RU77472U1 - RUTKIT DETECTION AND TREATMENT SYSTEM - Google Patents
RUTKIT DETECTION AND TREATMENT SYSTEM Download PDFInfo
- Publication number
- RU77472U1 RU77472U1 RU2008107129/22U RU2008107129U RU77472U1 RU 77472 U1 RU77472 U1 RU 77472U1 RU 2008107129/22 U RU2008107129/22 U RU 2008107129/22U RU 2008107129 U RU2008107129 U RU 2008107129U RU 77472 U1 RU77472 U1 RU 77472U1
- Authority
- RU
- Russia
- Prior art keywords
- software
- classes
- hkcu
- shell
- microsoft
- Prior art date
Links
Abstract
Полезная модель относится к антивирусным средствам и более конкретно к средствам обнаружения руткита. Техническим результатом является повышение эффективности обнаружения присутствия руткита в компьютерной системе. Система включает в себя средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.The utility model relates to antivirus tools and more specifically to rootkit detection tools. The technical result is to increase the detection efficiency of the presence of a rootkit in a computer system. The system includes a tool for creating the first image for the selected operating system and registry files, while this tool is configured to create the first image after loading the boot drivers, but before loading all the other drivers; means for permanently storing the first image obtained by said means for creating the first image; means for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; means for issuing a message to the user about a rootkit infection of the computer according to the comparison results received from the said means of comparison, while the means for issuing a message is configured to issue this message in case of inequality of the first and second images.
Description
Область техникиTechnical field
Настоящая полезная модель относится к компьютерным системам и более конкретно к системе для обнаружения и лечения руткита.The present utility model relates to computer systems and more particularly to a system for detecting and treating rootkits.
Уровень техникиState of the art
Руткитом называется набор программного обеспечения, который часто используется посторонними (обычно это злоумышленник) для того, чтобы, получив доступ к компьютерной системе, скрывать запущенные процессы, файлы или системные данные, которые позволяют злоумышленнику иметь доступ к системе при незнании об этом самим пользователем. Известно на данный момент, что руткиты существуют на различных опериционных системах, таких как Linux, Solaris и различные версии Microsoft Windows. Компьютер, зараженный руткитом, часто называют "руткитованным".A rootkit is a set of software that is often used by outsiders (usually an attacker) in order to gain access to a computer system and hide running processes, files, or system data that allow an attacker to have access to the system if the user does not know about it. It is known at the moment that rootkits exist on various operating systems, such as Linux, Solaris, and various versions of Microsoft Windows. A rootkit infected computer is often referred to as a rootkit.
Сам термин "руткит" (также пишется как "рут кит") изначально относится к набору перекомпилированных Unix-команд, таких как The term rootkit itself (also spelled rootkit) originally refers to a set of recompiled Unix commands, such as
"ps", "netstat", "w" и "passwd", которые тщательно скрывают любые следы злоумышленника, которые обычно отображают эти команды. Таким образом, злоумышленник может иметь доступ "рут" в системе, при этом системный администратор не будет иметь об этом ни малейшего понятия. Сейчас этот термин уже относится не только к Unix системам, так как есть команды, которые выполняют похожие функции не только для Unix систем, а также, например, для Microsoft Windows (даже если эти операционные системы не имеют "рут" доступа)."ps", "netstat", "w" and "passwd", which carefully hide any traces of the attacker that these commands usually display. Thus, an attacker can have root access in the system, while the system administrator will not have the slightest idea about this. Now this term already refers not only to Unix systems, since there are commands that perform similar functions not only for Unix systems, but also, for example, for Microsoft Windows (even if these operating systems do not have root access).
Руткит обычно скрывает логины, процессы, трэды, ключи реестра, файлы и логи, а также может включать различное программное обеспечение для перехвата данных с терминалов, сетевых подключений и с клавиатуры.A rootkit usually hides logins, processes, trades, registry keys, files and logs, and may also include various software to intercept data from terminals, network connections, and from the keyboard.
Руткиты бывают трех различных типов: руткиты уровня ядра, библиотек и приложений. Руткиты уровня ядра добавляют дополнительный код и/или заменяют часть кода ядра на свой код для того, чтобы скрыть нелегальный доступ к системе. Это часто делается с помощью добавления нового кода в ядро с помощью драйвера устройства или загрузочного модуля, таких как подгружаемые модули ядра в Linux или драйверы устройств в Microsoft Windows. Руткиты уровня библиотек обычно изменяют или заменяют системные вызовы такими, которые скрывают информацию о нарушителе. Руткиты уровня приложений могут заменять обычные исполняемые файлы подделками с "троянами" или же могут изменять функциональность существующих, используя различные заплатки, внедряемые части кода и пр. Руткиты уровня ядра могут быть особенно опасными, так как их тяжело обнаружить без соответствующего программного обеспечения.Rootkits come in three different types: kernel-level rootkits, libraries, and applications. Kernel-level rootkits add additional code and / or replace part of the kernel code with their own code in order to hide illegal access to the system. This is often done by adding new code to the kernel using a device driver or boot module, such as loadable kernel modules on Linux or device drivers on Microsoft Windows. Library-level rootkits usually modify or replace system calls with those that hide information about the intruder. Application-level rootkits can replace regular executables with fakes with trojans, or they can change the functionality of existing ones using various patches, embedded parts of the code, etc. Kernel-level rootkits can be especially dangerous, since they are difficult to detect without the appropriate software.
Руткиты обычно сохраняются на диске для активации после перезапуска системы и являются скрытыми для операционной системы во время запросов к файловой системе. Руткиты тяжело обнаружить по той причине, что они активируются до того, как операционная система полностью загрузится, при этом, часто позволяя установить скрытые файлы, процессы и учетные записи пользователей в операционную систему. Руткиты обычно встраиваются в процессы операционной системы похожим способом, что и фильтры, что не позволяет обычным средствам обнаружения найти скрытое программное обеспечение.Rootkits are usually stored on disk for activation after a system restart and are hidden to the operating system during requests to the file system. Rootkits are difficult to detect for the reason that they are activated before the operating system is fully loaded, while often allowing you to install hidden files, processes and user accounts in the operating system. Rootkits are usually integrated into operating system processes in a similar way to filters, which prevents conventional detection tools from finding hidden software.
Одной из сложностей обнаружения руткитов является тот факт, что в отличие от вирусов руткиты обычно сами себя активируют, когда загружается операционная система, при этом сами руткиты приобретают системные привилегии. Также руткиты предпринимают действия, чтобы скрыть свое присутствие для того, чтобы традиционные антивирусные механизмы не смогли их обнаружить. Например, типичная антивирусная программа делает вызов системной функции для распознавания запущенных процессов. Руткит перехватывает этот вызов и возвращает антивирусу свой список процессов, где сам процесс руткита отсутствует. К тому же руткит обычно скрывает файлы, в которых он хранится, от традиционных антивирусных механизмов, которые проверяют файлы с использованием вирусных сигнатур. Другими словами файлы, в которых хранится руткит, никогда не проверяются антивирусом, что делает обнаружение и лечение руткитов особенно трудной задачей.One of the difficulties of detecting rootkits is the fact that, unlike viruses, rootkits usually activate themselves when the operating system boots up, while rootkits themselves acquire system privileges. Rootkits also take steps to hide their presence so that traditional antivirus engines cannot detect them. For example, a typical antivirus program makes a call to a system function to recognize running processes. The rootkit intercepts this call and returns to the antivirus its list of processes where the rootkit process itself is absent. In addition, the rootkit usually hides the files in which it is stored from traditional anti-virus mechanisms that scan files using virus signatures. In other words, the files in which the rootkit is stored are never scanned by the antivirus, which makes the detection and treatment of rootkits especially difficult.
