Country Link
RU (1) RU77472U1 (en)

Similar Documents

Publication Publication Date Title
US7921461B1 (en) System and method for rootkit detection and cure
US9104861B1 (en) Virtual security appliance
RU2589862C1 (en) Method of detecting malicious code in random-access memory
US9396326B2 (en) User transparent virtualization method for protecting computer programs and data from hostile code
US9202046B2 (en) Systems and methods for executing arbitrary applications in secure environments
CN107949846B (en) Detection of malicious thread suspension
US9367671B1 (en) Virtualization system with trusted root mode hypervisor and root mode VMM
US8677491B2 (en) Malware detection
US8661541B2 (en) Detecting user-mode rootkits
US9349009B2 (en) Method and apparatus for firmware based system security, integrity, and restoration
US10325116B2 (en) Dynamic privilege management in a computer system
US20150271139A1 (en) Below-OS Security Solution For Distributed Network Endpoints
US8539578B1 (en) Systems and methods for defending a shellcode attack
US20070113062A1 (en) Bootable computer system circumventing compromised instructions
US8495741B1 (en) Remediating malware infections through obfuscation
JP2009543186A (en) Identifying malware in the boot environment
US10108800B1 (en) ARM processor-based hardware enforcement of providing separate operating system environments for mobile devices with capability to employ different switching methods
US10102377B2 (en) Protection of secured boot secrets for operating system reboot
Vokorokos et al. Application security through sandbox virtualization
Wueest Threats to virtual environments
US9342694B2 (en) Security method and apparatus
Wu et al. Towards a binary integrity system for windows
RU77472U1 (en) RUTKIT DETECTION AND TREATMENT SYSTEM
RU2592383C1 (en) Method of creating antivirus record when detecting malicious code in random-access memory
RU2585978C2 (en) Method of invoking system functions in conditions of use of agents for protecting operating system kernel

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20081208

NF1K Reinstatement of utility model

Effective date: 20100510