Nije uvijek jednostavno odrediti da li se malware nalazi unutar OS-a i gdje je uopće. No, ako se zna gdje pogledati i što potražiti, napad se može razotkriti vrlo brzo. Postoji nekoliko mjesta koja je potrebno provjeriti odmah i uvijek, a početne su točke potrage za zločestim kodom.

Registry

Podključevi RUN su prvo mjesto potrage. Ovo je omiljeno mjesto za pokretanje malicioznoga koda. Ovdje navodimo podključeve za Windows Server 2003, Windows XP, Windows 2000, te Windows NT, Windows ME i Windows 9x:

hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\software\microsoft\windows\currentversion\runonce
hkey_current_user\software\microsoft\windows\currentversion\run
hkey_current_user\software\microsoft\windows\currentversion\runonce

hkey_local_machine\software\microsoft\windows\currentversion\runservices
hkey_local_machine\software\microsoft\windows\currentversion\runservicesonce
hkey_current_user\software\microsoft\windows\currentversion\runservices
hkey_current_user\software\microsoft\windows\currentversion\runservicesones

Za Windows Server 2003, Windows XP, Windows 2000 ili NT, potrebno je provjeriti i sljedeći podključ:

hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer

i provjeriti da li ima podključ RUN sa nezgodnim sadržajem.

Sljedeći podključevi se rjeđe koriste za pokretanje hakerskog koda, ali potrebno je provjeriti da li sadrže neki drugi zapis osim "%1" i "%*":

hkey_classes_root\batfile\shell\open\command
hkey_classes_root\comfile\shell\open\command
hkey_classes_root\exefile\shell\open\command
hkey_classes_root\htafile\shell\open\command
hkey_classes_root\piffile\shell\open\command
hkey_local_machine\software\classes\batfile\shell\open\command
hkey_local_machine\software\classes\comfile\shell\open\command
hkey_local_machine\software\classes\exefile\shell\open\command
hkey_local_machine\software\classes\htafile\shell\open\command
hkey_local_machine\software\classes\piffile\shell\open\command

Servisi

Na svim Windows operacijskim sustavima potrebno je provjeriti podključ koji definira sve servise definirane na računalu:

hkey_local_machine\system\currentcontrolset\services

Servise je bolje pogledati direktno iz registry baze zato jer se servisi Type 1 ne prikazuju unutar Service GUI-ja. Iako je za to potrebno malo više iskustva, nije loše malo se zadržati na ovom popisu i provjeriti sumnjive naslove.

Startup

Provjerite sve Startup direktorije sadrže li sumnjive naslove i skrivene datoteke

\Documents and Settings\All Users\Start Menu\Programs\Startup
\Documents and Settings\ime_korisnika\Start Menu\Programs\Startup

Task Scheduler

Provjerite direktorij %systemroot%\tasks sadrži li neautorizirane poslove

WIN.INI datoteka

Maliciozni pokretački kod se može nalaziti i unutar %systemroot%\win.ini
datoteke. Provjerite sljedeće unose unutar ove datoteke:

[windows]
Run=
Load=

Prilikom pokretanja OS-a, svi ovdje nabrojani programi bit će pokrenuti.

SYSTEM.ini datoteka

Shell naredbe se također mogu koristiti za pokretanje programa unutar datoteke %systemroot%\system.ini:

[boot]
shell=explorer.exe<ime programa>

Svi programi navedeni iza explorer.exe automatski će se pokrenuti prilikom podizanja OS-a.

Za kraj, posebno obratite pažnju na c:\, %systemroot% i %systemroot%\system32 i provjerite sumnjive datoteke. Također, mnogi virusi nalaze mjesto na računalu unutar \Documents and Settings\ime_profila\Local Settings\Temp\Temporary Internet Files\Content.IE5. Općenito, svaki program ili servis koji ne prepoznajete potencijalni je hakerski program. Koristite Google ili neki drugi search engine i potražite sumnjiva imena.

Batch skripta

Ovdje je primjer skripte za brzi pregled navedenih mjesta unutar računala
koja mogu biti posjećena od strane malware fanatika:

cls
@echo off
reg query hkey_local_machine\software\microsoft\windows\currentversion\run>>hackdump.txt
reg query hkey_local_machine\software\microsoft\windows\currentversion\runonce>>hackdump.txt
reg query hkey_current_user\software\microsoft\windows\currentversion\run>>hackdump.txt
reg query hkey_current_user\software\microsoft\windows\currentversion\runonce>>hackdump.txt
reg query hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer>>hackdump.txt
reg query hkey_classes_root\batfile\shell\open\command>>hackdump.txt
reg query hkey_classes_root\comfile\shell\open\command>>hackdump.txt
reg query hkey_classes_root\exefile\shell\open\command>>hackdump.txt
reg query hkey_classes_root\htafile\shell\open\command>>hackdump.txt
reg query hkey_classes_root\piffile\shell\open\command>>hackdump.txt
reg query hkey_local_machine\software\classes\batfile\shell\open\command>>hackdump.txt
reg query hkey_local_machine\software\classes\comfile\shell\open\command>>hackdump.txt
reg query hkey_local_machine\software\classes\exefile\shell\open\command>>hackdump.txt
reg query hkey_local_machine\software\classes\htafile\shell\open\command>>hackdump.txt
reg query hkey_local_machine\software\classes\piffile\shell\open\command>>hackdump.txt

dir "c:">>hackdump.txt
dir "c:" /ah>>hackdump.txt
dir "%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup" /s>>hackdump.txt
dir "%systemdrive%\Documents and Settings\All Users\Start Menu\Programs\Startup" /ah /s>>hackdump.txt
dir "%systemdrive%\Documents and Settings\Administrator\Start Menu\Programs\Startup" /s>>hackdump.txt
dir "%systemdrive%\Documents and Settings\Administrator\Start Menu\Programs\Startup" /ah /s>>hackdump.txt

dir "%systemroot%\tasks" /s>>hackdump.txt
dir "%systemroot%\tasks" /ah /s>>hackdump.txt

find "Run=" %systemroot%\win.ini>>hackdump.txt
find "Load=" %systemroot%\win.ini>>hackdump.txt
find "shell=" %systemroot%\system.ini>>hackdump.txt

reg query hkey_local_machine\system\currentcontrolset\services>>hackdump.txt

more hackdump.txt