Как найти скрытые shadow copies вредоносных программ: практическое руководство

Автор На чтение 8 мин Просмотров 2 Опубликовано

Вы подозреваете, что вредонос удалился не до конца? Антивирус чистит систему, но через день-два всё повторяется — странные процессы, тормоза, непонятная сетевая активность? С высокой вероятностью на машине остаются shadow copies — теневые копии вредоносного ПО, спрятанные в отдалённых уголках системы. Разберёмся, где их искать и как обнаружить с помощью доступных инструментов.

Содержание
  1. Что такое shadow copies в контексте вредоносного ПО
  2. Где любят прятаться теневые копии вредоносного ПО
  3. Инструменты, которые реально помогают
  4. Пошаговый план поиска shadow copies
  5. Что искать в автозагрузке и службах
  6. Частые ошибки при поиске shadow copies
  7. Как выбрать подходящий метод под свою ситуацию
  8. Что делать, если shadow copy найдена
  9. Итог

Что такое shadow copies в контексте вредоносного ПО

Shadow copies в среде малвари — это не те теневые копии томов, которые создаёт Windows (хотя злоумышленники пользуются и ими). Это скрытые копии вредоносных файлов, дропперов, кейлоггеров или бэкдоров, спрятанные так, чтобы антивирус их не нашёл, а пользователь не заметил. Малварь копирует сама себя в альтернативные потоки, в системные папки с похожими именами, в участки диска вне файловой системы, использует механизмы восстановления Windows.

Почему это важно: если удалить основной модуль вредоноса, а shadow copy останется — через несколько часов система снова будет заражена. Именно поэтому «очистка» антивирусом иногда даёт временный эффект, а потом всё возвращается.

Где любят прятаться теневые копии вредоносного ПО

Прежде чем хвататься за инструменты, стоит понимать логику злоумышленников. Они выбирают места, куда обычный пользователь не заглядывает, а антивирус смотрит реже. Вот основные локации:

  • Скрытые и системные папки Windows — файлы с атрибутами hidden/system, лежащие в корнях служебных каталогов ( System32, SysWOW64, ProgramData и т.п.). Некоторые даже не скрыты, но носят имена, неотличимые от легитимных.
  • Хост-файл и автозагрузка — вредонос прописывает в автозагрузку задачу, которая восстанавливает его из shadow copy. Например, создаётся папка в C:\Users\Public\ или в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.
  • Службы и драйверы Windows — малварь регистрирует свою копию как службу, а оригинал хранит в неиспользуемом разделе реестра или в Alternate Data Streams (альтернативных потоках данных NTFS).
  • Файл подкачки и гибернации — pagefile.sys или hiberfil.sys могут содержать фрагменты малвари, записанные туда напрямую в ходе работы заражённого процесса.
  • Alternate Data Streams (ADS) — вредонос записывает свой исполняемый код в поток существующего файла NTFS. При стандартном антивирусном сканировании файл выглядит чистым, но в потоке живёт малварь.

Это ключевые точки. Если вы чистите только пользовательские папки и временные файлы — shadow copies выживут.

Инструменты, которые реально помогают

Перед вами набор утилит, которыми специалисты находят hidden компоненты. Здесь только свободно распространяемое ПО или официальные средства ОС.

Утилита Что находит Как получить Цена
GMER Скрытые процессы, руткиты, нелегитимные службы, ключи автозапруки gmer.net Бесплатно
AutoRuns Всё, что запускается автоматически: службы, драйверы, запланированные задачи, ADS learn.microsoft.com/sysinternals Бесплатно
Process Explorer Активные процессы с детализацией (в том числе проверка подписей) learn.microsoft.com/sysinternals Бесплатно
RKill Завершает вредоносные процессы, мешающие запуску антивирусов; не удаляет, но открывает доступ к заражённым элементам bleepingcomputer.com Бесплатно
ADSSpy / streams.exe Находит альтернативные потоки данных на томах NTFS ADSSpy: nirsoft.net; streams.exe входит в Sysinternals Suite Бесплатно
ShadowExplorer Просмотр и извлечение файлов из теневых копий томов Volume Shadow Copy shadowexplorer.com Бесплатно
Malwarebytes Широкий эвристический анализ, находит остатки малвари после «лечения» другим антивирусом malwarebytes.com Free-версия есть, премиум — по подписке

Вы можете обойтись и встроенными средствами, но описанные инструменты сильно ускоряют поиск.

Пошаговый план поиска shadow copies

Если коротко: сначала обезвредьте активные малвари, потом ищите остатки, потом проверяйте нестандартные места. Детально выглядит так:

  1. Загрузитесь в безопасном режиме — перезагрузите систему с удержанием Shift или через msconfig (вкладка «Загрузка», отметить «Безопасный режим» + «Сеть»). Это не даст малвари активировать защиту от удаления.
  2. Запустите RKill — он принудительно завершит опознанные вредоносные процессы. Не пугайтесь, если рабочий стол моргнёт, это нормально.
  3. Выполните полное сканирование антивирусом и Malwarebytes — удалите всё, что найдёт. Lavasoft Ad-Aware тоже хорошо дополняет картину.
  4. Просмотрите автозагрузку через Autoruns — получите огромный список всего, что стартует с Windows. Ищите элементы без цифровой подписи, с подозрительными именами. Методично отключайте неизвестное, помечая галочкой «Проверить на VirusTotal», если утилита это поддерживает.
  5. Проверьте альтернативные потоки — скачайте streams.exe и выполните в командной строке от администратора: streams -s C:\. Это рекурсивно проверит все файлы на наличие ADS. Всё подозрительное проверьте вручную.
  6. Изучите теневые копии томов — запустите ShadowExplorer, выберите самую раннюю точку восстановления и проверьте, не подменился ли какой-либо системный файл. Можно сравнить файлы из теневой копии с текущими.
  7. Пройдитесь по типичным местам — откройте в проводнике (с отображением скрытых файлов) папки ProgramData, %AppData%, %LocalAppData%, Public. Ищите однофайловые приложения с датой создания, не совпадающей с установкой ОС.
  8. Проверьте службы и драйверы через GMER — запустите утилиту, дождитесь окончания сканирования и просмотрите разделы Services, Drivers, Registry. Красные строки — повод для внимания (но не всегда малварь; иногда это просто неподписанный легитимный компонент).