В рамках операционной системы Microsoft Windows руткит работает, перехватывая системные вызовы (через так называемый Windows API или интерфейс программирования приложений). Within the Microsoft Windows operating system, the rootkit works by intercepting system calls (through the so-called Windows API or application programming interface).
Перехват и изменение низкоуровневых API-функций являются механизмом, который использует руткит для скрытия своего присутствия в системе. Более того, руткит может скрыть присутствие в системе любого своего описания в настройках процессов, файлах и папках, ключах реестра и т.д. Многие руткиты включают свои собственные драйверы и сервисы в систему, которые также оказываются скрыты. Патент US 7032114 описывает метод обнаружения руткита, в котором сравниваются начальный и конечный образец системы для того, чтобы обнаружить наличие в ней руткита.Intercepting and modifying low-level API functions is a mechanism that uses a rootkit to hide its presence in the system. Moreover, a rootkit can hide the presence of any description in the system in the process settings, files and folders, registry keys, etc. Many rootkits include their own drivers and services in the system, which also turn out to be hidden. US patent 7032114 describes a method for detecting a rootkit, which compares the initial and final sample of the system in order to detect the presence of a rootkit in it.
Публикация US 2006/0168352 описывает стандартный подход к лечению сетевого узла, где формируются начальный и последующий образ системы, сделанный после перезагрузки, после чего происходит сравнение этих образов.Publication US 2006/0168352 describes a standard approach to treating a network node, where the initial and subsequent image of the system, made after a reboot, is formed, after which these images are compared.
Патент US 6792556 описывает стандартный подход к обнаружению вирусов и восстановлению компьютера после заражения вирусом во время загрузки. В этом методе делается образ системы, который сохраняется в файл. После этого во время загрузки системы сравниваются загрузочные записи с образом системы, считанным из файла. После сравнения - если обнаружен вирус - то система восстанавливается из первоначального безопасного образа. Более того, в рамках данного патента при создании образа могут использоваться контрольные суммы.US 6792556 describes a standard approach to detecting viruses and recovering a computer after a virus infection at boot time. In this method, a system image is made, which is saved to a file. After that, during system boot, boot records are compared with the system image read from the file. After comparison - if a virus is detected - then the system is restored from the original safe image. Moreover, in the framework of this patent, checksums can be used when creating the image.
Тем не менее, большинство стандартных систем не могут быть использованы для обнаружения руткитов в силу их особенностей. Более того, большинство стандартных систем не гарантируют обнаружения большей части руткитов, которые скрывают свое присутствие, даже если используется сигнатурное сравнение.However, most standard systems cannot be used to detect rootkits due to their features. Moreover, most standard systems do not guarantee the detection of most rootkits that hide their presence, even if signature comparison is used.
Следовательно, техническим результатом данной полезной модели является предоставление системы, которая обеспечивает более эффективное обнаружение руткитов.Therefore, the technical result of this utility model is to provide a system that provides more efficient rootkit detection.
Сущность полезной моделиUtility Model Essence
Соответственно, настоящая полезная модель относится к системе для обнаружения руткитов, которые устраняют один или более недостатков соответствующего уровня техники.Accordingly, the present utility model relates to a system for detecting rootkits that eliminate one or more disadvantages of the related art.
Система для обнаружения руткита на компьютере, которая содержит: средство для создания первого образа для выделенных файлов операционной системы и реестра, при этом это средство выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов; средство для постоянного хранения первого образа, полученного упомянутым средством для создания первого образа; средство для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство для сравнения первого образа, полученного из упомянутого средства постоянного хранения, и второго образа, полученного от средства создания второго образа; средство для выдачи сообщения пользователю о заражении руткитом компьютера по результатам сравнения, полученным от упомянутого средства сравнения, при этом средство для выдачи сообщения выполнено с возможностью выдачи этого сообщения в случае неравенства первого и второго образов.A system for detecting a rootkit on a computer, which contains: means for creating the first image for the selected files of the operating system and registry, while this tool is configured to create the first image after loading the boot drivers, but before loading all other drivers; means for permanently storing the first image obtained by said means for creating the first image; means for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; means for issuing a message to the user about a rootkit infection of the computer according to the comparison results received from the said means of comparison, while the means for issuing a message is configured to issue this message in case of inequality of the first and second images.
В частном варианте выделенные файлы включают также системные службы.In a private embodiment, dedicated files also include system services.
Еще в одном частном варианте операционной системой является WINDOWS.In another private embodiment, the operating system is WINDOWS.
В другом частном варианте операционная система WINDOWS может быть как 32, так и 64-разрядной.In another particular embodiment, the WINDOWS operating system can be either 32 or 64-bit.
Еще в одном частном варианте упомянутое средство для создания первого образа выполнено с возможностью создания первого образа после обнаружения флага SERVICE_BOOT_START.In another particular embodiment, said means for creating the first image is configured to create the first image after detecting the SERVICE_BOOT_START flag.
Еще в одном частном варианте упомянутое средство для создания первого образа и упомянутого средства для создания второго образа выполнены с возможностью создания первого и второго образов соответственно с использованием ключа HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute.In another particular embodiment, said means for creating the first image and said means for creating the second image are configured to create the first and second images, respectively, using the key HKLM \ SYSTEM \ CurrentControlSet \ Control \ SessionManager \ BootExecute.
Краткое описание прилагаемых чертежейBrief description of the attached drawings
Сопровождающие чертежи, которые включены сюда для обеспечения дополнительного понимания полезной модели, включены в и составляют часть этого описания, показывающего варианты осуществления полезной модели, и совместно с описанием служат для объяснения принципов работы полезной модели.The accompanying drawings, which are included here to provide an additional understanding of the utility model, are included in and constitute part of this description showing embodiments of the utility model, and together with the description, serve to explain the operating principles of the utility model.
На фиг.1 изображена схема, которая иллюстрирует возможное воплощение полезной модели.Figure 1 shows a diagram that illustrates a possible embodiment of a utility model.
На фиг.2а и 2б изображены схемы создания и использования образов.On figa and 2b shows a diagram of the creation and use of images.
На фиг.3 показана блок-схема заявленной системы.Figure 3 shows a block diagram of the claimed system.
Подробное описание предпочтительных вариантов осуществленияDetailed Description of Preferred Embodiments
Теперь будут сделаны ссылки на подробные предпочтительные варианты осуществления настоящей полезной модели, примеры которой показаны на сопровождающих чертежах.Reference will now be made to detailed preferred embodiments of the present utility model, examples of which are shown in the accompanying drawings.
Как отмечено выше, практически все современные компьютеры используют операционные системы для управления различными функциями. На данный момент наиболее популярной операционной системой является Microsoft Windows, множество версий которой включает Windows NT 4.0, Windows 2000, Windows 2003, Windows XP (включая 64-разрядную версию). Windows Vista (включая 64-разрядную версию), Windows CE, Xbox OS и т.д. Настоящая полезная модель предназначена для работы, по крайней мере, во всех текущих и будущих версиях операционной системы Microsoft Windows. Также специалисту в уровне техники должно быть понятно, что описанные здесь идеи могут быть также применены к другим операционным системам.As noted above, almost all modern computers use operating systems to control various functions. At the moment, the most popular operating system is Microsoft Windows, many versions of which include Windows NT 4.0, Windows 2000, Windows 2003, Windows XP (including the 64-bit version). Windows Vista (including 64-bit), Windows CE, Xbox OS, etc. This utility model is designed to work in at least all current and future versions of the Microsoft Windows operating system. It should also be understood by a person skilled in the art that the ideas described herein can also be applied to other operating systems.
