Российский разработчик опубликовал в открытом доступе утилиту Threatbit Simple Scanner - инструмент для поиска и устранения вредоносных следов в реестре Windows. Не антивирус, не фаервол. Что-то принципиально другое.
Не искать вирусы, а зачистить последствия
Большинство пользователей после заражения системы сталкиваются с одной и той же проблемой: антивирус удалил угрозу, но система продолжает вести себя странно. Заблокированы политики, изменён автозапуск, подменена оболочка безопасного режима. Именно этот пласт проблем и берёт на себя новый инструмент.
Threatbit Simple Scanner проверяет ключи реестра, которые вредоносное ПО использует как плацдарм: IFEO, AppInit_DLLs, Userinit, BootExecute, SilentProcessExit, LSA Providers и десятки других точек закрепления. Нашёл - пометил красным. Показал подозрительное - жёлтым. Дальше решает пользователь. Кстати, для тех, кто интересуется не только цифровой безопасностью, но и другими событиями онлайн, - можно, например, смотреть Новая Зеландия - Бельгия на RUTUBE Спорт - цифровые инструменты давно вышли за рамки одной лишь защиты.
От 245 МБ до 26 МБ: история сборки
Путь к релизу оказался нетривиальным. Python-скрипт, упакованный через PyInstaller, весил 245 мегабайт - неприемлемо для утилиты подобного класса. Разработчик перешёл на Nuitka, столкнулся с багами DLL-зависимостей и в итоге нашёл нужные библиотеки через архивные копии в сети. Результат - 26 МБ. Разница почти десятикратная.
Что умеет и что восстанавливает
Функциональность шире, чем просто сканирование. Утилита берётся за восстановление целого ряда компонентов, которые malware традиционно выводит из строя:
- UAC и Windows Defender с возможностью включить полную защиту
- Ассоциации файлов - .exe, .bat, .txt, .png и другие
- Сетевые параметры: Winsock, Hosts-файл, DNS-кэш
- MBR - главная загрузочная запись
- Системные файлы через встроенный запуск sfc /scannow
Отдельно предусмотрена вкладка ручных инструментов - для тех случаев, когда автоматика может задеть нужные записи. Там выводятся службы, содержимое папок автозапуска и планировщик задач. Последний пока в разработке, автор это честно признаёт.
Открытый код, MIT-лицензия и живое развитие
Проект опубликован на GitHub под лицензией MIT. Доступны два варианта запуска: готовый исполняемый файл и сборка из исходников через pip. Автоматическая проверка обновлений работает через GitHub API. Поддерживаются три режима перезагрузки - стандартная, в среду восстановления WinPE и в UEFI. Разработчик заявляет об активном развитии проекта. Учитывая, что ниша «пост-заражения» давно недооценена в экосистеме Windows-утилит, инструмент имеет все шансы найти свою аудиторию.
