Компания Trend Micro выпустила HijackThis в свободное плавание, опубликовав его как open source. Код, написанный на Visual Basic, теперь официально доступен на SourceForge.
HijackThis — утилита размером 380 КБ, которая сканирует ваш компьютер и составляет подробный отчёт на основании анализа реестра и жёсткого диска. Программа изначально создавалась как инструмент для обнаружения и удаления троянских программ, изменяющих параметры браузера и других приложений системы. Кроме того, в комплекте идёт несколько инструментов, как менеджер задач, редактор hosts-файла и редактор дополнительных потоков данных (ADS) в томах файловой системы. Последняя версия — 2.0.5 beta.
Онлайн-анализатор логов HijackThis
Программа и раньше была бесплатной, так что для обычных пользователей открытие исходного кода ничего не меняет. Разница есть для разработчиков программного обеспечения, они теперь могут использовать код HijackThis для улучшения своих собственных продуктов или добавления в них нового функционала, говорит автор программы Мерийн Беллеком (Merijn Bellekom). Компания Trend Micro продолжит поддерживать исходный код, добавляя туда интересные и полезные патчи, сделанные сообществом.
Беллеком написал утилиту HijackThis примерно в конце 90-х, в 2007 году она была куплена антивирусной компанией Trend Micro. В истории проекта есть ещё интересный эпизод в 2002-2003 годах, когда программу пытался купить IT-предприниматель Гленн Блафф, владелец Computer Hope UK. Ему это не удалось, что привело к разработке альтернативной программы HijackPro, которая в 2007 году была продана Touchstone Software (теперь Phoenix Technologies).
Программа не имеет базы сигнатур и не может определить, какая программа является вредоносной. Это просто полезный инструмент, позволяющий очень быстро анализировать систему — потому-то он и получил такое широкое распространение. Логи HijackThis принято считать своеобразным информационным стандартом в хакерской среде и на конференциях, посвящённых компьютерной безопасности.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).
R0, R1, R2, R3 — изменения основных настроек Internet Explorer.
F0, F1, F2, F3 — автозапуск программ из ini-файлов и эквивалентных мест реестра.
N1, N2, N3, N4 — изменения начальной и поисковой страниц Netscape/Mozilla.
O1 — изменения в файле Hosts.
O2 — плагины и расширения браузера (BHO/Browser Helper Objects).
O3 — дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
O4 — автозапуск программ из реестра и папки Startup.
O5 — блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 — запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 — отключение доступа к Regedit.
O8 — дополнительные пункты контекстного меню Internet Explorer.
O9 — дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 — Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
O11 — новая группа настроек в Свойствах Обозревателя (Internet Options).
O12 — плагины Internet Explorer.
O13 — префиксы IE.
O14 — изменения в файле iereset.inf.
O15 — веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 — программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 — изменения домена или DNS сервера.
O18 — изменения существующих протоколов и фильтров.
O19 — шаблон стиля (Style Sheet) пользователя.
O20 — уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 — объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
O22 — задачи Планировщика Windows (Shared Task Scheduler).
O23 — службы Windows NT/Microsoft Windows.