Как уже было сказано, операционная система Windows уязвима для заражения руткитом, поэтому ниже рассматривается подход к решению проблемы по обнаружению руткита в данной системе.As already mentioned, the Windows operating system is vulnerable to rootkit infection, therefore the approach to solving the problem of rootkit detection in this system is described below.
Создание образа обычно подразумевает копирование сектора за сектором целой файловой системы, т.е. всей служебной информации и данных. Если файловая система активна в текущий момент, то копируемые файлы могут быть изменены во время копирования, а некоторые файлы могут быть открыты для редактирования или Creating an image usually involves copying sector by sector of the whole file system, i.e. all service information and data. If the file system is currently active, then the copied files can be changed during copying, and some files can be opened for editing or
наоборот закрыты. В самом простом случае операции со всей файловой системой приостанавливаются на некоторый промежуток времени и в это время происходит создание образа. Конечно, такой подход неприменим к серверам, которые постоянно используют свои файловые системы.vice versa closed. In the simplest case, operations with the entire file system are suspended for a certain period of time and at this time an image is created. Of course, this approach does not apply to servers that constantly use their file systems.
Как показано на фиг.3, где изображена блок-схема, которая иллюстрирует возможное воплощение полезной модели. Предложенная система содержит средство 301 для создания первого образа для выделенных файлов операционной системы и реестра, средство 302 для постоянного хранения первого образа, полученного средством 301 для создания первого образа; средство 303 для создания второго образа для выделенных файлов операционной системы и реестра, который создается после загрузки всех оставшихся драйверов; средство 304 для сравнения первого образа, полученного из упомянутого средства 302 постоянного хранения, и второго образа, полученного от средства 303 создания второго образа; средство 305 для выдачи сообщения пользователю о заражении руткитом по результатам сравнения, полученным от упомянутого средства 304 сравнения.As shown in figure 3, which shows a block diagram that illustrates a possible embodiment of the utility model. The proposed system comprises means 301 for creating the first image for the selected files of the operating system and registry, means 302 for permanently storing the first image obtained by means 301 for creating the first image; means 303 for creating a second image for the selected files of the operating system and registry, which is created after loading all the remaining drivers; means 304 for comparing the first image obtained from said permanent storage means 302 and the second image obtained from the second image creating means 303; means 305 for issuing a message to the user about infection with a rootkit according to the comparison results obtained from said comparison means 304.
Средство 305 для выдачи сообщения выдает это сообщение в случае неравенства первого и второго образов. В данном случае неравенство первого и второго образов означает обнаружение скрытых файлов и веток реестра, т.е. наличия в компьютере руткита.Means 305 for issuing a message issues this message in case of inequality of the first and second images. In this case, the inequality of the first and second images means the discovery of hidden files and registry branches, i.e. the presence of a rootkit in the computer.
Кроме того, необходимо отметить, что средство 301 выполнено с возможностью создания первого образа после загрузки загрузочных драйверов, но до загрузки всех остальных драйверов, а именно, после обнаружения флага SERVICE_BOOT_START.In addition, it should be noted that the tool 301 is configured to create the first image after loading the boot drivers, but before loading all the other drivers, namely, after the SERVICE_BOOT_START flag is detected.
На фиг.1 показан алгоритм работы заявленной системы. На этапе 102 начинается процесс загрузки операционной системы на компьютере. На этапе 104 загружаются загрузочные драйвера. Загрузочными драйверами являются драйвера устройств, которые обеспечивают минимальный уровень функциональности - это драйвера графического адаптера, клавиатуры, мыши и жесткого диска. На этапе 106 средство 301 создает первый образ. Средство 301 предназначено для работы на нулевом уровне процессоров Intel после запуска системы, загрузки драйверов и старта служб. Службы в операционной системе Microsoft Windows являются аналогами демонов в системе UNIX. Полученный первый образ из средства 301 передается в средство 302 для постоянного хранения.Figure 1 shows the algorithm of the claimed system. At step 102, the process of loading the operating system on the computer begins. At 104, boot drivers are loaded. Boot drivers are device drivers that provide a minimum level of functionality - these are drivers for the graphics adapter, keyboard, mouse, and hard drive. At step 106, the tool 301 creates a first image. Tool 301 is designed to operate at the zero level of Intel processors after starting the system, loading drivers, and starting services. Services on the Microsoft Windows operating system are analogous to daemons on the UNIX system. The obtained first image from the means 301 is transferred to the means 302 for permanent storage.
На этапе 108 операционная система завершает процесс загрузки и как раз в этот момент руткит имеет возможность провести собственную инициализацию. На этапе 110 средство 303 создает второй образ, который сравнивается в средстве 304 сравнения с первым образом, полученным из средства 302, на этапе 112. Если средство 304 устанавливает, что образы идентичны, то на этапе 114 средство 305 выдачи сообщения выводит заключение об отсутствии в компьютере руткита и об этом информирует пользователя. В том случае, если образы не совпадают, то средство 305 выдает сообщение о наличии руткита в компьютере и на этапе 116 происходит перезагрузка компьютера. На этапе 118 загружаются загрузочные драйвера, а после этого, на этапе 120, средство 301 создает новый первый образ системы. На этапе 122 происходит лечение руткита и процесс возвращается к этапу 108.At step 108, the operating system completes the boot process, and just at that moment, the rootkit has the ability to perform its own initialization. At step 110, means 303 creates a second image, which is compared in means of comparison 304 with the first image obtained from means 302, at step 112. If means 304 determines that the images are identical, then at step 114, message issuing means 305 concludes that rootkit computer and informs the user about it. In the event that the images do not match, then the tool 305 displays a message about the presence of a rootkit in the computer and, at step 116, the computer restarts. At step 118, boot drivers are loaded, and after that, at step 120, tool 301 creates a new first system image. At step 122, rootkit treatment occurs and the process returns to step 108.
Как показано на фиг.1, первый образ операционной системы создается в тот момент, когда загружены загрузочные драйвера с флагом SERVICE_BOOT_START, но до того момента как запущены системные службы с флагом SERVICE_SYSTEM_START. To есть первый образ создается еще до запуска подсистемы Win32. Также стоит отметить, что первый образ формируется с помощью ключа HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperation.As shown in figure 1, the first image of the operating system is created at the moment when the boot driver with the SERVICE_BOOT_START flag is loaded, but before the system services with the SERVICE_SYSTEM_START flag are started. That is, the first image is created before the Win32 subsystem is launched. It is also worth noting that the first image is formed using the key HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ PendingFileRenameOperation.
Этот образ включает по крайней мере ветки реестра, которые отвечают за запуск драйверов, удаление и переименование файлов (например HKLM\System\CurrentControlSet\Services), подсчет контрольной суммы файлов и т.д. Специалисту в уровне техники также станет очевидно, что в образ может входить и иная информация.This image includes at least registry branches that are responsible for launching drivers, deleting and renaming files (for example, HKLM \ System \ CurrentControlSet \ Services), calculating the checksum of files, etc. It will also become apparent to a person skilled in the art that other information may also be included in the image.
