В открытый доступ вышел Threatbit Simple Scanner - утилита для поиска следов вредоносного ПО в реестре Windows. Не антивирус в классическом смысле, а нечто более точечное: инструмент, который охотится не за самими зловредами, а за тем, что они оставляют после себя.

Что это такое и почему важно понимать разницу

Большинство пользователей привыкли к антивирусам с сигнатурными базами. Threatbit работает иначе. Программа не ищет троянов или шифровальщиков - она анализирует последствия их присутствия: подозрительные ключи реестра, подменённые параметры запуска, скрытые ограничения системы. Это отдельный класс инструментов, который на массовом рынке представлен крайне скудно. Тунис - Нидерланды 26 июня

Разработчик вдохновлялся существующими утилитами вроде Simple Unlocker и Anvir Task Manager, однако поставил задачу шире: автоматизировать проверку тех зон системы, куда рядовой пользователь не заглядывает годами. Результат - открытый проект под лицензией MIT, собранный на Python и запакованный через Nuitka в исполняемый файл весом всего 26 МБ. Для сравнения: первая сборка через PyInstaller тянула на 245 МБ - почти в десять раз больше.

Что сканер умеет на практике

Функциональность у утилиты неожиданно широкая для сольного проекта. Threatbit проверяет:

• IFEO-ключи (Image File Execution Options) - классический способ перехвата запуска программ
• автозапуск через Shell, Userinit, AppInit_DLLs, BootExecute и KnownDLLs
• политики ограничений Policies и запрет на запуск приложений через DisallowRun
• подмену оболочки безопасного режима (Safeboot)
• перехват учётных данных через LSA Providers
• скрытый мониторинг завершения процессов (SilentProcessExit)

Помимо сканирования, инструмент умеет восстанавливать UAC, включать полную защиту Windows Defender, чинить ассоциации файлов, сбрасывать сетевые параметры (Winsock, Hosts, DNS-кэш) и даже восстанавливать MBR. Есть три режима перезагрузки: обычная, через среду восстановления WinPE и через UEFI. Автоматическая проверка обновлений реализована через GitHub API.

Как это работает и для кого пригодится

Интерфейс построен по принципу светофора: красные элементы - однозначно вредоносные, жёлтые - подозрительные. Пользователь последовательно удаляет сначала красные, затем жёлтые записи, после чего перезагружает систему. Для тех, кто не хочет доверять автоматике полностью, предусмотрена вкладка ручных инструментов - там можно вручную просмотреть службы, папки автозапуска StartUp, ключи Run/RunOnce и планировщик заданий.

Кстати, пока разработчик оттачивал логику сборки и искал нужные DLL через Wayback Machine, стало очевидно: порог входа в подобные инструменты для рядового пользователя по-прежнему высок. Threatbit пытается этот барьер снять. Скачать готовый исполняемый файл можно напрямую из раздела Releases на GitHub, исходники доступны там же. Проект активно развивается - планировщик заданий пока в бета-стадии, но разработчик обещает его доработать.