Napredna dijagnostika operativnog sistema je neophodan korak u bilo kakvoj ozbiljnijoj analizi zaraženog računara. Ukoliko antivirusni softver ne može sam da se izbori sa infekcijom ili je ne detektuje, potrebno je da kontaktirate tehničku podršku koja će u saradnji sa proizvođačem pronaći adekvatno rešenje. Da bi tehnička podrška mogla da vam pomogne, neophodno je da joj prosledite detaljne informacije sa zaraženog računara koje ćete prikupiti uz pomoć alata za dijagnostiku. Alati su brojni, uglavnom besplatni i veoma korisni, čak i neophodni u ‘hvatanju’ infekcija koje se često veoma vešto prikrivaju u sistemu. Budući da većina krajnjih korisnika nije obučena da koristi raznorazne alate (a i zašto bi bili?) i da je preuzimanje sa Interneta, pokretanje programa, snimanje logova i slanje podršci vremenski zahtevan i naporan proces, ESET je još u trećoj generaciji NOD32 Antivirus softvera uveo ESET SysInspector, sveobuhvatan alat za analizu sistema koji je lak za korišćenje, daje većinu potrebnih informacija i sadrži mehanizme za ciljano uklanjanje nepoželjnih objekata. Pritom je SysInspector, kao i svi dobri alati, od početka potpuno besplatan i namenjen svima.

Ukoliko ste do sada imali prilike da kontaktirate našu podršku u vezi problema sa malverom, verovatno ste dobili zadatak da nam dostavite SysInspector Log, Detected threats log, Scan log i eventualni uzorak infekcije, ukoliko je NOD ne primećuje. Iako svim traženim logovima možete da pristupite lako, kroz korisnički interfejs NOD-a ili ERA servera, sakupljanje i slanje oduzima neko vreme zavisno od obučenosti korisnika. S tim na umu i u cilju što bržeg i efikasnijeg rešavanja problema, ESET je kreirao još jedan alat – Log Collector koji sakuplja sve potrebne logove operativnog sistema i antivirusne zaštite na jedno mesto; uključuje SysInspector log, ostale logove sa NOD klijenta, Windows logove, Memorydump itd. Log Collector za sada služi za lokalno prikupljanje informacija, direktno na računaru, ali očekujemo da će biti uključen u funkcionalnosti sledeće verzije ERA servera. O Log Collectoru ćemo pisati više u nekom od narednih postova, a sada se vraćamo na core ESET dijagnostike – ESET SysInspector.

ESET SysInspector

ESET SysInspector

ESET SysInspector

SysInspector je aplikacija koja vrši detaljnu analizu računara, generiše prikupljene podatke u xml formatu i grupiše ih u segmente koji praktično čine osnovu rada operativnog sistema. Informacije o instaliranim programima, aktivnim aplikacijama, procesima, mrežnim vezama, sistemski važnim fajlovima, drajverima ili unosima u registrima mogu da vam pomognu u potrazi za uzrokom sumnjivog ponašanja operativnog sistema, bilo da je u pitanju nekompatibilnost softvera, hardvera ili potencijalna infekcija.

SysInspector alat možete pokrenuti na tri načina:

  1. Kroz korisnički interfejs klijenta zaštite / Tools> ESET SysInspector > Create
  2. Daljinski, preko ERA konzole / Klijentska tabela > kontekst meni odabranog klijenta > Request data > Request SysInspector Information 
  3. Preuzimanjem samostalnog alata (sysinspector.exe) sa sajta kompanije ESET (http://www.eset.com/int/download/utilities/detail/family/3/) i njegovim pokretanjem.

