В конце мая 2001 года Microsoft начала открытое бета-тестирование антивирусной утилиты Standalone System Sweeper. Сегодня вы удивитесь связи утилиты с ERD Commander, увидите ее явные и скрытые возможности, а также узнаете мою теорию [заговора] о причинах публичного выпуска утилиты.
Обновлено. Функция встроена в актуальную версию Windows 10, а для более старых версий и ОС утилита распространяется под именем Windows Defender Offline.
История Standalone System Sweeper
Строго говоря, утилита Standalone System Sweeper не новая, однако широкой публике она мало известна, потому что раньше ее распространение было ограничено.
Я зайду издалека — вы слышали про ERD Commander? Под этим названием часто подразумевают Winternals Administrator Pack, набор инструментов для диагностики и восстановления Windows, создателями которого были Марк Руссинович и Брайс Когсвелл. В 2006 году Microsoft купила компанию Winternals и впоследствии создала на основе этого набора свой – Microsoft Diagnostics and Recovery Toolset (MSDaRT).
При использовании MSDaRT возможности знакомой вам среды восстановления Windows RE значительно расширяются.
Как видите, наряду с инструментами, унаследованными от Winternals, в MSDaRT также входит утилита Standalone System Sweeper. Она основана на предыдущей версии клиента Forefront Endpoint Protection (ранее — Forefront Client Security). Для домашних пользователей эта защитная программа распространяется под брэндом Microsoft Security Essentials (MSE).
Однако MSDaRT вошел в состав Microsoft Desktop Optimization Pack (MDOP), для которого была выбрана платная модель распространения организациям в рамках программы Software Assurance. Когда несколько лет назад на саммите MVP в Сиэттле для нас делали презентацию MDOP, многие MVP просили сделать MSDaRT общедоступным, но в Microsoft на это не повелись :)
Что нового в утилите
В новой бета-версии утилиты Microsoft Standalone System Sweeper (далее MSSS) задействована уже вторая версия клиента и текущий антивирусный движок Microsoft Malware Protection Engine. Учитывая публичное бета-тестирование, логично предположить, что антивирусный диск спасения от Microsoft отныне будет бесплатно доступен всем желающим. Почему вдруг Microsoft так расщедрилась? У меня есть своя теория, которую я изложу в конце статьи.
Утилита оснащена мастером создания загрузочного диска или флэшки, который предварительно скачивает последние версии сигнатур. Именно его вы загружаете с сайта Microsoft, причем выбирать 32- или 64-разрядную версию нужно в зависимости от системы, которую вы будете лечить. Создать диск спасения можно на любой операционной системе Microsoft не младше Windows XP SP3.
Давайте посмотрим, как работает утилита и что у нее внутри.
Создание загрузочного диска (CD/DVD/USB)
Вы можете сразу создать загрузочный диск или флэшку, либо сохранить образ в формате ISO для последующего прожига на диск.
Как только вы определитесь с носителем, начнется загрузка всего необходимого для создания диска спасения. Как видите, качать придется около 200 Мб, т.е. перед нами базовая сборка Windows PE с антивирусом.
Созданный диск содержит необходимые для загрузки в среду восстановления файлы, самораспаковывающийся архив с последними обновлениями (mpam-fe.exe) и образ boot.wim в папке sources.
В этом образе как раз и находится все самое главное. Чтобы заглянуть вовнутрь WIM-файла, нужно подключить его командой:
dism /Mount-Wim /WimFile:D:\sources\boot.wim /index:1 /MountDir:C:\test\wim\
Путь к образу укажите свой, при этом целевая папка должна существовать, иначе ничего не получится. Исследование содержимого образа я оставлю вам, но проиллюстрирую свой рассказ выше о происхождении утилиты.
Файл mpengine.dll и лежащие по соседству вирусные сигнатуры обеспечивают работу движка Microsoft Malware Protection Engine, использующегося в Microsoft Foreront.
Загрузка и сканирование
Достаточно задать в BIOS приоритет устройству, загрузку с которого вы производите, после чего запуск MSSS произойдет автоматически. У вас есть три варианта сканирования и несложные настройки.
На рисунке показан результат быстрого сканирования, но, конечно, нужно проводить полную проверку, раз уж вы загрузились в Windows PE.
Преимущества MSSS
У диска спасения Microsoft есть ряд плюсов, которые я хочу отметить.
