Interested Article - HijackThis
- 2021-12-08
- 1
HijackThis — это портативная компьютерная программа, которая может использоваться как пассивная антивирусная утилита, предназначенная для обнаружения и устранения некоторых типов вредоносного ПО , использующие различные механизмы системы для своего автозапуска .
История развития HijackThis
Изначально разработана нидерландским разработчиком Мерийном Беллекомом (Merijn Bellekom) как единственное на то время средство для поиска и устранения "угонщиков браузеров" и других вредоносных программ, не известных антивирусам, а также для устранения последствий заражения. В 2007 году HijackThis был куплен антивирусной компанией Trend Micro и в 2012 Trend Micro выпустила HijackThis в свободное плавание , опубликовав его исходный код под лицензией GNU GPL v2. Код, написанный на языке Visual Basic 6 стал официально доступным на SourceForge . К сожалению, несмотря на статус Open Source, утилита не получала никаких существенных обновлений, а 21.02.2017 Trend Micro перевела проект в неактивное состояние (Abandoned) .
Переход к HijackThis+
В начале 2015 года развитие HijackThis продолжилось под именем HiJackThis Fork v3 благодаря усилиям украинского разработчика Станислава Польшина (Alex Dragokas) в рамках проекта по переводу с английского языка. Однако, по ходу создания перевода возникали возможности исправлять ошибки логики, добавлять новые области автозапуска и улучшать существующие. Это позволило вдохнуть в проект новую жизнь. Значительную консультативную помощь в создании форка и его тестированию оказывала некоммерческая ассоциация VIRUSNET, занимающаяся помощью пользователям в лечении ПК и обучением. В начале 2016 года к проекту форка подключились кураторы HijackThis из компании Trend Micro - Loucif Kharouni и Fernando Mercês. Исходный код форка был закоммичен в приватный репозиторий компании на её GitHub, хотя и не был представлен в виде релиза официально. Однако, через год в связи с потерей у компании интереса к этому продукту, было решено создать форк репозитория и все дальнейшие обновления публикуются там и по сей день. С мая 2023 года проект переименован и сейчас носит название HijackThis+ (Plus), окончательно став отдельной веткой развития и "правопреемником" классического HijackThis.
Терминология
Сам термин "Hijack", "Hijacking" – в переводе означает "угон" или "налёт", а в контексте угона браузера или другого ПО означает, что вредоносное ПО посредством установки (внедрения) своего модуля в легитимный процесс (либо подмены его исполняемого файла) получает контроль над программой, например, может перенаправлять вас на рекламные страницы, открывать порты, выполнять практически любое действие в системе, ограниченное только правами, выданными данному процессу, а с применением эксплойтов – даже не ограничиваясь исходными правами.
Принцип работы
HijackThis относится к категории программ "пассивный бессигнатурный антивирусный сканер". Сюда же входят такие известные программы, как: AVZ (Антивирусная утилита Зайцева), UVs (Universal Virus Sniffer от Д.Кузнецова), FRST (Farbar Recovery Scan Tool).
Отличиями от классического (активного) антивируса являются:
Плюсы:
- способность обнаруживать и обезвреживать новое вредоносное ПО, не видимое для классических антивирусов, в чьих сигнатурных базах оно отсутствует и не подпадает под подозрение на основе правил поведенческого анализа (HIPS).
Минусы:
- запуск по требованию, соответственно не способен предотвращать заражение, а только лечить, однако, поместив утилиту в автозапуск, может помочь заранее заметить вектор атаки
- требует вмешательства оператора для принятия решения об удалении элементов, т.к. самостоятельно не умеет однозначно отделять легитимные объекты от вредоносных.
HijackThis работает на основе белых списков, т.е. фильтрует всё, что было в системе на момент установки и выводит в отчёт всё, что не является дефолтом – как легитимные, так и возможно вредоносные записи. Оператор должен провести дополнительное исследование каждой записи, используя опыт, статистику, проверку через другие сервисы, чтобы разобраться, присутствуют ли в логе вредоносные или потенциально опасные объекты.
Назначение HijackThis+ в наши дни
Используется специалистами по информационной безопасности и продвинутыми пользователями с такими целями:
- лечение систем на базе ОС Windows, когда классический антивирус не справляется
- устранение неполадок в системе
- аудит безопасности
Что проверяет HijackThis+ в операционной системе
R0, R1, R2, R3, R4 — изменения основных настроек Internet Explorer.