Nakon pokretanja sačekajte dok SysInspector ne ispita sistem, što može potrajati i do nekoliko minuta u zavisnosti od brzine hardvera i količine objekata koji se proveravaju. Nakon završenog pregleda, rezultat će biti prikazan kao na sledećoj slici:

Radi boljeg pregleda, glavni prozor je podeljen na četiri celine – gornji navigacioni meni sa programskim kontrolama se nalazi pri vrhu glavnog prozora, prozor navigacije je sa leve strane, prozor sa opisom selektovanog objekta u navigaciji sa desne strane u sredini, a prozor sa detaljima selektovanog objekta pri dnu glavnog prozora. Odeljak sa statusom navodi osnovne parametre izveštaja (filter koji se koristi, tip filtera, da li je izveštaj rezultat poređenja itd.) i on se nalazi u donjem levom uglu glavnog prozora.

ESET SysInspector – Programske kontrole

File – klikom na meni File možete da sačuvate trenutni izveštaj za kasnije ispitivanje ili da otvorite prethodno snimljen izveštaj. Ako ćete izveštaj slati nekome na pregled, preporučujemo vam da generišete izveštaj pogodan za slanje. U tom slučaju SysInspector izostavlja osetljive informacije (trenutno korisničko ime, ime računara, ime domena, trenutne korisničke privilegije, promenljive okruženja itd.).

Tree – Omogućava vam da proširite ili skupite sve podgrane izveštaja i da izvezete izabrane stavke u servisnu skriptu.

List – Sadrži funkcije za lakšu navigaciju u okviru programa i dodatne funkcionalnosti kao što je pronalaženje više informacija o selektovanom objektu na Internetu

Help – Sadrži informacije o aplikaciji i njenim funkcijama.

Detail – Ovo podešavanje kontroliše nivo detalja prikaza informacija u glavnom prozoru u tri režima: Basic, Medium i Full. U Basic režimu imate pristup informacijama koje se koriste za pronalaženje rešenja za uobičajene probleme u sistemu. U Medium režimu biće prikazani detalji koji se manje koriste. U Full režimu ESET SysInspector prikazuje sve sakupljene informacije koje su često neophodne za rešavanje specifičnih problema.

Filter – Podešavanjem klizača možete da filtrirate objekte po nivou rizika. Ako je klizač podešen na krajnju levu stranu (nivo rizika 1), prikazuju se svi objekti. Pomeranjem klizača udesno, filtriraju se objekti koji su manje rizični od odabranog nivoa rizika. Kada je klizač podešen na krajnju desnu stranu, SysInspector prikazuje samo poznate, štetne objekte. Svi objekti označeni rizikom od 6 do 9 predstavljaju bezbednosni rizik. Ako nemate instaliran antivirusni program, a imate objekte sa ovim nivoom rizika, preporučujemo vam da skenirate računar pomoću ESET Online Scanner-a. ESET Online Scanner je takođe besplatna usluga.

Search – Pretragu možete koristiti da biste brzo pronašli određenu stavku po imenu ili delu njenog imena. Rezultati pretrage prikazuju se u prozoru sa opisom (srednji desno).

Back / Forward – Ako kliknete na strelicu unazad ili unapred, možete da se vratite na prethodno prikazane informacije u prozoru sa opisom. Umesto kliktanja na dugmad napred i nazad, možete da koristite taster backspace i space.

Status Section – Prikazuje trenutnu granu / podgranu u prozoru navigacije.

ESET SysInspector – Navigacija

SysInspector deli različite tipove informacija na nekoliko osnovnih sekcija koji se nazivaju grane. Ako su dostupni dodatni detalji, možete ih naći tako što ćete svaku granu proširiti na podgrane. Da biste proširili ili skupili granu, kliknite dvaput na ime grane ili kliknite na ili pored imena grane. Dok vršite pregled strukture stabla, grana i podgrana u prozoru sa navigacijom, u prozoru sa opisom će se prikazivati informacije za svaku selektovanu podgranu. Ako pregledate stavke u prozoru sa opisom, dodatni detalji za svaku stavku će biti prikazani u prozoru sa detaljima. U nastavku ćemo opisati glavne grane u prozoru navigacije i srodne informacije u prozorima sa opisom i detaljima.

