تعتبر برامج التشغيل حاسمة للغاية في Windows لأن برنامج التشغيل الذي تم ترميزه بشكل سيء سيجعل Windows غير مستقر ويتسبب في حدوث أعطال مع شاشة الموت الزرقاء. في معظم الأحيان يكون لملف برنامج التشغيل ملحق .sys. عندما يستخدم شخص ما كلمة "مستوى منخفض" أو "نواة" أو "ring0" في Windows ، فهذا يعني أيضًا برنامج التشغيل.
على سبيل المثال ، يستخدم كلوغر منخفض المستوى مثل Elite Keylogger by Widestep برنامج تشغيل موقّع لالتقاط ضغطات المفاتيح على لوحة المفاتيح. تستخدم Royal Hack ، أداة الغش الشهيرة لـ CounterStrike ، برنامج تشغيل ring0 لتجنب اكتشاف Valve Anti-Cheat (VAC). Rootkits هو نوع من البرامج الضارة التي تستخدم برنامج التشغيل لإخفاء وجودها ومنع اكتشافها بسهولة. الكثير من برامج الأمان مثل برامج مكافحة الفيروسات ، Zemana Anti-Logger ، KeyScrambler Premium تستخدم أيضًا برامج التشغيل. كما ترى ، فإن السائقين أقوياء للغاية ولحسن الحظ ، لا يمكن لأي مبرمج ترميزها.
هناك عدد غير قليل من الأدوات القوية حقًا مثل GMER والتي يمكن استخدامها للتحقق من وجود الجذور الخفية ولكنها قد تكون مربكة قليلاً لمستخدمي الكمبيوتر العاديين أو عديمي الخبرة. إحدى الأدوات التي يمكنني أن أقترح عليك تجربتها هي أن برنامج DriverView أنشأ Nir Sopher المشهور بإطلاق أدوات مفيدة مجانية ومحمولة. في الأساس برنامج DriverView هو أداة صغيرة جدًا بحجم 33 كيلوبايت فقط والتي تسرد جميع برامج التشغيل المحملة حاليًا في نظام تشغيل Windows الخاص بك. يعرض الكثير من المعلومات المفيدة حول برامج التشغيل مثل اسم الملف والشركة واسم المنتج والوصف والإصدار والتاريخ الذي تم إنشاؤه وتعديله والمسار ونوع الملف والخدمة واسم العرض.
الخطوط المميزة هي ملفات برنامج التشغيل بواسطة Elite Keylogger و Invisible Keylogger Stealth
معظم برامج التشغيل المحملة هي من قبل Microsoft وعموما فهي مستقرة وآمنة. يمكنك تقصير القائمة بسهولة بالنقر فوق "عرض" من القائمة ، ثم حدد إخفاء برامج تشغيل Microsoft حيث سيتم عرض برامج تشغيل الجهات الخارجية فقط. الآن يمكنك التحقق من برامج التشغيل غير التابعة لـ Microsoft لمعرفة ما إذا كان لديك أي برامج تشغيل ضارة محتملة من خلال البحث عن اسم الملف في Google وتحميله إلى VirusTotal لفحصه باستخدام 42 من برامج مكافحة الفيروسات المختلفة. لاحظ أن DriverView ليس لديه القدرة على إزالة أو حذف برنامج التشغيل.
يجب أن تلاحظ أن هناك 3 برامج تشغيل غير معروفة وهي dump_dumpata.sys و dump_dumpfve.sys و dump_msahci.sys مدرجة في DriverView على Windows 7. إذا قمت بالنقر بزر الماوس الأيمن على أي من برامج التشغيل الثلاثة من DriverView وتحديد خصائص الملف ، فستحصل على رسالة خطأ منبثقة تقول " يتعذر على Windows العثور على C: \ Windows \ System32 \ Drivers \ dump_msahci.sys. تأكد من كتابة الاسم بشكل صحيح ، ثم حاول مرة أخرى ".
هذه الملفات الثلاثة ليست جذور خفية أو أي شيء خطير ولكنها تتعلق بإنشاء مقالب الذاكرة عند تعطل Windows 7. يمكنك بسهولة تعطيل برامج التشغيل 3 غير المعروفة dump_dumpata.sys و dump_dumpfve.sys و dump_msahci.sys من خلال الانتقال إلى لوحة التحكم> النظام> إعدادات النظام المتقدمة> انقر فوق زر الإعدادات لبدء التشغيل والاسترداد> انقر فوق القائمة المنسدلة من في كتابة معلومات التصحيح وحدد (بلا). انقر فوق OK (موافق) لإغلاق كافة أنظمة تشغيل Windows وإعادة تشغيل الكمبيوتر ولن تظهر برامج التشغيل الثلاثة في DriverView.
على الرغم من أن برنامج DriverView مفيد ، فقد اكتشفت بعد إجراء المزيد من الاختبارات أن برنامج DriverView يقرأ فقط مورد VERSIONINFO الذي يمكن العثور عليه في علامة التبويب تفاصيل عند النقر بزر الماوس الأيمن على الملف وتحديد خصائص. يفتقر إلى القدرة على قراءة اسم الموقع للتوقيع الرقمي. يمكن للمرء بسهولة تحرير خصائص ملف برنامج تشغيل rootkit الخبيث باستخدام محرر الموارد أو crypter وسوف يعتقد برنامج DriverView أنه ينتمي إلى Microsoft وربما يخفيها عن العرض عند تمكين خيار "إخفاء برامج تشغيل Microsoft". ومع ذلك ، فإن الحصول على شهادة توقيع رمز رقمي ليس بالأمر السهل. لقطة الشاشة المتحركة أدناه هي دليل على أن DriverView يقرأ VERSIONINFO ولكن ليس التوقيع الرقمي. يرجى الرجوع إلى أول لقطة شاشة لرؤية المعلومات التي يعرضها DriverView لملف RDPCDD2k.sys.
برنامج DriverView مجاني ومحمول ويعمل على أنظمة التشغيل Windows 2000 و Windows NT و Windows XP و Windows Vista و Windows 7 و Windows Server 2003/2008 ، كلاهما 32 بت و 64 بت.
تنزيل DriverView
