Драйверы очень важны в Windows, потому что плохо закодированный драйвер делает Windows нестабильной и вызывает сбои с синим экраном смерти. В большинстве случаев файл драйвера имеет расширение .sys. Когда кто-то использует слова «низкий уровень», «ядро» или «ring0» в Windows, это также фактически означает драйвер.
Например, низкоуровневый кейлоггер, такой как Elite Keylogger от Widestep, использует подписанный драйвер для захвата нажатий клавиш на клавиатуре. Royal Hack, знаменитый читерский инструмент для CounterStrike, использует драйвер ring0, чтобы избежать обнаружения Valve Anti-Cheat (VAC). Руткиты – это тип вредоносного ПО, которое использует драйвер, чтобы скрыть свое существование и не допустить его легкого обнаружения. Многие программы для обеспечения безопасности, такие как антивирус, Zemana Anti-Logger, KeyScrambler Premium, также используют драйверы. Как видите, драйверы очень мощные, и, к счастью, это не то, что может программировать любой программист.
Существует довольно много действительно мощных инструментов, таких как GMER, которые можно использовать для проверки руткитов, но они могут быть слишком запутанными для обычных или неопытных пользователей компьютеров. Один инструмент, который я могу предложить вам попробовать DriverView создал Нир Софер, который славится выпуском полезных инструментов, которые являются бесплатными и портативными.
По сути, DriverView – это очень маленький инструмент размером всего 33 КБ, в котором перечислены все драйверы, загруженные в настоящее время в вашей операционной системе Windows. Он показывает много полезной информации о драйверах, таких как имя файла, компания, название продукта, описание, версия, дата создания и изменения, путь, тип файла, сервис и отображаемое имя.
Выделенные строки представляют собой файлы драйверов Elite Keylogger и Invisible Keylogger Stealth.
Большинство загруженных драйверов принадлежат Microsoft, и в целом они стабильны и безопасны. Вы можете легко сократить список, нажав на View в меню и выбрав Скрыть драйверы Microsoft где будут отображаться только сторонние драйверы. Теперь вы можете исследовать драйверы сторонних производителей, чтобы выяснить, есть ли у вас возможные вредоносные драйверы, выполнив поиск имени файла в Google и загрузив его в VirusTotal, чтобы проверить его с помощью 42 различных антивирусов. Обратите внимание, что DriverView не имеет возможности удалить или удалить драйвер.
Вы должны заметить, что есть 3 неизвестных драйвера: dump_dumpata.sys, dump_dumpfve.sys и dump_msahci.sys, перечисленные в DriverView в Windows 7. Если вы щелкнете правой кнопкой мыши по любому из 3 драйверов из DriverView и выберите File Properties, вы получите всплывающее сообщение об ошибке «Windows не может найти C: Windows System32 Drivers dump_msahci.sys. Убедитесь, что вы правильно ввели имя, а затем повторите попытку ».
Эти 3 файла не являются руткитами или чем-то опасным, но они связаны с созданием дампов памяти при сбое Windows 7. Вы можете легко отключить загрузку 3 неизвестных драйверов dump_dumpata.sys, dump_dumpfve.sys и dump_msahci.sys, выбрав «Панель управления»> «Система»> «Дополнительные параметры системы»> нажмите кнопку «Настройки» для запуска и восстановления> нажмите на выпадающее меню из Напишите отладочную информацию и выберите (нет). Нажмите OK, чтобы закрыть все окна, перезагрузите компьютер, и 3 драйвера больше не будут отображаться в DriverView.
Как бы ни был полезен DriverView, после дальнейшего тестирования я обнаружил, что DriverView читает только ресурс VERSIONINFO, который можно найти на вкладке «Подробности», если щелкнуть правой кнопкой мыши файл и выбрать «Свойства». Отсутствует возможность прочитать имя подписавшего лица для цифровой подписи. Можно легко отредактировать свойства файла вредоносного драйвера руткита с помощью редактора ресурсов или шифратора, и DriverView сочтет, что он принадлежит Microsoft, и даже, возможно, скрывает его от отображения, когда включена опция «Скрыть драйверы Microsoft». Однако получить сертификат цифровой подписи не так просто. Анимированный скриншот ниже является доказательством того, что DriverView читает VERSIONINFO, но не цифровую подпись. Обратитесь к первому снимку экрана, чтобы увидеть информацию, отображаемую DriverView для файла RDPCDD2k.sys.
DriverView является бесплатным, портативным и работает на Windows 2000, Windows NT, Windows XP, Windows Vista, Windows 7 и Windows Server 2003/2008, как 32-разрядных, так и 64-разрядных.
Скачать DriverView