Running processes – Ovaj grana sadrži informacije o aplikacijama i procesima koji su pokrenuti ili se pokreću u vreme generisanja izveštaja. U prozoru sa opisom možete da pronađete dodatne detalje za svaki proces, npr. dinamičke biblioteke koje proces koristi i njihovu lokaciju u sistemu, ime proizvođača aplikacije i nivo rizika datoteke. Prozor sa detaljima sadrži dodatne informacije o objektima koji su odabrani u prozoru sa opisom, kao što je veličina fajla ili njegov hash.

Network connections – Prozor sa opisom sadrži listu procesa i aplikacija koje vrše mrežnu komunikaciju pomoću protokola izabranog u prozoru navigacije (TCP ili UDP), kao i daljinsku adresu sa kojom je aplikacija povezana. Takođe, možete da proverite IP adrese DNS servera. Prozor sa detaljima sadrži dodatne informacije o stavkama koje su izabrane u prozoru sa opisom, veličina fajla i njegov hash.

Important Registry Entries – Sadrži listu odabranih registara koji su često u sprezi sa raznoraznim problemima – startovanje malvera kroz regularne aplikacije prilikom podizanja operativnog sistema, neželjeno pokretanje pomoćnih objekata u pregledačima (BHO) itd. U prozoru sa opisom možete da pronađete fajlove koji su povezani sa određenim ključevima u registrima, a detalje tih fajlova u prozoru ispod.

Services – Prozor sa opisom sadrži listu fajlova koji su registrovani kao servisi operativnog sistema. U prozoru sa detaljima možete da proverite kako podešeno pokretanje servisa i određene detalje fajlova.

Drivers – Lista drajvera instaliranih u sistemu.

Critical files – Prozor sa opisom prikazuje sadržaj kritičnih fajlova povezanih sa operativnim sistemom.

System Scheduler Tasks – Sadrži listu zadataka koje Windows pokreće u određeno vreme.

System Information – Sadrži detaljne informacije o hardveru i softveru, informacije o podešenim varijablama, pravima korisnika i evidencije sistemskih događaja.

File Details – Lista važnih sistemskih fajlova i fajlova u Program Files i Program Files(x86) folderu. Dodatne informacije o određenim fajlovima možete pronaći u prozorima sa opisom i detaljima.

About – Informacije o verziji programa ESET SysInspector i listi modula ESET programa koji se koristi.

ESET SysInspector – Compare, poređenje izveštaja

Funkcija Compare omogućava korisniku da uporedi dva postojeća izveštaja. Rezultat poređenja je skup objekata koji nisu zajednički za oba izveštaja. Poređenje je pogodno ako želite da otkrijete promene u sistemu između dva izveštaja i predstavlja izuzetno korisnu alatku u otkrivanju tragova aktivnosti zlonamernog koda.

Nakon pokretanja SysInspector uvek kreira nov izveštaj koji možete da sačuvate kroz opciju u meniju File / Save log. Prethodne izveštaje otvarate sa File / Open log. SysInspector uvek prikazuje samo jedan, trenutno aktivni izveštaj. Da biste uporedili izveštaje, kliknite na File / Compare Logs / Select file i odaberite izveštaj koji želite da uporedite sa aktivnim izveštajem. Komparacija će prikazati razlike između ta dva izveštaja. Takođe, pored prikazanih objekata, SysInspector prikazuje i simbole koji ukazuju na razlike, a pojašnjenje njihovog značenja možete naći u Compare Icons Legend prozoru u donjem levom uglu glavnog prozora.