После создания первого образа системы он сохраняется с помощью средства 302 постоянного хранения, таким как жесткий диск, флэш-память, кассета, DVD диск и т.д. После загрузки операционной системы можно создавать образ ее текущего состояния. Второй образ системы создается таким же образом что и первый, и должен содержать те же данные - в том случае, если руткит не заразил операционную систему. Как только второй образ системы создан, его можно будет сравнить с первым и на основе сравнения сделать заключение. Если нет никаких различий между образами, то в системе отсутствует руткит и она может загружаться и дальше. Различие между образами говорит о том, что система заражена руткитом и ее можно восстановить, например, из ранее созданной безопасной копии.After creating the first image of the system, it is saved using the means 302 for permanent storage, such as a hard disk, flash memory, tape, DVD disc, etc. After loading the operating system, you can create an image of its current state. The second image of the system is created in the same way as the first, and should contain the same data - if the rootkit did not infect the operating system. Once the second image of the system is created, it can be compared with the first and based on the comparison, a conclusion can be drawn. If there are no differences between the images, then the system does not have a rootkit and it can boot further. The difference between the images indicates that the system is infected with a rootkit and can be restored, for example, from a previously created safe copy.
В качестве опции в интервале между созданием первого и второго образов можно использовать журнал со списком загруженных, As an option, in the interval between the creation of the first and second images, you can use the log with a list of downloaded ones,
измененных и/или удаленных файлов, а также списком измененных значений реестра. Журнал может выглядеть следующим образом:changed and / or deleted files, as well as a list of changed registry values. The log might look like this:
[time] Explorer.EXE - create section for execute<path>\avp.exe - SUCCESS[time] Explorer.EXE - create section for execute <path> \ avp.exe - SUCCESS
[time] Explorer.EXE [pid] - Process Create:<path>\avp.exe [pid] - SUCCESS[time] Explorer.EXE [pid] - Process Create: <path> \ avp.exe [pid] - SUCCESS
[time] avp.exe [pid] - Thread Create [tid] - SUCCESS[time] avp.exe [pid] - Thread Create [tid] - SUCCESS
[time] avp.exe [pid] - RegSetValue - [time] avp.exe [pid] - RegSetValue -
Key:"HKCU\Software\Microsoft\Windows\CurrentVersion\Run", Value "avp",Key: "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run", Value "avp",
Type: REG_SZ, Data: "<path>\avp.exe" - SUCCESSType: REG_SZ, Data: "<path> \ avp.exe" - SUCCESS
Средства 301 и 303 создания первого и второго образов могут создавать образ, используя контрольные суммы, хэши или другие похожие односторонние функции. Каждый драйвер, например, обычно хранится в виде файла, доступного для операционной системы. Контрольную сумму (например, хэш) эти средства 301 и 303 могут генерировать для каждого такого файла драйвера. Заметим, что в случае использования таких односторонних функций как функции хэширования или другие криптографические функции, контрольные суммы надежно шифруются, при этом только сам пользователь имеет ключ для последующего сравнения или создания образа. Таблица 1 ниже показывает пример образа с 4 драйверами, обозначенными как А1-А4, отвечающими файлам для драйверов, обозначенными как FA1-FA4, и 4 соответствующими контрольными суммами, обозначенными как НА1-НА4:The means 301 and 303 for creating the first and second images can create an image using checksums, hashes, or other similar one-way functions. Each driver, for example, is usually stored as a file available to the operating system. A checksum (e.g., hash) can be generated by these tools 301 and 303 for each such driver file. Note that if one-way functions such as hash functions or other cryptographic functions are used, the checksums are securely encrypted, and only the user himself has the key for subsequent comparison or image creation. Table 1 below shows an example image with 4 drivers labeled A1-A4, corresponding files for drivers labeled FA1-FA4, and 4 corresponding checksums labeled HA1-HA4:
Если второй образ имеет те же значения НА 1-НА4, то средство сравнения 304 может заключить, что операционная система не заражена руткитом и может продолжить процесс загрузки.If the second image has the same values ON 1-HA4, then the comparison tool 304 may conclude that the operating system is not infected with a rootkit and may continue the boot process.
Но возникает другая ситуация, когда второй образ отличается от первого, как, например, на нижеприведенной таблице:But another situation arises when the second image is different from the first, as, for example, in the table below:
Как можно видеть из этого образа, драйверы А2 и A3 либо удалены, либо скрыты, а файл FA4, содержащий драйвер А4, был изменен. В этом случае есть большая вероятность того, что произошло заражение руткитом, и требуется загрузить операционную систему с заранее созданной безопасной копии.As you can see from this image, the A2 and A3 drivers are either deleted or hidden, and the FA4 file containing the A4 driver has been changed. In this case, there is a high probability that a rootkit infection has occurred, and you need to load the operating system from a previously created safe copy.
Пример образа 1':Example image 1 ':
Сравнивая результаты образов 1, 2 и 1', средство 304 сравнения может заключить, что драйвер А2 был действительно удален, файл драйвера А4 был изменен, а драйвер A3 скрывает факт своего присутствия в системе и, следовательно, это почти наверняка руткит. Следует удалить драйвер из реестра, а соответствующий ему файл должен быть либо удален, либо помещен в карантин.Comparing the results of images 1, 2, and 1 ', the comparison tool 304 can conclude that the A2 driver was really deleted, the A4 driver file was changed, and the A3 driver hides the fact of its presence in the system and, therefore, this is almost certainly a rootkit. You must remove the driver from the registry, and the corresponding file must either be deleted or quarantined.
В вышерассмотренном примере приведены только 4 драйвера, хотя специалисту в уровне техники должно быть понятно, что полезная модель не ограничена 4 драйверами и похожим образом можно работать с любым их количеством.In the above example, only 4 drivers are shown, although it should be clear to a person skilled in the art that the utility model is not limited to 4 drivers and that any number of drivers can be similarly operated.
Фиг.2а и 2б показывают в виде диаграмм создание и использование образов. Как показано на фиг.2а, у компьютера выделена часть памяти, обычно обозначаемая как пространство ядра, в котором расположены операционная система с драйверами и службами. Пространство ядра обозначено как 202 на фиг.2а. Обычно, исходя из архитектуры Intel, код, который выполняется в пространстве ядра, работает на нулевом уровне. Схема уровней в архитектуре Intel выглядит как 0-1-2-3, где нулевой - самый привилегированный.Figa and 2b show in the form of diagrams the creation and use of images. As shown in FIG. 2a, a portion of the memory is allocated to the computer, usually referred to as the kernel space in which the operating system with drivers and services are located. The core space is designated as 202 in FIG. 2a. Typically, based on Intel architecture, code that runs in kernel space runs at level zero. The level scheme in Intel architecture looks like 0-1-2-3, where zero is the most privileged.
Как показано на фиг.2а, пространство ядра 202 содержит код для различных служб 240, реестра 218 и загрузочных драйверов 206. Исходное приложение, о котором шла речь выше, также расположено в пространстве ядра 202. Загрузочные драйвера 206 используются для взаимодействия с сетевой картой 224, монитором 226, клавиатурой 228 и мышью 230. Исходное приложение использует файлы драйверов 222, которые обычно хранятся на локальном жестком диске или другом хранилище данных, для генерации контрольных сумм 216. Для генерации контрольных сумм 216 также используются значения реестра 218. Все вместе это составляет данные образа 1, который формируется средством 301 создания первого образа.As shown in FIG. 2a, kernel space 202 contains code for various services 240, registry 218, and boot drivers 206. The source application discussed above is also located in kernel space 202. Boot drivers 206 are used to interact with network card 224 , monitor 226, keyboard 228, and mouse 230. The original application uses driver files 222, which are usually stored on the local hard drive or other data storage, to generate checksums 216. To generate checksums 216, the I register 218. All together, this makes image data 1, which is formed by means of the creation of the first image 301.