Автономное сканирование
Это главный плюс MSSS в борьбе с заражениями, впрочем, как и любого другого антивирусного Live CD. Проверка на вирусы операционной системы, которая в настоящий момент не загружена, дает лучшие результаты. Это становится возможным благодаря тому, что вредоносные программы не могут сопротивляться и маскироваться. Последнее особенно важно для борьбы с руткитами, которые зачастую невидимы для антивирусов, работающих в загруженной системе.
Удобство обновления вирусных баз
При создании диска спасения Microsoft в него автоматически включаются свежие вирусные базы, что само по себе уже плюс. Если посмотреть на остальные антивирусные диски спасения, то не всегда к загрузке предлагается образ с актуальными сигнатурами. Так, загруженный мной Dr.Web CureIt отставал на 2 дня, а Kaspersky Rescue CD (по прямой ссылке на ISO на сайте ЛК) — на 21 день.
Еще один плюс я ставлю за возможность ручного обновления сигнатур перед сканированием. Их можно предварительно загрузить и заменить файл mpam-fe.exe на флэшке, т.е. не надо каждый раз качать и создавать новый диск!
Практически все прочие диски спасения основаны на Linux, и даже если ручное обновление баз возможно, оно как минимум потребует дополнительных телодвижений. Да, в них предусмотрено обновление сигнатур в автоматическом режиме, но не всегда есть возможность подключиться к Интернету после загрузки с диска. В MSSS тоже есть автоматическое обновление, и оно у меня сработало нормально.
Мастер создания сборки Windows PE
Третье преимущество MSSS, которое не очевидно на первый взгляд, это появление удобного инструмента для создания собственной сборки Windows PE! Теперь для подготовки загрузочной флэшки с Windows PE не обязательно скачивать WAIK.
Так, кнопка Browse в окне обновления сигнатур – это проводник, откуда можно запускать программы (с помощью контекстного меню). Вы можете добавить свои портативные программы на флэшку, либо воспользоваться входящими в комплект приложениями. В текущей бета-версии это убрали.
Подключив образ boot.wim, вы можете модифицировать его в соответствии со своими задачами. Например, при загрузке в Windows PE сразу запускается собственная оболочка для сканера, которая в свою очередь вызывает MSSS. Запуск прописан в файле Windows\System32\Winpeshl.ini.
[LaunchApp] AppPath = "%ProgramFiles%\OfflineScannerShell\OfflineScannerShell.exe"
Вы можете добавить в этот файл запуск любимого файлового менеджера, а также организовать автоматический старт любых программ при запуске Windows PE, прописав их в файле startnet.cmd. Подробнее читайте в моем рассказе о создании диска Windows PE.
Эффективность MSSS
MSSS – это фактически Microsoft Security Essentials на Live CD, поэтому скорость сканирования и эффективность обнаружения вирусов у этих продуктов одинаковая.
Вы можете самостоятельно изучить недавние тесты сканеров (on-demand) на AV-Comparatives и быстродействия на Anti-Malware.ru, чтобы сравнить эффективность антивирусного решения Microsoft с конкурентами. Исходя из тестов, в плане обнаружения вирусов – MSE крепкий середняк, но сканирует неторопливо. Скорость сканирования, кстати, важный фактор при полной проверке системы, учитывая размеры современных жестких дисков и количество файлов на них.
Я же решил посмотреть, как MSSS отреагирует на коллекцию файлов, которую я использовал для теста анти-фишинговой защиты браузеров. Результат был очень интересным – оказывается, у Microsoft фильтр SmartScreen придирчивее антивируса!
MSSS среагировала на 58 программ, при том что IE9 сходу заблокировал 79 штук. Возможно, разработчики фильтра SmartScreen перестраховываются, но это также показывает пользу многослойной защиты от современных угроз. С одной стороны, анти-фишинговые фильтры могут использовать информацию из разных источников. С другой — фишинг не всегда подразумевает выполнение вредоносного кода, т.е. злоумышленники используют для обмана методы социальной инженерии.
Почему MSSS выпущена в широкой доступ
Microsoft, конечно, не объясняет, почему она вдруг вынула из рукава MSSS, которая пряталась там уже добрую пару лет. У меня есть предположение на этот счет, и я хочу поделиться им с вами.
Антивирусный арсенал Microsoft
У Microsoft наряду с защитником Windows и антивирусом Microsoft Security Essentials есть две антивирусные утилиты.
- Средство удаления вредоносных программ (MSRT) можно скачать отдельно или получать по каналу Windows Update. Утилита MSRT призвана бороться с ограниченным набором самых распространенных угроз, и с ее помощью Microsoft вычищает тонны вредоносных программ с компьютеров пользователей, не особо следящих за безопасностью.