SysInspector - Poređenje dva izveštaja

SysInspector – Poređenje dva izveštaja

Primer – Generišite i sačuvajte izveštaj sa zapisanim originalnim informacijama o sistemu u fajlu pod imenom prethodni.xml. Kada se izvrše promene sistema, otvorite SysInspector i generišite novi izveštaj. Sačuvajte ga u fajl pod imenom trenutni.xml. Da biste prikazali promene između dva izveštaja, kliknite na File / Compare Logs / Select file i selektujte prethodni.xml. Program će kreirati uporednu datoteku koja pokazuje razlike između izveštaja. Isti rezultat možete postići ako upotrebite komandnu liniju sa komandom SysIsnpector.exe trenutna.xml prethodna.xml. Takođe, ceo proces kreiranja izveštaja i njihovog poređenja možete izvršiti kroz ERA server:

Daljinski zahtev za poređenje SysInspector izveštaja

Daljinski zahtev za poređenje SysInspector izveštaja

ESET SysInspector  – Service script, ciljano uklanjanje nepoželjnih objekata

Service script je funkcionalnost SysInspector alata koja korisniku omogućava da ukloni neželjene objekte iz sistema na osnovu prethodno generisanog izveštaja. Korisnik može da izveze ceo izveštaj ili željene delove izveštaja u skriptu (.txt fajl), obeleži neželjene objekte za brisanje u fajlu, a zatim pokrenete izmenjenu skriptu kroz SysInspector i ukloni označene objekte. Service script je pogodan za napredne korisnike koji imaju prethodno iskustvo u utvrđivanju sistemskih problema. Nema potrebe naglašavati da nekvalifikovane izmene mogu da dovedu do štete na operativnom sistemu.

Primer – Ako sumnjate da je računar zaražen virusom koji antivirusni program nije otkrio, sledite navedeno uputstvo korak po korak. Pokrenite SysInspector da biste generisali novi izveštaj. Izaberite prvu granu u prozoru navigacije (u strukturi stabla), pritisnite taster Shift i izaberite poslednju granu da biste označili sve objekte. Desnim tasterom miša kliknite na izabrane objekte i iz kontekst  menija izaberite opciju Export Selected Sections to Service Script. Izabrani objekti će biti izvezeni u novi izveštaj pod imenom koje ste odabrali, u .txt formatu. Sledeći korak je najvažniji celoj proceduri: otvorite novi .txt izveštaj i promenite atribut „-“ u atribut „+“ za sve objekte koje želite da uklonite. Uverite se da niste označili neke od važnih fajlova / objekata operativnog sistema i sačuvajte promenu. U SysInspector-u izaberite stavku File / Run Service Script, odaberite putanju do skripte i kliknite na dugme Ok.

Run service script file

Run service script file

Kada otvorite skriptu, program će vam izbaciti poruku „Are you sure you want to run service script „%Scriptname%“?“. Nakon što potvrdite izbor, može se pojaviti još jedno upozorenje koje vas obaveštava o tome da servisna skripta koju pokušavate da pokrenete nema potpis. Do toga mogu dovesti neusaglašenosti u okviru same skripte (oštećeno zaglavlje, oštećen naslov odeljka, između odeljaka nedostaje prazan red itd.). Kliknite na dugme Run da biste pokrenuli skriptu. Prozor dijaloga potvrdiće da je skripta uspešno izvršena. Ukoliko je skripta obrađena samo delimično (neki od objekata nisu mogli da se uklone), pojaviće se prozor dijaloga sa porukom „The service script was run partially. Do you want to view the error report?“.  Izaberite Yes da biste prikazali složeniji izveštaj o grešci u kom su navedene operacije koje nisu izvršene. Na osnovu izveštaja možete ponovo otvoriti skriptu, ispraviti greške i pokrenuti skriptu ponovo.

Service Script was run successfully

Service Script was run successfully

ESET SysInspector – FAQ / Najčešće postavljana pitanja

Da li su za pokretanje programa SysInspector potrebne administratorske privilegije? – Iako za pokretanje programa SysInspector nisu neophodne administratorske privilegije, nekim informacijama koje sakuplja može se pristupiti samo kroz administratorski nalog. Ako ga pokrenete kao standardni korisnik ili korisnik sa ograničenim pristupom, SysInspector će sakupiti manje informacija o radnom okruženju.