Фиг.2б показывает ситуацию, когда в системе присутствует руткит 208. Там также изображены два приложения, 216А и 216N, которые работают в так называемом пространстве пользователя или на третьем уровне. Руткит 206 вносит изменения в реестр 204, файловую систему 210 и возможно другие части компьютерной системы. После подсчета контрольных сумм и создания второго образа 214 с помощью средства 301 создания первого образа и средства 303 создания второго образа, средство 304 сравнения может сравнивать (как показано на 232) два получившихся образа, образ 1 и образ 2, используя побитовое или побайтовое сравнение. В результате этого сравнения можно обнаружить скрытые файлы и тем самым выявить наличие руткита 208 в системе.Fig. 2b shows a situation where a rootkit 208 is present in the system. Two applications, 216A and 216N, which work in the so-called user space or at the third level, are also shown there. Rootkit 206 makes changes to the registry 204, file system 210, and possibly other parts of the computer system. After calculating the checksums and creating the second image 214 using the first image creating means 301 and the second image creating means 303, the comparison tool 304 can compare (as shown in 232) two resulting images, image 1 and image 2, using bitwise or byte comparison. As a result of this comparison, you can detect hidden files and thereby detect the presence of rootkit 208 in the system.
Ниже приведен типичный набор файлов, характерный для операционной системы Win32:The following is a typical set of files specific to the Win32 operating system:
Ветки реестра:Registry branches:
HKCR\exefile\shell\open\commandHKCR \ exefile \ shell \ open \ command
HKCR\exefile\shell\runas\commandHKCR \ exefile \ shell \ runas \ command
HKCR\comfile\shell\open\commandHKCR \ comfile \ shell \ open \ command
HKCR\comfile\shell\runas\commandHKCR \ comfile \ shell \ runas \ command
HKCR\piffile\shell\open\commandHKCR \ piffile \ shell \ open \ command
HKCR\piffile\shell\runas\commandHKCR \ piffile \ shell \ runas \ command
HKCR\batfile\shell\open\commandHKCR \ batfile \ shell \ open \ command
HKCR\batfile\shell\runas\commandHKCR \ batfile \ shell \ runas \ command
HKCR\htafile\shell\open\commandHKCR \ htafile \ shell \ open \ command
HKCR\htafile\shell\runas\commandHKCR \ htafile \ shell \ runas \ command
HKCR\cmdfile\shell\open\commandHKCR \ cmdfile \ shell \ open \ command
HKCR\cmdfile\shell\runas\commandHKCR \ cmdfile \ shell \ runas \ command
HKCR\scrfile\shell\open\commandHKCR \ scrfile \ shell \ open \ command
HKCR\scrfile\shell\runas\commandHKCR \ scrfile \ shell \ runas \ command
HKCR\txtfile\shell\open\commandHKCR \ txtfile \ shell \ open \ command
HKCR\txtfile\she]l\runas\commandHKCR \ txtfile \ she] l \ runas \ command
HKCR\regfile\shell\open\commandHKCR \ regfile \ shell \ open \ command
HKCR\regfile\shell\runas\commandHKCR \ regfile \ shell \ runas \ command
HKCR\*file\shell\open\commandHKCR \ * file \ shell \ open \ command
HKCR\*file\shell\runas\commandHKCR \ * file \ shell \ runas \ command
*\Software\Microsoft\Windows NT\Current Version\AEDebug\Debugger* \ Software \ Microsoft \ Windows NT \ Current Version \ AEDebug \ Debugger
*\Software\Microsoft\Windows NT\Current Version\Winlogon\Shell* \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Shell
*\Software\Microsoft\Windows NT\Current Version\Winlogon\UserInit* \ Software \ Microsoft \ Windows NT \ Current Version \ Winlogon \ UserInit
*\Sofbvare\Microsoft\Windows NT\Currcnt Version\Windows\Run* \ Sofbvare \ Microsoft \ Windows NT \ Currcnt Version \ Windows \ Run
*\Software\Microsoft\Windows*\Current Version\Windows\Load* \ Software \ Microsoft \ Windows * \ Current Version \ Windows \ Load
*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Taskman* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Taskman
*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\System* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ System
*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Notify\*\DllName* \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon \ Notify \ * \ DllName
*\Software\Microsoft\Windows*\Current Version\Run*\** \ Software \ Microsoft \ Windows * \ Current Version \ Run * \ *
HKCU\Software\Mirabilis\ICQ\Agent\Apps\*HKCU \ Software \ Mirabilis \ ICQ \ Agent \ Apps \ *
HKLM\System\Control Set???\Services\*\Parameters\Service DllHKLM \ System \ Control Set ??? \ Services \ * \ Parameters \ Service Dll
HKLM\System\Control Set???\Services\*\Image PathHKLM \ System \ Control Set ??? \ Services \ * \ Image Path
HKLM\System\Control Set???\Services\VXD\*\Static VxDHKLM \ System \ Control Set ??? \ Services \ VXD \ * \ Static VxD
HKLM\system\control set???\control\Session Manager\Boot ExecuteHKLM \ system \ control set ??? \ control \ Session Manager \ Boot Execute
HKLM\System\control set???\Control\MPRServices\*\DLL NameHKLM \ System \ control set ??? \ Control \ MPRServices \ * \ DLL Name
HKLM\System\Current Control Set\Services\VXD\*\Static VxDHKLM \ System \ Current Control Set \ Services \ VXD \ * \ Static VxD
HKLM\system\Current control set\control\Session Manager\Boot ExecuteHKLM \ system \ Current control set \ control \ Session Manager \ Boot Execute
HKLM\System\Current Control Set\Control\MPR Services\*\DLL NameHKLM \ System \ Current Control Set \ Control \ MPR Services \ * \ DLL Name
HKLM\Software\Microsoft\Active Setup\Installed Components\*\StubPathHKLM \ Software \ Microsoft \ Active Setup \ Installed Components \ * \ StubPath
HKLM\Software\Microsoft\Windows NT\Current Version\WOW\BOOT\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ WOW \ BOOT \ *
HKLM\Software\Microsoft\Windows NT\Current Version\Drivers\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Drivers \ *
HKLM\Software\Microsoft\Windows NT\Current Version\Drivers32\*HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Drivers32 \ *
HKLM\Software\Microsoft\Windows NT\Current Version\Windows\AppInit_DLLsHKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Windows \ AppInit_DLLs
*\SOFTWARE\Microsoft\Windows\Current Version\Shell Service Object Delay Load\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Shell Service Object Delay Load \ *
HKLM\SOFTWARE\Microsoft\VBA\Monitors\*\CLSIDHKLM \ SOFTWARE \ Microsoft \ VBA \ Monitors \ * \ CLSID
HKCU\Control Panel\Desktop\SCRNSAVE.EXEHKCU \ Control Panel \ Desktop \ SCRNSAVE.EXE
*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shared Task Scheduler\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Shared Task Scheduler \ *
*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks \ *
*\Software\Policies\Microsoft\Windows\System\Scripts\** \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts \ *
*\Software\Microsoft\Windows\Current Version\policies\Explorer\Run\** \ Software \ Microsoft \ Windows \ Current Version \ policies \ Explorer \ Run \ *
*\Software\Microsoft\Windows\Current Version\Policies\System\Shell* \ Software \ Microsoft \ Windows \ Current Version \ Policies \ System \ Shell
HKLM\Software\Microsoft\Windows\Current Version\Shell Extensions\Approved\*HKLM \ Software \ Microsoft \ Windows \ Current Version \ Shell Extensions \ Approved \ *
*\Software\Microsoft\Command Processor\Auto Run HKLM\Software\Microsoft\Internet Explorer\Toolbar\** \ Software \ Microsoft \ Command Processor \ Auto Run HKLM \ Software \ Microsoft \ Internet Explorer \ Toolbar \ *
*\Software\Microsoft\Internet Explorer\MenuExt\** \ Software \ Microsoft \ Internet Explorer \ MenuExt \ *
HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.exe\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .exe \ *
HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.com\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .com \ *
HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.bat\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .bat \ *
HKCU\Software\Microsoft\Windows\Current Version\Explorer\File Exts\.pif\*HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ File Exts \ .pif \ *
*\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects\** \ SOFTWARE \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects \ *
HKLM\Software\Microsoft\Windows\Current Version\App Paths\*\*HKLM \ Software \ Microsoft \ Windows \ Current Version \ App Paths \ * \ *
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ImageHKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Image
File Execution Options\*\DebuggerFile Execution Options \ * \ Debugger
*\SOFTWARE\Microsoft\Internet Explorer\Extensions\*\** \ SOFTWARE \ Microsoft \ Internet Explorer \ Extensions \ * \ *
*\SOFTWARE\Microsoft\Internet Explorer\Extensions\** \ SOFTWARE \ Microsoft \ Internet Explorer \ Extensions \ *
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*\Contains\Files\*HKLM \ SOFTWARE \ Microsoft \ Code Store Database \ Distribution Units \ * \ Contains \ Files \ *
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\*HKLM \ SOFTWARE \ Microsoft \ Code Store Database \ Distribution Units \ *
Средства 301 и 303 подсчитывают контрольные суммы для следующих файлов:Tools 301 and 303 calculate checksums for the following files:
c:\autoexec.batc: \ autoexec.bat
%System Drive%\autoexec.bat% System Drive% \ autoexec.bat
