Как работает Partizan?

Partizan запускается с использованием ключей реестра BootExecute на ранних садиях загрузки Windows. Поэтому он получает доступ к любому файлу или разделу реестра. Другими словами, Partizan рулит вашим ПК.

Partizan выполняет 2 главных задачи:

1. Получает информацию о файлах/реестре.
2. Удаляет файлы/ключи реестра.

Руткиты ядра системы могут вызывать трудности детектирования скрытых разделов реестра, файлов, и т.п.

Однако руткиты не неуязвимы!

Простой способ убить руткит - выключить компьютер.

Руткит может восстановиться после перезагрузки, благодаря:

1. Службе/драйверу с настройкой на автостарт (чтобы быть более скрытным для проверки из пользовательского режима).
2. Внедрению в исполняемый файл или память. Тело руткита при этом может быть спрятано в материнском файле.
3. Использованию ключей автозагрузки реестра.
4. Заражению сети.

Последний случай наиболее опасен, но и его можно побороть, просто отключившись от сети.

Во втором случае пользователь может воспользовать контролем целостности от Microsoft или другим ПО.

Третий случай наиболее распространен, но легко детектится.

Ну а фальшивые DLL для Winlogon давно уже не являются для нас хоть сколько-нибудь серьезной проблемой :-)

Скрытый драйвер ядра - высший хакерский пилотаж. Это одна из причин создания Partizan.

К сожалению Microsoft запрещает взаимодействие Partizan с пользователем посредством клавиатуры, что создает проблему для создания оболочки типа "cmd". Почему?

Об этом надо спросить Microsoft.

В любом случае это не техническая проблема, это решение Microsoft.

Приходится идти в обход.

Мы используем командный файл (RRI). Partizan открывает его и выполняет перечисленные в нем задания. Затем загрузка Windows продолжается.

RegRun Platinum Secure Start запускает специальную копию UnHackMe для сравнения информации от Partizan с доступной в текущий момент. И уведомляет вас, если находит что-то подозрительное.

Чтобы убедиться, что это не ложная тревога, вам потребуется снова перезагрузиться. Это необходимо потому, что некоторые службы и драйверы удаляются при загрузке, что может вызывать срабатывание.

Является ли Partizan панацеей?

Хакеры используют множество модификаций руткитов, комбинируя их с программами-шпионами. RegRun Platinum гарантирует, что вы очистите ваш ПК от глубоко скрытых руткитов и большинства программ-шпионов.

Удаляет ли он руткиты автоматически?

Нет. Он использует базу данных Greatis Application для определения известных руткитов/вирусов/программ-шпионов. И база данных регулярно обновляется. Но некоторое ПО определяется как неизвестное - подозрительное.

Что же делать в этом случае?

Если у вас достаточно опыта, чтобы воспользоваться профессиональными инструментами, включенными в RegRun Platinum - OK, используйте их. Если же нет, вы можете неправить детализованный отчет в центр техподдержки Greatis: http://greatis.com/support и мы вышлем специальный файл для автоочистки вашего ПК. TСервис бесплатен для пользователей RegRun.

Как насчет самозащиты?

1. Вы можете назначить свое имя для исполняемого файла Partizan.
2. RegRun генерирует случайное имя для исполняемого файла в режиме Windows. Кроме того, он шифруется во избежание детекта с использованием MD5-сигнатур.

Как начать поиск руткитов с помощью Partizan?

1. Откройте Центр Управления RegRun.
2. Выберите закладку "Partizan" и отметьте чекбокс Partizan.

Partizan работает только с Platinum Edition?

Автоопределение руткитов доступно только пользователям RegRun Platinum. Другие пользователи могут пользоваться им для удаления вирусов. Partizan также включен в бесплатный Reanimator.

Как деинсталлировать Partizan?

1. Откройте Контроль запуска RegRun.
2. Откройте меню Свойства.
3. Выберите элемент "Partizan".
4. Нажмите кнопку "Удалить".

Нужна помощь?

1. Документация.
2. Задайте вопрос в Центр Поддержки.