Kako da prikažem SysInspector izveštaj? – Da biste prikazali izveštaj koji je kreirao SysInspector, pokrenite SysInspector i u glavnom meniju izaberite opcije File / Open log. Možete i da prevučete mišem generisani izveštaj na SysInspector prozor. Ako je potrebno da često otvarate SysInspector izveštaje, preporučuje se da kreirate prečicu do SYSINSPECTOR.EXE fajla na radnoj površini. Zatim možete da prevučete željeni izveštaj na nju da biste ga prikazali. Iz bezbednosnih razloga, Windows Vista / 7 možda neće dozvoliti prevlačenje između prozora koji imaju različite bezbednosne dozvole.

Da li je dostupna specifikacija za format izveštaja? Šta se dešava sa SDK-om? – Trenutno nisu dostupni ni specifikacija za izveštaj ni SDK jer je program konstantno u razvoju. Kada program bude završen, možemo da ih obezbedimo na osnovu korisničkih povratnih informacija i zahteva.

Kako SysInspector procenjuje nivo rizika određenog objekta? – U većini slučajeva, SysInspector dodeljuje nivoe rizika objektima (fajlovima, procesima, ključevima registra itd.) pomoću grupe heurističkih pravila koja ispituju karakteristike svakog objekta i zatim procenjuju mogućnost za zlonamernu aktivnost. Na osnovu ovih heurističkih pravila, objektima se dodeljuje nivo rizika od 1 – bezbedno (zeleno)
do 9 – rizično (crveno). U prozoru za navigaciju grane su obojene na osnovu najvišeg nivoa rizika nekog objekta koji se nalazi unutar njih.

Da li nivo rizika „6 – nepoznato (crveno)“ znači da je objekat opasan? – Procena alatke SysInspector ne garantuje da je neki objekat zlonameran – to bi trebalo da utvrdi stručnjak za bezbednost. SysInspector je osmišljen da bi stručnjacima za bezbednost omogućio bržu procenu objekata na sistemu koje bi trebalo dodatno ispitati zbog neobičnog ponašanja.

Zbog čega se SysInspector prilikom pokretanja povezuje sa Internetom? – Poput većine aplikacija, SysInspector je potpisan digitalnim potpisom (sertifikatom) sa kojim izvršava proveru da je softver
izdao ESET i da nije u izmenjenom obliku. U cilju provere validnosti sertifikata, operativni sistem stupa u kontakt sa autoritetom za izdavanje certifikata i proverava identitet izdavača softvera. Ovo je uobičajeno ponašanje za sve digitalno potpisane programe u operativnom sistemu Microsoft Windows.

Šta je to Anti-Stealth tehnologija? – Anti-Stealth tehnologija obezbeđuje efikasno otkrivanje rutkitova. Ako je sistem napao zlonamerni kôd koji se ponaša kao rutkit, korisnik može biti izložen oštećenju ili krađi podataka. Bez posebne alatke za zaštitu od rutkitova, njih je skoro nemoguće otkriti.

Zašto su datoteke ponekad označene kao „Signed by Microsoft“, a da u isto vreme imaju drugi unos za „Company“? – Prilikom pokušaja da identifikuje digitalni potpis izvršne datoteke, SysInspector prvo proverava da li je digitalni potpis uključen u fajl. Ako se digitalni potpis pronađe, provera ispravnosti fajla biće izvršena pomoću tih informacija. Ukoliko ne pronađe digitalni potpis, SysInspector započinje pretragu odgovarajućeg CAT fajla (Bezbednosni katalog – %systemroot%system32catroot) koji sadrži informacije o obrađenom izvršnom fajlu. Ako se pronađe odgovarajući CAT fajl, digitalni potpis tog CAT fajla biće primenjen u procesu provere ispravnosti izvršnog fajla.

Iako smo u ovom postu pojasnili većinu funkcionalnosti koju vam omogućava SysInspector, ukoliko želite više informacija o ovom sjajnom alatu, obratite nam se ili pogledajte detaljno uputstvo na sprskom jeziku na strani http://download.eset.com/manuals/eset_ees_userguide_srl.pdf