c:\config.sysc: \ config.sys
%System Drive%\config.sys% System Drive% \ config.sys
Winstart.batWinstart.bat
win.iniwin.ini
system, inisystem, ini
*:\autorun.inf*: \ autorun.inf
Также контрольные суммы генерируются средствами 301 и 303 для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).Also, checksums are generated by means of 301 and 303 for all drivers, .dll and .exe files (or more broadly - for all files listed in the above registry branches).
Далее приведен типичный набор файлов, характерный для операционной системы Win64:The following is a typical set of files specific to the Win64 operating system:
Просматриваются следующие ветки реестра:The following registry branches are viewed:
- HKCU\Software\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run
- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run
- HKLM\Software\Microsoft\Windows\Current Version\Run- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run
- HKLM\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Run
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run
Run Once - related branches:Run Once - related branches:
- HKCU\Software\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run Once
- HKCU\Software\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex
- HKLM\Software\Microsoft\Windows\Current Version\Run Once- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run Once
- HKLM\Software\Microsoft\Windows\Current Version\Run Once Ex- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once Ex
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run Once
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Run Once Ex
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Run Once Ex- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Run Once Ex
CLSIDs - related branches:CLSIDs - related branches:
- HKCU\Software\Classes\CLSID- HKCU \ Software \ Classes \ CLSID
- HKLM\Software\Classes\CLSID- HKLM \ Software \ Classes \ CLSID
- HKCU\Software\Classes\Wow6432Node\CLSID- HKCU \ Software \ Classes \ Wow6432Node \ CLSID
- HKLM\Software\Classes\Wow6432Node\CLSID- HKLM \ Software \ Classes \ Wow6432Node \ CLSID
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\CLSID- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ CLSID
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\CLSID- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ CLSID
Search - related branches:Search - related branches:
- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Search
- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Search
- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Search- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Search
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Search
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Mnternet Explorer\Search- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Mnternet Explorer \ Search
- HKCU\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url
- HKLM\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search Url- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Search Url
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Search Url
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\Search Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft Mnternet Explorer \ Search Url
ActiveX load and installation - related branches:ActiveX load and installation - related branches:
- HKLM\Software\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Code Store Database\Distribution Units- HKLM \ Software \ Microsoft \ Code Store Database \ Distribution Units HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Code Store Database \ Distribution Units
- HKLM\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Code Store Database\Distribution Units Drivers:- HKLM \ Software \ Wow6432Node \ Microsoft \ Code Store Database \ Distribution Units HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Code Store Database \ Distribution Units Drivers:
- HKLM\System\Current Control Set\Services Context Menu Handlers - - related branches:- HKLM \ System \ Current Control Set \ Services Context Menu Handlers - - related branches:
- HKCU\Software\Classes\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ * \ shellex \ Context Menu Handlers
- HKLM\Software\Classes\*\shellex\Context Menu Handlers- HKLM \ Software \ Classes \ * \ shellex \ Context Menu Handlers
- HKCU\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers
- HKLM\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKLM \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ * \ shellex \ Context Menu Handlers
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\*\shellex\Context Menu Handlers- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ * \ shellex \ Context Menu Handlers
Browser Helper Object:Browser Helper Object:
- HKCU\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects
- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects Shell Execute Hooks:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Browser Helper Objects Shell Execute Hooks:
- HKLM\Software\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\Shell Execute Hooks- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ Shell Execute Hooks
Name Server Protection:Name Server Protection:
- HKLM\System\Current Control Set\Services\Tcpip\Parameters Screen Saver:- HKLM \ System \ Current Control Set \ Services \ Tcpip \ Parameters Screen Saver:
- HKCU\Control Panel\Desktop Lsp:- HKCU \ Control Panel \ Desktop Lsp:
- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Protocol_Catalog 9\Catalog_Entries- HKLM \ System \ Current Control Set \ Services \ WinSock2 \ Parameters \ Protocol_Catalog 9 \ Catalog_Entries
- HKLM\System\Current Control Set\Services\WinSock2\Parameters\Name Space_Catalog5\Catalog_Entries- HKLM \ System \ Current Control Set \ Services \ WinSock2 \ Parameters \ Name Space_Catalog5 \ Catalog_Entries
Ini File Mapping:Ini File Mapping:
- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot
- HKLM\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKLM \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini
- HKLM\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot
- HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ win.ini
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\system.ini\boot- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ system.ini \ boot
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\Current Version\Ini File Mapping\win.ini- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows NT \ Current Version \ Ini File Mapping \ win.ini
IE About:IE About:
- HKCU\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs
- HKLM\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\About URLs- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ About URLs
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\About URLs- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ About URLs
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft Mnternet Explorer\About URLs IE Explorer Bars:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft Mnternet Explorer \ About URLs IE Explorer Bars:
- HKCU\Software\Microsoft\Internet Explorer\Explorer Bars- HKCU \ Software \ Microsoft \ Internet Explorer \ Explorer Bars
- HKLM\Software\Microsoft\Internet Explorer\Explorer Bars- HKLM \ Software \ Microsoft \ Internet Explorer \ Explorer Bars
- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Explorer Bars
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Explorer Bars
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\ Internet Explorer\Explorer Bars Restrict Run:- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Explorer Bars Restrict Run:
- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Restrict Run Shell Open Command:- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer \ Restrict Run Shell Open Command:
- HKCU\Software\Classes\batfile\shell\open\command- HKCU \ Software \ Classes \ batfile \ shell \ open \ command
- HKCU\Software\Classes\batfile\shell\runas\command- HKCU \ Software \ Classes \ batfile \ shell \ runas \ command
- HKCU\Software\Classes\comfile\shell\open\command- HKCU \ Software \ Classes \ comfile \ shell \ open \ command
- HKCU\Software\Classes\exefile\shell\open\command- HKCU \ Software \ Classes \ exefile \ shell \ open \ command
- HKCU\Software\Classes\ftp\shell\open\command- HKCU \ Software \ Classes \ ftp \ shell \ open \ command
- HKCU\Software\Classes\htafile\shell\open\command- HKCU \ Software \ Classes \ htafile \ shell \ open \ command
- HKCU\Software\Classes\htmlfile\shell\open\command- HKCU \ Software \ Classes \ htmlfile \ shell \ open \ command
- HKCU\Software\Classes\http\shell\open\command- HKCU \ Software \ Classes \ http \ shell \ open \ command
- HKCU\Software\Classes\https\shell\open\command- HKCU \ Software \ Classes \ https \ shell \ open \ command
- HKCU\Software\Classes\mailto\shell\open\command- HKCU \ Software \ Classes \ mailto \ shell \ open \ command
- HKCU\Software\Classes\mp3file\shell\open\command- HKCU \ Software \ Classes \ mp3file \ shell \ open \ command
- HKCU\Software\Classes\mpegfile\shell\open\command- HKCU \ Software \ Classes \ mpegfile \ shell \ open \ command
