Žádné bezpečnostní produkty nemohou zajistit 100% bezpečnost počítače. Mnoho uživatelů se tak dříve nebo později setká s nějakou havětí, která se do počítače dostane i přes aktuální antivirové řešení. Běžný uživatel se pak většinou svěří do péče výrobce antivirového programu, který používá. Většina výrobců totiž ke svým placeným variantám nabízí i pomoc s odvirováním počítače.

Pokud používáte antivirový program, který je zdarma, můžete se obrátit na fórum portálu viry.cz, kde Vám rádi a bezplatně pomohou. Pokud však nepatříte do skupiny svátečních uživatelů a vaše znalosti Windows jsou větší, můžete se do likvidace pustit i sami a využít nástroje třetích stran. Vynikajícím neagresivním nástrojem je Process Explorer.

Process Explorer od společnosti SysInternals, která patří pod hlavičku Microsoftu, podává velmi podrobný přehled o běžících procesech, „handlech“ a DLL knihovnách v systému Windows. Je to vlastně pokročilý správce úloh. Na rozdíl od toho, který naleznete v systému Windows, poskytuje o mnoho víc informací i možností. My si ukážeme, jak Process Explorer využít pro kontrolu spuštěných aplikací.

Nemusíte se bát, nepotřebujete k tomu znát, co je proces, vlákno nebo „hendl“. Díky funkci pro ověření digitálních podpisů, dokážeme jednoduše odhalit potencionální problematický soubor či aplikaci. Využijeme přitom pravidla, na základě kterého by měl být každý legitimní spustitelný soubor, knihovna nebo ovladač podepsán elektronickým podpisem výrobce.

Hlavní okno programu Process Explorer

S elektronickými podpisy souborů jste se určitě setkali minimálně při instalaci ovladačů. Ovladač by totiž měl být ideálně podepsán výrobcem a podpis ověřen důvěryhodnou certifikační autoritou. V případě, že instalujte nepodepsaný ovladač, systém Windows Vás na to upozorní. Digitální podpis ověřuje, že soubor pochází od důvěryhodného výrobce a že nebyl změněn. Soubory patřící nějaké škodlivé aplikaci podepsané nebývají.

Pro platný elektronický podpis je totiž nutné žádat a dokazovat legitimní identitu žadatele, v našem případě výrobce souboru. Vydání ověřeného podpisu zavedenou certifikační autoritou pak samozřejmě není zdarma. Tohle všechno představuje pro výrobce nebo distributora havěti (zatím) poměrně velkou překážku.

Process Explorer stáhnete z této stránky. Jde o archiv s jedním spustitelným souborem. Program není nutné instalovat. Stačí obsah archivu rozbalit a spustit soubor procexp.exe. Pokud odsouhlasíte licenční ujednání, uvidíte hlavní okno programu s přehledem aktuálně spuštěných procesů. Ty nás budou zajímat později. Nyní klikněte pravým tlačítkem na titulek libovolného sloupečku a zvolte Select Columns (Vybrat sloupce). V dalším otevřeném okně zaškrtněte Verified Signer (Ověřený podpis). Do hlavního pohledu nám přibyl sloupeček Verified Signer, který je zatím prázdný. Standardně totiž Process Explorer podpisy neověřuje. Tento požadavek mu musíme vnutit.

Process Explorer – nastavení sloupečků

V horním menu klikněte na Options a zvolte Verified Image Signature. Nyní se podívejte do nového sloupečku. Sloupeček Verified Signer už bude obsahovat výsledek ověření podpisu každého spuštěného souboru. Klikněte na sloupeček, aby se hodnoty seřadily. Nahoře budou soubory s neověřenými podpisy (Unable to verified). Poklepáním na každý soubor s neověřeným podpisem zobrazíte jeho vlastnosti. Ve vlastnostech zkontrolujte, zda skutečně patří aplikaci, kterou znáte a používáte.

Process Explorer – ověření podpisů souborů

Každý proces používá pro svou činnost mnoho další souborů, především DLL knihoven. Soubory otevřené a používané běžícími aplikacemi můžete také zkontrolovat a ověřit jejich digitální podpis. Stačí, když v hlavním okně Process Exploreru použijete klávesovou zkratku CTRL+D. V dolní části se objeví seznam používaných souborů každé vybrané aplikace. Zde stačí opět přidat sloupeček Verified Signer a ověřit podpis u každého používaného souboru nebo DLL knihovny.

Process explorer – informace o běžících procesech s podpisy souborů

Bohužel ne každý výrobce podepisuje všechny své soubory. Na příkladu (obrázku) níže je vidět neověřený podpis u souboru adb.exe. Z jeho vlastností však zjistíme, že patří do balíku Android SDK společnosti Google. Android SDK používám pro vytváření otisků obrazovek (screenshotů) z chytrého telefonu. Nejde tedy o havěť.

Process explorer – informace o běžících procesech s podpisy souborů

Je velmi pravděpodobné, že na svém počítači také naleznete soubory, které se nepodaří ověřit. Vždy je dobré zjistit o těchto souborech další podrobnosti. Třeba i na internetu, pokud nestačí informace poskytované Process Explorerem. Stačí vložit do vyhledávače jméno souboru (např. adb.exe) a prolistovat několik prvních výsledků.

Tento článek nastínil jen jedno možné použití. Process Explorer je určen především počítačovým odborníkům, ostatně jako všechny nástroje SysInternals. Výše uvedeným postupem ale nedochází k žádným změnám v systému Windows, můžete tedy s klidným svědomím zjistit, co v té vaší mašině běží.

Process Explorer není primárně určen k vyhledávání škodlivých souborů v počítači ani odvirování. Jde o aplikaci, která poskytuje velmi podrobné informace o běžících programech ve vašem počítači. Zobrazované informace je nutné samozřejmě brát s rezervou. V případě, že v počítači poběží např. dobře napsaný rootkit, nemusí být v Process Exploreru viditelný. Fungující rootkit se totiž „schová“ za jinou legitimní aplikaci.

Share This