Отечественный энтузиаст опубликовал в открытом доступе утилиту Threatbit Simple Scanner - инструмент для поиска вредоносных следов в реестре Windows. Не антивирус. Что-то точнее.
Что это такое и зачем оно нужно
Большинство пользователей, столкнувшихся с малварью, даже после её удаления живут с последствиями: заблокированный UAC, подменённые ассоциации файлов, мусор в IFEO-ключах, кривые записи в автозапуске. Антивирус тело трояна снёс - а следы остались. Именно в этой нише и работает новый инструмент.
Threatbit Simple Scanner не гоняется за сигнатурами вирусов. Он проверяет то, что вредоносная программа натворила в системе: AppInit_DLLs, политики ограничений, подмену оболочки безопасного режима, перехват учётных данных через LSA-пакеты, скрытый мониторинг завершения процессов через SilentProcessExit. Список внушительный - и всё это автоматически, без ручного ковыряния в regedit.
История: от 245 МБ до 26 МБ
Разработчик признаётся: первая сборка через PyInstaller весила 245 мегабайт. Результат предсказуемый - такой дистрибутив никто качать не захочет. Пересборка через Nuitka поначалу ломалась из-за конфликтов с DLL. Нужные библиотеки нашлись через архив Wayback Machine - и компилятор наконец заработал. Итог: 26 МБ. Десятикратное сжатие без потери функционала - это уже не мелочь.
Проект опубликован на GitHub под лицензией MIT, то есть код открыт для изучения, форков и доработки сообществом. Автоматическая проверка обновлений реализована через GitHub API прямо из интерфейса утилиты.
Что умеет сканер
Функциональный охват у инструмента шире, чем можно ожидать от версии 1.0. Утилита проверяет:
- IFEO (Image File Execution Options) - классическая точка для перехвата запуска процессов
- Автозапуск: Shell, Userinit, AppInit_DLLs, BootExecute, KnownDLLs
- Политики ограничений (Policies) и DisallowRun
- Подмену оболочки безопасного режима (Safeboot)
- LSA Authentication/Notification Packages
- SilentProcessExit - тихий мониторинг завершения процессов
Отдельная вкладка «Ручные инструменты» позволяет просматривать службы, папки автозапуска StartUp, ключи Run/RunOnce и планировщик заданий - на случай, если пользователь хочет разобраться сам, не доверяя автоматике слепо. Планировщик пока в разработке и автором честно обозначен как сырой.
Восстановительный модуль умеет включать UAC, возвращать Windows Defender в полную боевую готовность, чинить ассоциации файлов, восстанавливать MBR, сбрасывать Winsock и DNS-кэш, прогонять sfc /scannow. Есть даже восстановление системных шрифтов - правда, в статусе бета.
Как запустить и что делать дальше
Установка не требует сложных манипуляций. Готовый исполняемый файл скачивается из раздела Releases на GitHub - и запускается напрямую. Для тех, кто предпочитает работать с исходниками, достаточно клонировать репозиторий, установить зависимости через pip и запустить main.py. Порог входа минимальный.
Сценарий использования прямолинеен: сначала удаляем красные (явно вредоносные) элементы, затем проходимся по жёлтым (подозрительным), после чего перезагружаемся. Поддерживаются три режима перезагрузки - стандартный, в среду восстановления WinPE и в UEFI. Можно также запустить chkdsk прямо из интерфейса. Англия - Гана смотреть онлайн - совсем другая история, но если вы следите за несколькими вкладками одновременно, сканирование системы вполне можно запустить в фоне.
Threatbit Simple Scanner закрывает реальную нишу: не заменяет антивирус, но делает то, что антивирус после лечения часто игнорирует. Проект молодой, но уже рабочий - и судя по открытой лицензии, автор рассчитывает на помощь сообщества в его развитии.