Каждый шаг имеет смысл. Если закрыть глаза на службы, shadow copy может скрываться именно там и восстанавливать малварь после каждой перезагрузки.

Что искать в автозагрузке и службах

Как только вы получите список из Autoruns, фильтруйте по следующим признакам:

  • Файл расположен не в стандартных каталогах программ (не в C:\Program Files\, не в C:\Windows\System32\)
  • Отсутствует цифровая подпись или подпись не проверена
  • Имя файла подозрительное — например, похоже на системное, но с опечаткой (svchostt.exe, crss.exe)
  • Командная строка содержит путь к временной папке, к cryptowallet-адресам или к подозрительным скриптам

Если сомневаетесь — отключите элемент (снимите галочку) и перезагрузите. Если система работает нормально, значит это был легитимный компонент малвари, который вы только что обезвредили. Удалить файл можно позже, когда убедитесь, что он не нужен системе.

Частые ошибки при поиске shadow copies

Сталкиваясь с этой задачей, пользователи нередко наступают на одни и те же грабли:

  • Удаляют только известный вредоносный файл — а shadow copy остаётся и восстанавливает заражение. Нужно чистить систему полностью, а не один файл.
  • Не проверяют ADS и теневые копии томов — это два места, куда малварь прячается осознанно, и без специальных инструментов их не увидеть.
  • Чистят без предварительного запуска RKill — некоторые вредоносы блокируют работу антивирусов и диспетчера задач. RKill снимает эту блокировку, открывая путь к удалению.
  • Принимают системные файлы за малварь — при ручной чистке реестра и автозагрузки легко удалить что-то важное. Это приводит к нестабильности ОС, а не к её защите. Всегда делайте точку восстановления перед масштабными изменениями.
  • Ждут, что один антивирус всё найдёт — ни один сканер не обнаруживает 100% угроз. Комбинация GMER + Autoruns + полное сканирование даёт лучший результат.

Помните: самая опасная ошибка — полагать, что проблема решена после первого же «Какая-то программа была удалена».

Как выбрать подходящий метод под свою ситуацию

Не всегда нужно проходить все 8 шагов из плана. Вот краткая дорожная карта в зависимости от того, что вы наблюдаете:

  • Компьютер работает странно, но антивирус не находит ничего — начните с Autoruns и Process Explorer. Скорее всего, проблема в автозагрузке или скрытых процессах.
  • Малварь то появляется, то исчезает после чистки — классический признак shadow copy. Проверьте теневые копии томов (ShadowExplorer), ADS (streams.exe), службы (GMER).
  • Есть подозрение на руткит (глубокая инфильтрация) — обязательно используйте GMER и загрузочный антивирусный диск (Kaspersky Rescue Disk, Dr.Web LiveDisk). Только сканирование с внешнего носителя увидит то, что скрыто от ОС.
  • Компьютер давно не чищен, установлено много софта — проще всего начать с Malwarebytes и полного сканирования, а затем уже переходить к ручным методам при необходимости.

Что делать, если shadow copy найдена

Итак, вы обнаружили подозрительный файл в необычном месте, в альтернативном потоке или в старой теневой копии. Порядок действий:

  1. Сделайте резервную копию файла на флешку или в облако — вдруг это ложное срабатывание и потребуется восстановление.
  2. Выполните команду vssadmin list shadows в командной строке от администратора, чтобы увидеть все теневые копии. Можно безопасно изучить их через ShadowExplorer без удаления оригинальных точек восстановления.
  3. Удалите сам shadow-файл (или поток) найденным инструментом: для ADS — вручную через команды, для теневых копий — через vssadmin delete shadows.
  4. Проверьте каталоги с автозагрузкой и реестр на предмет ссылки на этот файл. Если малварь прописалась там — удалите связь.
  5. Запустите ещё одно сканирование с Malwarebytes или Ad-Aware для подтверждения, что система чиста.

Если всё сделано верно, малварь перестанет возвращаться. Главное — добраться до исходной копии shadow, а не только до видимой части инфекции.

Итог

Обнаружение shadow copies малвари — это не разовая акция, а методичный перебор мест, где вредоносное ПО может выжить после поверхностной очистки. Мы рассмотрели, где прячутся теневые копии, какие инструменты применять (Autoruns, GMER, streams.exe, ShadowExplorer, Malwarebytes), как шаг за шагом проверить систему и что делать при обнаружении.

Главное — не останавливаться после первого найденного файла. Малварь почти всегда оставляет несколько резервных копий. Процесс может показаться громоздким, но другого способа надёжно очистить систему нет. Если вы не уверены в собственных силах — обратитесь в профильную мастерскую или компании, специализирующиеся на удалении вредоносного ПО: они проделают ту же работу быстрее, используя профессиональный инструментарий.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком