Co widać w oknach

Na naszym krążku znajdziesz ESET SysInspector – aplikację, która umożliwia dokładną diagnostykę systemu Windows. Programu możesz używać w systemach Windows 2000, XP, 2003 Server oraz w najnowszym Windows Vista. Jest to co prawda wersja beta, ale ma pełnię funkcji i podczas redakcyjnych testów nie zdradzała oznak niestabilności. Program SysInspector jest bardzo prosty w obsłudze. Każdy program czy usługa systemowa uruchomione w systemie operacyjnym działają pod postacią tzw. procesu. Proces to zbiór informacji (m.in. zestaw adresów w pamięci komputera, zestaw instrukcji sterujących programem) niezbędnych do działania aplikacji. Program lub usługa mogą się składać z jednego lub kilku procesów. Ponieważ wiele programów korzysta z usług i innych programów uruchomionych już wcześniej w komputerze, procesy są często ze sobą powiązane. ESET SysInspector bardzo ułatwia znalezienie, „namierzenie” takich powiązanych ze sobą procesów dla każdego uruchomionego programu. Dodatkową zaletą SysInspectora jest to, że umożliwia łatwe znalezienie w rejestrze Windows kluczy i wartości przyporządkowanych jakiejś konkretnej aplikacji.

Program ESET SysInspector nie wymaga instalacji. W naszym poradniku przyjęlismy założenie, że używasz Windows XP, ale w innej wersji systemu z programu korzysta się tak samo.

Aby uruchomić program, kliknij dwukrotnie ikonę SysInspector lub wybierz opcję uruchomienia za pośrednictwem naszego krążka. Jeżeli pojawi się okno Otwórz plik - ostrzeżenie o zabezpieczeniach, kliknij w nim Uruchom.

Wyświetli się okno, w którym odbywa się sprawdzanie twojego systemu. Program analizuje wszystkie uruchomione w systemie procesy i skanuje rejestr Windows pod kątem zainstalowanego w systemie oprogramowania. Poczekaj do końca skanowania.

Gdy skanowanie się zakończy, pojawi się główne okno programu:

Okno ESET SysInspectora jest podzielone na kilka części. Na samej górze, pod paskiem tytułowym i paskiem z nazwą programu i logo firmy ESET znajduje się rozwijana lista Detail, na której domyślnie jest ustawiona wartość Full. Za pomocą wartości widocznych na tej liście ustalasz dokładność raportów programu o uruchomionych w systemie procesach. Wartość Full oznacza najpełniejsze raporty. Pozostałe wartości, Medium oraz Basic, ograniczają ilość informacji w raportach tylko do najistotniejszych.

Po prawej stronie listy Details znajduje się suwak Items Filtering, za pomocą którego określasz sposób filtrowania danych dotyczących działających w systemie procesów. Domyślnie suwak jest ustawiony w pozycji Fine – w takim przypadku program zbiera wszystkie możliwe dane o tym, co jest w systemie uruchomione, jakie pracują usługi, jakie są zainstalowane sterowniki i jakie działają programy. Przesuwając suwak w prawo, uzyskasz zmianę wartości na: Unknown – program wyświetli tylko nieznane mu elementy, a potem: Risky – program wyświetli tylko ewidentne (i znane mu) zagrożenia.

Po lewej stronie okna programu jest wyświetlone drzewko kategorii składników, o których ESET SysInspector zbiera informacje. Oto, co wyświetlają poszczególne kategorie:
Running processes – wszystkie uruchomione w systemie procesy;
Network connections – procesy, które korzystają z sieci;
Important Registry Entries – klucze rejestru Windows, w których znajdują się informacje o wszystkich uruchomionych procesach;
Services – usługi uruchomione w systemie;
Drivers – informacje o zainstalowanych w systemie sterownikach sprzętowych;
Critical files – nazwa tej kategorii (pliki krytyczne) jest trochę na wyrost, gdyż tutaj ESET SysInspector gromadzi informacje o wpisach w trzech plikach systemowych – szczegóły w dalszej części artykułu;
System Information – bardzo rozbudowane informacje o systemie, począwszy od wartości przypisanych zmiennym systemowym, poprzez listę wszystkich zainstalowanych programów, łat, poprawek, aż po przywileje użytkownika;
File Details – szczegółowe informacje o każdym aktualnie otwartym w systemie pliku; dotyczy to zarówno plików programów, jak i skojarzonych z tymi programami bibliotek, otwartych dokumentów, obrazków (również tapet Windows) itp.
About – notka o wersji ESET SysInspectora.

Diagnostykę Windows zacznij od przyjrzenia się działającym w systemie procesom.

Po lewej stronie okna ESET SysInspector zaznacz i rozwiń kategorię Running processes. Zwróć uwagę na oznaczenia kolorystyczne wyświetlonych elementów. Wpisy oznaczone kolorem zielonym to procesy, które według ESET SysInspectora są znane i bezpieczne dla systemu. Barwą ciemnożółtą są oznaczone wpisy, które same mogą być bezpieczne, ale zawierają odwołania do nieznanych składników. Zagrożenia są oznaczane kolorem czerwonym, choć wpis oznaczony taką barwą nie musi sugerować obecności wirusa, trojana czy innego złośliwego kodu. Prześledźmy to na przykładzie.

Na naszym redakcyjnym komputerze znaleźliśmy na liście procesów element o nazwie PSIService.exe oznaczony kolorem czerwonym. Jeżeli w swoim komputerze także znalazłeś taki proces, zaznacz go. Po prawej stronie okno jest podzielone na dwie części. Górna zawiera spis modułów powiązanych z zaznaczonym procesem. Zwróć uwagę na liczbę w kolumnie Status. W naszym przykładzie przy nazwie zaznaczonego procesu PSIService.exe w kolumnie Status widnieje wartość 6: Unknown. W 9-stopniowej skali wbudowanej w program nie oznacza to jeszcze największego zagrożenia, niemniej proces jest nieznany programowi ESET SysInspector. Jak sprawdzić, czy jest bezpieczny?

Czy dany proces może być uznany za niebezpieczny, decyduje wskaźnik statusu nie tylko przy samym pliku procesu głównego, ale także przy modułach, które są do danego programu przypisane. W naszym redakcyjnym przykładzie najwyższym stopniem – szóstym – jest oznaczony proces 6: Unknown, ale w innej sytuacji wyższą notę może uzyskać któryś z modułów. Warto także sprawdzić moduły oznaczone innym kolorem niż zielony, np. biblioteka dynamiczna w naszym przykładzie oznaczona w kolumnie Status wartością 5: Unknown.

Poszukiwanie informacji o zagrożeniach czy – jak w naszym przykładzie – nieznanych plikach zacznij od procesu głównego. Kliknij nazwę procesu prawym klawiszem myszki i z menu kontekstowego wybierz Search Online.

Uruchomi się przeglądarka WWW, automatycznie wczyta się strona Google z wynikami wyszukiwania nazwy zaznaczonego procesu. W naszym przykładzie już pierwszy wynik (przekierowanie na witrynę bleepingcomputer.com) dał odpowiedź co do szkodliwości pliku PSIService.exe.

Na stronie internetowej z opisem procesu znaleźliśmy informację: This is a valid program, but it is up to you whether or not you want it to run on startup (co oznacza: „to jest prawidłowy program”), natomiast w polu Description (opis) uzyskaliśmy dodatkowo informację, że wybrany proces jest składnikiem systemu ochrony przed kopiowaniem i zarządzaniem licencją (z Protexis korzystał m.in. program Corel Photo Paint XI, który istotnie był zainstalowany na maszynie testowej).

W analogiczny sposób możesz sprawdzić pozostałe procesy, a także pozostałe elementy analizowane przez ESET SysInspectora.

Uruchom ESET SysInspectora i z drzewa kategorii składników wybierz kategorię Important Registry Entries.

Po prawej stronie okna programu zobaczysz listę kluczy rejestru Windows z odpowiadającymi im wpisami dotyczącymi programów.

Zaletą programu jest to, że klucze rejestru są uporządkowane według ich funkcji. Przykładowo, po zaznaczeniu Important Registry Entries zobaczysz po prawej stronie rozwiniętą grupę Standard Autostart (co oznacza grupę kluczy związanych z aplikacjami automatycznie uruchamianymi podczas startu Windows) oraz rozwinięty klucz zaznaczony na obrazku, w którym znajdują się wpisy dotyczące wszystkich programów, jakie mają być automatycznie ładowane przy starcie systemu.

Gdy zaznaczysz dowolny składnik listy wyświetlonej pod kluczem – w naszym przykładzie zaznaczonym elementem jest składnik oprogramowania do myszki – Microsoft Intellipoint, zobaczysz w ramce pod listą informacje dotyczące danego programu.

Zwróć uwagę na zabarwienie poszczególnych wpisów. Znaczenie kolorów jest analogiczne do tego przedstawionego w poprzednim warsztacie dotyczącym procesów. Wpisy niebudzące wątpliwości (pod względem bezpieczeństwa) są oznaczone kolorem zielonym.

SysInspector bardzo ułatwia edycję rejestru pod kątem np. modyfikacji informacji dotyczących konkretnego programu. Wystarczy zaznaczyć jakiś składnik na liście, kliknąć go prawym klawiszem myszki i z menu kontekstowego wybrać pozycję Open In RegEdit.

Spowoduje to automatyczne uruchomienie Edytora rejestru i ustawienie od razu właściwego klucza.