- Microsoft Safety Scanner – это портативный антивирусный движок Microsoft, использующийся в Microsoft Security Essentials и Forefront. Программа была выпущена в апреле 2011, но фактически она пришла на смену Windows Live OneCare Safety Scanner. Запустив исполняемый файл, вы можете выполнить быстрое или полное сканирование, либо проверить отдельную папку.
Так зачем Microsoft выпускать еще и Standalone System Sweeper?
Это страшное слово «руткит»
В последнее время на тропу войны активно выходят руткиты, с которыми зачастую можно справиться лишь с помощью автономного сканирования. Так, в январе 2010 Microsoft совершенно случайно столкнулась с руткитом Alureon (TDSS) после выпуска заплатки MS10-15, заменяющей ряд файлов ядра. Зараженные системы падали в BSOD сразу после установки обновления, потому что руткит обращался в коде к определенному адресу, которого там больше не было. Microsoft пришлось выпустить исправленную версию заплатки, которая проверяла целостность кода перед установкой.
В тот раз проблема возникла лишь с 32-разрядными системами, но вирусописатели не стоят на месте. В апреле 2011 года другой руткит, TDL4 (наследник TDSS), вынуждает Microsoft выпустить обновление для загрузчика 64-разрядных Windows 7 и Vista. Однако не проходит и месяца, как появляется сообщение о новой версии TDL4, которой апрельское обновление нипочем.
Техподдержка пострадавшим от заражений
Microsoft бесплатно оказывает поддержку при заражениях вирусами, хотя и не афиширует эту услугу широко. На этой странице сайта поддержки вам предлагается сначала проверить систему с помощью Microsoft Safety Scanner, а затем убедиться в правильности настроек безопасности путем запуска пакета FixIt.
Но если ничего не помогло, там же есть ссылка для обращения в техподдержку.
Однако удаление руткитов затруднительно без участия специалистов компании, поскольку даже если антивирусный движок Microsoft способен на это, утилита для автономного сканирования отсутствует в свободном доступе!
Появление общедоступного диска спасения с антивирусом на борту решит эту проблему, позволяя снизить расходы на техническую поддержку. В этом я и вижу основную причину начавшегося публичного бета-тестирования Microsoft Standalone System Sweeper. Если у вас есть другие идеи, поделитесь ими в комментариях.
Заключение
Глядя на линейку антивирусных программ и утилит Microsoft, трудно поверить, что еще пять лет назад у компании не было практически ничего для защиты домашних пользователей от вирусов (лишь MSRT с 2005 года). Но с тех пор число пользователей Интернета удвоилось, а количество угроз в нем выросло на несколько порядков. Чтобы обезопасить своих пользователей, Microsoft приходится постоянно совершенствовать защиту от вирусов и методы их обнаружения.
Логичным шагом в этом направлении стал выпуск антивирусного Live CD для автономного сканирования зараженных систем. Если после окончания бета-тестирования Microsoft Standalone System Sweeper останется в свободном доступе, у нас будет удобная сборка Windows PE с антивирусом Microsoft!
А как часто вам приходится прибегать к автономному сканированию системы? Какое решение вы для этого используете и как обновляете его? Достаточно ли привлекательной выглядит утилита MSSS, чтобы ее попробовать, или вы все равно предпочтете привычный Live CD другой антивирусной компании?
Vadim Sterkin,
Нет, не собирался. Просто на самой флешке располагается iso-образ, который копируется в оперативку и оттуда запускается как диск. Дело в том, что у меня на флешке много чего загрузочного — акронис, виндовс 7 и хр, лайв сд и т.д. Всё это запускается через меню grub4dos, соответственно загрузочный сектор ссылается на grub4dos. И вот то, что MSSS я загружаю через образ как раз и не нравится MSSS, который ожидает увидеть свои файлы на флешке, а не в оперативной памяти.
Умельцы изобрели обновление livecd касперского с помощью этого апдейтера. Смысл — перепаковка ISO-шника с актуальными базами..
А еще изобрели обновляемый kaspersky removal tools. Это вообще сказка.
Хорошая программа. Пользуюсь давно.
Сегодня наконец-то по-нормальному и внимательно прочитал статью.
Очень заинтересовала утилита, при случае обязательно попробую создать диск и проверить на практике.
В основном применял Live CD от Каспера и Веба. Не всегда они корректно запускались в графическом режиме, а в текстовом для меня (как компьютерно-не-совсем-грамотному) было тяжеловато, а для других вообще тёмный лес.