- HKCU\Software\Classes\piffile\shell\open\command- HKCU \ Software \ Classes \ piffile \ shell \ open \ command
- HKCU\Software\Classes\txtfile\shell\open\command- HKCU \ Software \ Classes \ txtfile \ shell \ open \ command
- HKCU\Software\Classes\cmdfile\shell\open\command- HKCU \ Software \ Classes \ cmdfile \ shell \ open \ command
- HKCU\Software\Classes\regfile\shell\open\command- HKCU \ Software \ Classes \ regfile \ shell \ open \ command
- HKCU\Software\Classes\scrfile\shell\open\command- HKCU \ Software \ Classes \ scrfile \ shell \ open \ command
- HKCU\Software\Classes\vbsfile\shell\open\command- HKCU \ Software \ Classes \ vbsfile \ shell \ open \ command
- HKLM\Software\Classes\batfile\shell\open\command- HKLM \ Software \ Classes \ batfile \ shell \ open \ command
- HKLM\Software\Classes\batfile\shell\runas\command- HKLM \ Software \ Classes \ batfile \ shell \ runas \ command
- HKLM\Software\Classes\comfile\shell\open\command- HKLM \ Software \ Classes \ comfile \ shell \ open \ command
- HKLM\Software\Classes\exefile\shell\open\command- HKLM \ Software \ Classes \ exefile \ shell \ open \ command
- HKLM\Software\Classes\ftp\shell\open\command- HKLM \ Software \ Classes \ ftp \ shell \ open \ command
- HKLM\Software\Classes\htafile\shell\open\command- HKLM \ Software \ Classes \ htafile \ shell \ open \ command
- HKLM\Software\Classes\htmlfile\shell\open\command- HKLM \ Software \ Classes \ htmlfile \ shell \ open \ command
- HKLM\Software\Classes\http\shell\open\command- HKLM \ Software \ Classes \ http \ shell \ open \ command
- HKLM\Software\Classes\https\shell\open\command- HKLM \ Software \ Classes \ https \ shell \ open \ command
- HKLM\Software\Classes\mailto\shell\open\command- HKLM \ Software \ Classes \ mailto \ shell \ open \ command
- HKLM\Software\Classes\mp3file\shell\open\command- HKLM \ Software \ Classes \ mp3file \ shell \ open \ command
- HKLM\Software\Classes\mpegfile\shell\open\command- HKLM \ Software \ Classes \ mpegfile \ shell \ open \ command
- HKLM\Software\Classes\piffile\shell\open\command- HKLM \ Software \ Classes \ piffile \ shell \ open \ command
- HKLM\Software\Classes\txtfile\shell\open\command- HKLM \ Software \ Classes \ txtfile \ shell \ open \ command
- HKLM\Software\Classes\cmdfile\shell\open\command- HKLM \ Software \ Classes \ cmdfile \ shell \ open \ command
- HKLM\Software\Classes\regfile\shell\open\command- HKLM \ Software \ Classes \ regfile \ shell \ open \ command
- HKLM\Software\Classes\scrfile\shell\open\command- HKLM \ Software \ Classes \ scrfile \ shell \ open \ command
- HKLM\Software\C lasses\vbsfile\shell\open\command- HKLM \ Software \ C lasses \ vbsfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\batfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKCU \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command
- HKCU\Software\Classes\Wow6432Node\comfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\exefile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\ftp\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ ftp \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\htafile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\http\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\https\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\mailto\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\piffile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\regfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command
- HKCU\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\batfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKLM \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command
- HKLM\Software\Classes\Wow6432Node\comfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\exefile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command
- HKLM\Software\C lasses\Wow6432Node\ftp\shell\open\command- HKLM \ Software \ C lasses \ Wow6432Node \ ftp \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\htafile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\http\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\https\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\mailto\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\piffile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\cmdfile\shell\open\comrnand- HKLM \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ comrnand
- HKLM\Software\Classes\Wow6432Node\regfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command
- HKLM\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKLM \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ batfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\batfile\shell\runas\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ batfile \ shell \ runas \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\comfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ comfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\exefile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ exefile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\ftp\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ ftp \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htafile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ htafile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ htmlfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\http\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ http \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\https\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ https \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mailto\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mailto \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mp3file\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mp3file \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ mpegfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\piffile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ piffile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\txtfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ txtfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ cmdfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\regfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ regfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\scrfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ scrfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ vbsfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ batfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\batfile\shell\runas\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ batfile \ shell \ runas \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \comfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ comfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHlNE\Software\Classes\Wow6432Node\exefile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHlNE \ Software \ Classes \ Wow6432Node \ exefile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\ftp\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ ftp \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htafile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ htafile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\htmlfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ htmlfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node \http\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ http \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHrNE\Software\Classes\Wow6432Node\https\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHrNE \ Software \ Classes \ Wow6432Node \ https \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mailto\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mailto \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mp3file\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mp3file \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\mpegfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ mpegfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\piffile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ piffile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\txtfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ txtfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\cmdfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ cmdfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\regfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ regfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\scrfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ scrfile \ shell \ open \ command
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Classes\Wow6432Node\vbsfile\shell\open\command- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Classes \ Wow6432Node \ vbsfile \ shell \ open \ command
User Shell Folders:User Shell Folders:
- HKCU\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
- HKLM\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
- HKLM\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current Version\Explorer\User Shell Folders- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ Current Version \ Explorer \ User Shell Folders
IE Main:IE Main:
- HKCU\SOFTWARE\Microsoft\Internet Explorer\Main- HKCU \ SOFTWARE \ Microsoft \ Internet Explorer \ Main