F0, F1, F2, F3 — автозапуск программ из ini-файлов и эквивалентных мест реестра.
O1 — изменения в файлах Hosts и Hosts.ics / подмена DNSApi.
O2 — плагины и расширения браузера (BHO/Browser Helper Objects).
O3 — дополнительные панели инструментов браузера (Internet Explorer Toolbars).
O4 — автозапуск программ из реестра и папки "Автозапуск" (Startup).
O5 — скрытые элементы в оснастке "Панель Управления".
O6 — запрет на изменение некоторых настроек в Свойствах браузера (Internet Options).
O7 — блокировка редактора реестра (Regedit), диспетчера задач (TaskMgr), элементов проводника и меню пуск / Запрещенные сертификаты цифровой подписи / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShooting).
O8 — дополнительные пункты контекстного меню Internet Explorer .
O9 — дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 — нарушение доступа к Интернету из-за повреждения или нарушения Winsock LSP (поставщик многоуровневых услуг).
O11 — группа настроек в "Свойствах браузера" на вкладке "Дополнительно".
O12 — плагины Internet Explorer для расширений файлов и MIME-типов.
O13 — подмена префиксов URL.
O14 — изменения в файле iereset.inf.
O15 — веб-сайты и протоколы, добавленные в зону Надёжные узлы (Trusted Zone).
O16 — программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 — изменения домена или DNS сервера.
O18 — изменения протоколов и фильтров.
O19 — подмена шаблона стиля (Style Sheet) пользователя.
O20 — уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs).
O21 — объекты загрузки оболочки - SSODL (Shell Service Object Delay Load), оверлея иконок - SIOI (ShellIconOverlayIdentifiers ) и хуков проводника (ShellExecuteHooks).
O22 — задачи Планировщика заданий Windows (Shared Task Scheduler).
O23 — службы и драйверы Windows .
O24 — компоненты Windows Active Desktop.
O25 — постоянные потребители событий WMI.
O26 — отладчики процессов (IFEO и другие).
O27 — учётные записи и протокол удалённого рабочего стола (RDP).
Основные отличия HijackThis+ от оригинального HijackThis
- Полная совместимость со всеми современными ОС Windows, включая Windows 11 и поддержку Windows XP
- Надёжная система резервного копирования исправляемых элементов и бекап всего реестра через Autobackup registry (ABR)
- Валидация на основе электронной цифровой подписи
- Перевод на украинский, русский, французский и испанский языки.
- Добавлено множество новых мест для проверки автозапуска и обнаружения подмен в такие секции, как: O1, O4, O7, O17, O21, O22, O23
- Добавлена R4 - SearchScopes.
- Добавлена O7 - IPSec: политики IP-безопасности.
- Добавлена O7 - TroubleShoot: разрешение общих системных проблем.
- Добавлена O17 - DHCP DNS: DNS адреса, установленные в настройках роутера.
- Добавлены новые секции: O25, O26, O27
- Добавлена панель меню (File, Tools, Help).
- Добавлены новые инструменты (меню Tools):
- разблокировщик прав на ветви реестра
- разблокировщик ACL прав файлов
- пакетная проверка ЭЦП файлов
- анализатор типа ключа реестра
- Установщик (File -> Install HJT) для автозапуска утилиты и отображения, что нового появилось в системе с момента последнего сканирования
Примечания
- (рус.) . Дата обращения: 24 августа 2021. 24 августа 2021 года.
- ↑ (англ.) . SourceForge . Дата обращения: 24 августа 2021. 30 августа 2021 года.
- (англ.) . GitHub . Дата обращения: 24 августа 2021. 29 октября 2021 года.
- (рус.) . SafeZone - форум помощи . Дата обращения: 24 августа 2021. 4 мая 2021 года.
Литература
- // Maximum PC ноябрь 2007 года
- // в книге Windows Lockdown!: Your XP and Vista Guide Against Hacks, Attacks, and Other Internet Mayhem 2nd Edition от Andy Walker (2008)
- // Help Net Security, 2009 год
- в книге Combating Spyware in the Enterprise (2006).
- // GHACKS ноябрь 2018 года
Ссылки
- на сайте Trend Micro
- от 14 ноября 2007 на Wayback Machine
- 2021-12-08
- 1