Отечественный независимый разработчик опубликовал бесплатную утилиту Threatbit Simple Scanner - инструмент для поиска вредоносных следов в системном реестре Windows. Проект уже доступен на GitHub под лицензией MIT, а сам автор называет его не антивирусом, а «threat-клинером» нового поколения.
Что за зверь и зачем он нужен
Большинство пользователей после заражения системы устанавливают антивирус, который находит сам исполняемый файл угрозы, но оставляет в реестре десятки «хвостов» - изменённые ключи, подменённые обработчики, заблокированные политики. Именно с этим мусором и работает Threatbit Simple Scanner. Никакой сигнатурной базы, никакого поиска троянов напрямую - только анализ того, что вредоносная программа успела натворить в системе.
Утилита проверяет IFEO-ключи, автозапуск через Shell, Userinit, AppInit_DLLs и BootExecute, политики ограничений Policies, подмену оболочки безопасного режима (Safeboot), скрытый мониторинг завершения процессов через SilentProcessExit, перехват учётных данных через LSA Providers. Список внушительный. Ручная проверка всего этого в реестре заняла бы у среднего пользователя несколько часов.
Отдельного внимания заслуживает вкладка «Ручные инструменты» - она позволяет просматривать службы, папки автозапуска StartUp Folders, ключи Run и RunOnce, а также планировщик заданий, чтобы не удалить ничего нужного.
История с 245 мегабайтами и Nuitka
Путь к релизу оказался нетривиальным. Первая сборка Python-скрипта через PyInstaller выдала исполняемый файл весом 245 МБ - результат откровенно неудовлетворительный. Разработчик переключился на компилятор Nuitka, но столкнулся с багами в DLL-зависимостях. Нужные библиотеки в итоге были найдены через архив Wayback Machine. После пересборки финальный размер упал до 26 МБ. Для сравнения: это примерно в девять раз компактнее начального варианта.
Проект вдохновлён несколькими существующими инструментами - Simple Unlocker, Anvir Task Manager, MinerSearch - но метит в нишу между ними: автоматический поиск системных ограничений плюс более широкая диагностика угроз. Кстати, для тех, кто следит за новостями из мира технологий и кибербезопасности, не менее интересно наблюдать за другими событиями в реальном времени - например, Иордания - Алжир смотреть онлайн можно на специализированных платформах, пока фоном запускается сканирование системы.
Что умеет восстанавливать и как запустить
Помимо обнаружения угроз, сканер восстанавливает целый ряд системных компонентов:
- UAC - контроль учётных записей
- Windows Defender с полной защитой
- ассоциации файлов (.exe, .bat, .txt, .png и другие)
- MBR - главную загрузочную запись
- сетевые параметры: Winsock, Hosts, DNS-кэш
- целостность системных файлов через sfc /scannow
- системные шрифты (функция пока в бета-статусе)
Программа поддерживает три варианта перезагрузки: классическую, в среду восстановления WinPE и в UEFI. Автоматическая проверка обновлений реализована через GitHub API. Скачать готовый исполняемый файл ThreatbitScanner.exe можно прямо из раздела Releases репозитория - никакой дополнительной установки не требуется. Проект живой: разработчик обещает продолжать развивать функциональность, в первую очередь доработать модуль планировщика заданий.