По-этому помогая друзьям бороться с вируами, я беру Убунту и Гугл. А так как я отдаю предпочтение Майкрософту, то хотелось чтоб это было удобно, как в W7 & IE9.
Странно, что нет такой новости, но Microsoft дает бесплатно тестировать DaRT 7 бета. И ещё одно уточнение. Попробовав заменить файл баз данных я его на флешке не нашел. Пришлось методом тыка определять, что надо выбрать обновление баз, потом выбрать ручной режим и в открывшемся окне найти этот файл на локальном диске (им может быть флешка или жесткий диск). После чего обновления сами установлятся.
Deportivo, файл баз данных — это mpam-fe.exe, показан на картинке
Да у меня вроде блог, а не новостной сайт, потому и нет :) Но спасибо за новость! Еще бы ссылку дали, так цены бы ей не было.
Vadim Sterkin, у меня ни в DaRT, ни в MSSS файла баз нет. Но не суть — просто хотел уточнить что можно обновится таким способом. Ссылка на форму входа для скачивания DaRT. Для этого необходимо иметь Windows ID и пройти регистрацию.
http://blogs.technet.com/b/mdop/archive/2011/04/04/diagnostics-and-recovery-toolset-dart-7-beta-released.aspx
Vadim Sterkin, сила привычки — сайт где я модером на bbcode :-) По привычке набрал на нем. Вот ссылка на DaRT
Есть один жирный минус у этого диска он не русскоязычный !
Андрей, это ерунда. Вещь-то на один раз — сделал и забыл. Да и все настройки я вам описал, кстати :)
P.S. Учите английский — в жизни пригодится.
давно имею в арсенале русский ERD Commander Microsoft Diagnostics and Recovery Toolset (MSDaRT). для win7 Так вот он полностью переведен на рус язык и Антивирус в нем есть этот-же, на русском не знаю почему образ опубликовали только сейчас
Почитал что лучше-хуже. Расскажу про то с чем к клиентам хожу.
1. Не флешка а SD, у нее есть защита от записи.
2. На карточке все что есть, вернее почти все про что в форумах нарыл:
AVZ, Gmer, autoruns, mbr, streams, TDSSKiller, VirusHunter_utilities, uvs_v364, Portable anvirrus, Osam_autorun_manager, kaspersky removal tools 9 и 11, Cureit…
И много чего другого, свежие флешплееры, яву, с++, … все что у клинта обновлять надо.
Гружусь в безопасном режиме с cmd, запускаю far …
Также раз в неделю обновляю KLUpdater и все другое.
CD диск с kaspersky removal tools и всем остальным на нем, есть старье с флешки не грузится. Также еще с пяток разных livecd.
Нет универсального способа и антивируса. В одних случаях применяешь одно, не помогает другое.
Почему приходится уделять этому много времени — работаю в конторе, продающей интернет. Антивирусная тема в работе занимает достаточно времени, хотя и не основная.
vovchek, спасибо за то, что поделились своим опытом.
Я, если система запускается, для проверки использую Comodo Cleaning Essentials. Программа портативная, имеет встроенную утилиту KillSwitch для просмотра процессов, служб, сетевых соединений, установленных дополнений IE, локальных политик безопасности, проверки цифровой подписи файла, поиска скрытых процессов и другое. Обновляется база по сети, но можно скопировать с базы антивируса COMODO. Один недостаток — не работает под Win PE.
— Вы уже видите, что Microsoft дарит всем готовую сборку Windows PE?
Это простой winpe.wim версии3.0 который в Windows AIK, к тому-же английский. Сборкой назвать даже не получиться.
Я использую WinPE3.1 в связке с сканером NOD32.
Пётр, WAIK, конечно, свободно распространяется. Только он весит целый гигабайт, и надо еще разобраться, как создать базовый загрузочный диск Windows PE.
А тут нажал три кнопки, скачалось 200 мб и все. А язык особого значения для PE не имеет.
Вадим. пользовались ли вы Avira AntiVir Rescue System (английский). С сайта известно, что он обновляется несколько раз в день. Но меня интересует другое — можно ли в их образе менять файл базы данных? Он весит меньше и доступен для автономной загрузки. У меня к сожалению медленный интернет и загружать образ ради проверки возможности замены баз накладно. Может кто знает просьба ответить.
Сергей (Deportivo), нет, не пользовался Avira. Судя по тому, что он основан на Linux, обновление баз данных «оффлайн» может быть затруднительно для неспециалистов. Но я могу и ошибаться :)
Пожалуйста, не давайте прямые ссылки на EXE (исправлено). У вас медленный интернет, а другим сходу подсовываете файл за 200 Мб.
Vadim, УВас написано: Вы можете добавить в этот файл запуск любимого файлового менеджера, а также организовать автоматический старт любых программ при запуске Windows PE, прописав их в файле startnet.cmd это подразумезает умение пользоваться Dism или gimagex. По моему мнению, желательно перейти на WinPE3.1, у меня с флэшкой были проблемы в WinPE3.0.
Пётр, да, я пишу о startnet.cmd, чтобы продемонстрировать возможности PE.
Но никто не заставляет это делать :) С PStart на флэшке все очень упрощается.
Оказывается достаточно просто.
,
Но конечно ничего не стоит распаковать образ с помощью 7-zip и после обновления заменить файлы на флешке.
Вадим спасибо за прекрасный блог!!!
У меня вопрос.
Вы сказали в своей статье (многие MVP просили сделать MSDaRT общедоступным, но в Microsoft на это не повелись…)
Значит на данный момент у Microsoft нет своего официального Live CD для нужд простого пользователя и наверно не будет.
Но у всех пользователей периодически возникает потребность в таком Live CD, посоветуйте что-нибудь пожалуйста.
Дмитрий, спасибо, что читаете мой блог.
Почему же? Есть Windows PE / Windows RE. Посему для нужд простого пользователя LiveCD и не нужен. Начиная с Windows Vista, у меня ни разу не возникала в нем нбх.
Вадим, ты спрашивал о том, почему все же ISO антивирусные вендоры создают под Linux.
Вот рекомендации Microsoft (http://windows.microsoft.com/ru-RU/windows/what-is-windows-defender-offline )
Рекомендуется загрузить Windows Defender Offline и создать компакт- или DVD-диск либо USB-устройство флэш-памяти на компьютере, незараженном вредоносными программами, поскольку они могут препятствовать созданию носителя.
Владимир, это понятно, однако ранее ты приводил возможное заражение ISO в качестве причины. С другой стороны, даже проверка антивирусом не дает 100% гарантии того, что ПК чист.
Вадим спасибо за прекрасный блог!!!
Вам не трудно ответить на мой вопрос, он чуть выше.
Дмитрий, мне не трудно. Надеюсь, вам так же нетрудно прочитать мой ответ вам, он чуть выше.
Сергей (Deportivo),
Нет нельзя. В Avira базы не меняются. Поэтому Rescue Disk у них выставляется несколько раз в день
Vadim Sterkin,
Под Linux созданы и Kaspersky Rescue Disk и F-Secure и AVG. В них оффлайн обновление возможно. В Avira такое просто не предусмотрено
Vadim Sterkin,
Да. Работает. Можно размещать и папку с обновлениями на флешку и сам Kaspersky Rescue Disk
Владимир Безмалый,
http://www.avira.com/ru/support-for-home-knowledgebase-detail/kbid/267
2,5 года пользуюсь ноутбуком и только позавчера случайно на сайте —
http://windows.microsoft.com/ru-ru/windows/what-is-windows-defender-offline
прочёл и скачал этот сканер!!!
Проверил быстрой,а затем полной проверкой.Чисто!
Теперь попробую с флэшки проверить с обновлением баз определений.
А за статью Большое Спасибо!!!
Благодаря Вашим статьям и Вашему форуму я много чего узнал!!
Крепкого Вам здоровья и успехов в Вашей работе!!!
С уважением к Вам Владимир.
А где можно скачать этот диск восстановления?
Алексей, что это за вопрос? Нажмите первую ссылку в статье…
Вставлю свои 5 копеек.
Использую мультизагрузочную флэшку на основе grub4dos. Положу туда и диск от майкрософт, лишним не будет, в бою пригодится.
По поводу обновления диска восстановления от ЛК. На флэшке диск распакован, раз в месяц перекачиваю образ через download master (у образа постоянная ссылка на оф сайте), копирую папку с базами, заменяю базы на флэшке. Сразу проверяю чтобы запустился и базы были актуальны. Минут 10 максимум вся процедура =)
У диска касперского есть очень полезная фишка: запускаем командную строку, вводим «windowsunlocker» без кавычек. Данная команда проверяет реестр и удаляет подозрительное/восстанавливает то, что должно быть там.
Так же рекомендую universal virus sniffer на основе windows PE. За 5 лет использования только два случая, когда после пользования продуктом баннер оставался в системе =)