- HKLM\SOFTWARE\Microsoft\Internet Explorer\Main- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Main
- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Main
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Main- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Main
IE Extensions:IE Extensions:
- HKCU\Software\Microsoft Internet Explorer\Extensions- HKCU \ Software \ Microsoft Internet Explorer \ Extensions
- HKLM\Software\Microsoft\Internet Explorer\Extensions- HKLM \ Software \ Microsoft \ Internet Explorer \ Extensions
- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Extensions
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Extensions- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Extensions
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Extensions- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Extensions
IE Plugin:IE Plugin:
- HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension- HKLM \ SOFTWARE \ Microsoft \ Internet Explorer \ Plugins \ Extension
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Plugins \ Extension
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Microsoft Internet Explorer\Plugins\Extension- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Microsoft Internet Explorer \ Plugins \ Extension
- HKCU\Software\Classes\Virtual Store\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Plugins\Extension- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Internet Explorer \ Plugins \ Extension
IE Menu Extension:IE Menu Extension:
- HKCU\Software\Microsoft\Internet Explorer\MenuExt- HKCU \ Software \ Microsoft \ Internet Explorer \ MenuExt
IE Toolbar:IE Toolbar:
- HKCU\Software\Microsoft\Internet Explorer\Toolbar- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar
- HKLM\Software\Microsoft\Internet Explorer\Toolbar- HKLM \ Software \ Microsoft \ Internet Explorer \ Toolbar
- HKLM\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar- HKLM \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Toolbar
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Toolbar- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Toolbar
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Toolbar- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Toolbar
IE Shell Browser:IE Shell Browser:
- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Shell Browser- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Shell Browser
IE Uri Search Hooks:IE Uri Search Hooks:
- HKCU\Software\Microsoft\Internet Explorer\Url Search Hooks- HKCU \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks
- HKLM\Software\Microsoft\Internet Explorer\Url Search Hooks- HKLM \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks
- HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Url Search Hooks- HKLM \ Software \ Wow6432Node \ Microsoft \ Internet Explorer \ Url Search Hooks
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Internet Explorer\Url Search Hooks- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Internet Explorer \ Url Search Hooks
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft Internet Explorer\Url- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft Internet Explorer \ Url
Search HooksSearch hooks
IE Web Browser:IE Web Browser:
- HKCU\Software\Microsoft\Internet Explorer\Toolbar\Web Browser Safe Boot:- HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar \ Web Browser Safe Boot:
- HKLM\System\Current Control Set\Control\Safe Boot\Minimal- HKLM \ System \ Current Control Set \ Control \ Safe Boot \ Minimal
- HKLM\System\Current Control Set\Control\Safe Boot\Network- HKLM \ System \ Current Control Set \ Control \ Safe Boot \ Network
Autorun:Autorun:
- HKCU\Software\Microsoft\Command Processor- HKCU \ Software \ Microsoft \ Command Processor
- HKLM\Software\Microsoft\Command Processor- HKLM \ Software \ Microsoft \ Command Processor
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Microsoft\Command Processor- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Microsoft \ Command Processor
- HKLM\Software\Wow6432Node\Microsoft\Command Processor- HKLM \ Software \ Wow6432Node \ Microsoft \ Command Processor
- HKCU\Software\Classes\Virtual Store\MACHINE\Software\Wow6432Node\Microsoft\Command Processor- HKCU \ Software \ Classes \ Virtual Store \ MACHINE \ Software \ Wow6432Node \ Microsoft \ Command Processor
Контрольные суммы подсчитываются для следующих файлов:Checksums are calculated for the following files:
%SystemRoot%\System32\drivers\*.sys% SystemRoot% \ System32 \ drivers \ *. Sys
%SYSTEMROOT%\System32\Tasks (Task Scheduler)% SYSTEMROOT% \ System32 \ Tasks (Task Scheduler)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start
Menu\Programs\StartupMenu \ Programs \ Startup
(Startup Folder)(Startup Folder)
С:\autoexec.batC: \ autoexec.bat
%SystemDrive%\autoexec.bat% SystemDrive% \ autoexec.bat
c:\config.sysc: \ config.sys
%SystemDrive%\config.sys% SystemDrive% \ config.sys
Winstart.batWinstart.bat
win.iniwin.ini
system.inisystem.ini
*:\autorun.inf*: \ autorun.inf
Также контрольные суммы генерируются для всех драйверов,.dll и .ехе файлов (или более широко - для всех файлов перечисленных в вышеуказанных ветках реестра).Also, checksums are generated for all drivers, .dll and .exe files (or more broadly - for all files listed in the above registry branches).
Имея вышеописанные предпочтительные варианты осуществления, специалисту в уровне технике будет очевидно, что будут достигнуты конкретные преимущества описанного способа и устройства. Следует также учитывать, что различные модификации, адаптации и альтернативные варианты осуществления могут быть сделаны в объеме и сущности настоящей полезной модели. Кроме того, полезная модель определяется следующей формулой.Having the preferred embodiments described above, it will be apparent to those skilled in the art that the specific advantages of the described method and apparatus will be achieved. It should also be borne in mind that various modifications, adaptations, and alternative embodiments can be made within the scope and essence of the present utility model. In addition, a utility model is defined by the following formula.
Claims (6)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2008107129/22U RU77472U1 (en) | 2008-02-28 | 2008-02-28 | RUTKIT DETECTION AND TREATMENT SYSTEM |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2008107129/22U RU77472U1 (en) | 2008-02-28 | 2008-02-28 | RUTKIT DETECTION AND TREATMENT SYSTEM |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU77472U1 true RU77472U1 (en) | 2008-10-20 |
Family
ID=40041749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2008107129/22U RU77472U1 (en) | 2008-02-28 | 2008-02-28 | RUTKIT DETECTION AND TREATMENT SYSTEM |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU77472U1 (en) |
-
2008
- 2008-02-28 RU RU2008107129/22U patent/RU77472U1/en active IP Right Revival
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7921461B1 (en) | System and method for rootkit detection and cure | |
| US9104861B1 (en) | Virtual security appliance | |
| RU2589862C1 (en) | Method of detecting malicious code in random-access memory | |
| US9396326B2 (en) | User transparent virtualization method for protecting computer programs and data from hostile code | |
| CN107949846B (en) | Detection of malicious thread suspension | |
| US9202046B2 (en) | Systems and methods for executing arbitrary applications in secure environments | |
| US9367671B1 (en) | Virtualization system with trusted root mode hypervisor and root mode VMM | |
| US8677491B2 (en) | Malware detection | |
| US8661541B2 (en) | Detecting user-mode rootkits | |
| US9349009B2 (en) | Method and apparatus for firmware based system security, integrity, and restoration | |
| US10325116B2 (en) | Dynamic privilege management in a computer system | |
| US20150271139A1 (en) | Below-OS Security Solution For Distributed Network Endpoints | |
| US8539578B1 (en) | Systems and methods for defending a shellcode attack | |
| US20070113062A1 (en) | Bootable computer system circumventing compromised instructions | |
| US8495741B1 (en) | Remediating malware infections through obfuscation | |
| JP2009543186A (en) | Identifying malware in the boot environment | |
| US10108800B1 (en) | ARM processor-based hardware enforcement of providing separate operating system environments for mobile devices with capability to employ different switching methods | |
| Vokorokos et al. | Application security through sandbox virtualization | |
| US10102377B2 (en) | Protection of secured boot secrets for operating system reboot | |
| Wueest | Threats to virtual environments | |
| US9342694B2 (en) | Security method and apparatus | |
| RU77472U1 (en) | RUTKIT DETECTION AND TREATMENT SYSTEM | |
| Wu et al. | Towards a binary integrity system for windows | |
| RU2585978C2 (en) | Method of invoking system functions in conditions of use of agents for protecting operating system kernel | |
| Corregedor et al. | Implementing rootkits to address operating system vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Utility model has become invalid (non-payment of fees) |
Effective date: 20081208 |
|
| NF1K | Reinstatement of utility model |
Effective date: 20100510 |