Rulare automată în MS - Windows - Jurnal - Maxim Bogolepov

Pornire automată în MS Windows

rulare
Destul de des în munca mea trebuie să mă ocup de viruși informatici. Aș dori să remarc că în ultima vreme scriitorii de viruși au devenit remarcabili pentru ingeniozitatea lor remarcabilă și chiar, aș spune, talentul de a-și crea programele distructive. Încă ar fi! Persoana care a lansat Trojan.Winlock.origin la începutul acestui an a făcut bani frumoși din nepăsarea utilizatorilor care au neglijat cele mai simple reguli de comportament sigur pe Internet și nu au instalat antivirusuri pe computerele lor. În mod corect, trebuie remarcat faptul că algoritmii programelor antivirus existente, din păcate, nu vor putea întotdeauna să vă protejeze rapid și fiabil universul digital de astfel de cazuri. Dacă un utilizator are un virus pe computerul său, el încearcă în primul rând să contacteze specialiști. Sper că materialul prezentat mai jos vă va ajuta în detectarea modalităților de lansare a unor astfel de programe rău intenționate și în vindecarea manuală a sistemelor de operare bazate pe produse MS Windows.

A trebuit să pornesc de pe livecd bazat pe Windows xp (da, da, sunt câteva!) și să editez manual registrul sistemului infectat. Tot materialul descris mai jos este destinat utilizatorilor avansați și administratorilor care știu ce este registrul Windows, au o idee despre ce se mănâncă și își imaginează consecințele acțiunilor lor.

Pentru început, câteva explicații despre structura registrului Windows. Există ramuri SOFTWARE \Microsoft\Windows\CurrentVersion în el, care conțin mai multe grupuri pentru lansarea automată a aplicațiilor. Aceste ramuri pot fi localizate atât în ​​secțiunea HKEY _LOCAL_MACHINE, cât și în secțiunea HKEY _CURRENT_USER. Prezentarea va fi generală, și totpoate fi extrapolat la ambele secțiuni.

Dacă Windows este folosit ca mediu cu mai mulți utilizatori, atunci ar trebui să căutați și grupuri de pornire în secțiunea HKEY _USERS\.Default. Aceasta este o secțiune comună pentru toți utilizatorii sistemului. Dacă Windows rulează în modul utilizator unic, atunci cheia HKEY _USERS\.Default este identică cu cheia HKEY _CURRENT_USER.

Cheile de registry care au un domeniu de mașină locală și care sunt stocate în cheia HKEY _LOCAL_MACHINE au prioritate față de cheile de registry care sunt stocate în _CURRENT_USER HKEY și au un domeniu de aplicare a utilizatorului curent.

Autorun foldere

Primul folder care este procesat după ce Windows a terminat de încărcat este folderul Startup, care poate stoca o listă de comenzi rapide (*.lnk) către aplicații sau documente. Îl puteți găsi de-a lungul căii „Start->All Programs->Startup”. Acest folder aparține utilizatorului curent. Pentru orice eventualitate, vă sfătuiesc să verificați corespondența numelui său cu locația din registru.

Mai întâi trebuie să găsiți cheia HKEY _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders în registrul de sistem, care stochează locația tuturor folderelor modificate și să găsiți acolo parametrul de tip șir „Startup”. Dacă parametrul necesar lipsește, atunci locația sa implicită pe hard disk este specificată în registrul de sistem în parametrul „Startup” al cheii HKEY _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Următorul folder este „Common Startup Folder” pentru toți utilizatorii, care este, de asemenea, procesat după încărcarea ferestrelor în căutarea comenzilor rapide către documente sau aplicații. Stochează comenzi rapide comune pentru profilurile tuturor utilizatorilor din sistem. A eiconținutul este procesat chiar dacă Windows rulează în modul utilizator unic.

În registrul de sistem, locația sa pe hard disk este specificată în parametrul șir Common Startup al cheii HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, care stochează căile de foldere modificate. Dacă acest parametru lipsește, ar trebui să vă uitați la locația implicită a acestui folder în parametrul „Pornire comună” al cheii HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Administratorii ar trebui să acorde atenție conținutului acestor foldere pentru a identifica și elimina comenzile rapide sau programele suspecte.

Registrul de sistem - rulare automată, comun tuturor versiunilor de Windows

Iată căile complete către cheile de rulare automată:

- SOFTWARE\Microsoft\Windows\CurrentVersion\Run; -SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce; -SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx; - SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup; - SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices; - SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce,

care poate conține parametri șir, cu numele aplicațiilor sau documentelor care sunt lansate la pornirea sistemului. Numele parametrilor șir conținut în aceste chei pot fi arbitrare.

Funcții de executare automată în Windows NT/2000/XP

Pe lângă cheile de mai sus, pentru aceste sisteme de operare Windows există o altă cheie de registry de sistem - SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows”, care poate fi localizată în secțiunile HKEY _LOCAL_MACHINE sau HKEY _CURRENT_USER. Poate avea doi parametri de șir „Load” și „Run”, care pot, de asemenea, stocaliste de aplicații pentru lansare automată. Valoarea implicită pentru acești parametri este un spațiu. Programele lansate din opțiunea „Încărcare” sunt minimizate la pornire.

Tot în aceste sisteme de operare, există o altă listă de programe de pornire sau documente care pornesc după înregistrarea utilizatorului în sistem, care se află în ambele secțiuni HKEY _LOCAL_MACHINE și HKEY _CURRENT_USER. Se află în parametrii șir ai tastei SOFTWARE \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run. Numele parametrilor pentru această cheie au o particularitate: trebuie reprezentate ca numere de serie, începând de la 1.

Pornire automată când rulați Windows Logon

Un grup separat de conectare Windows pentru a controla inițializarea la conectarea utilizatorului apare în Windows NT și este dezvoltat în continuare de Microsoft pentru versiunile Windows 2000 și XP. Setările Winlogon se află în registrul de sistem sub cheia SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon sub HKEY _LOCAL_MACHINE. Toate opțiunile legate de Winlogon descrise mai jos sunt de tip șir.

Parametrul „Shell”, care este responsabil pentru programul shell, este prezent în ramura de registry „Winlogon” în versiunile de Windows NT, 2000 și XP. Acest parametru șir specifică o listă de fișiere executabile care oferă o interfață utilizator pentru sistemul de operare și care ar trebui să fie rulate cu programul shell.

În mod implicit, Windows rulează programele enumerate în setarea „Userinit” situată în ramura „Winlogon”, inclusiv „Userinit.exe” însuși. Dacă, dintr-un motiv oarecare, procesul Winlogon nu a putut lansa programele specificate în parametrul Userinit, atunci Winlogon trece direct la procesarea fișierelor executabile ale căror nume sunt scrise în parametrul Shell.

Valoarea implicită a parametrului „Shell” poate varia. Acestea sunt „taskman, progman, wowexec” pentru Windows NT și „Explorer.exe” pentru Windows 2000, XP.

Această setare este prezentă în versiunile Windows NT, 2000 și XP. Conține o listă de nume de fișiere executabile pe care Winlogon le rulează în contextul sistemului în timpul inițializării sistemului. Această listă poate fi variată prin editarea valorii acestui parametru.

Valoarea implicită pentru acest parametru este „lsass.exe, spoolss.exe” pentru Windows NT și „lsass.exe” pentru Windows 2000, XP.

Opțiunea „VmApplet”, care lansează aplicația „Control Panel” pentru configurarea sistemului, este specifică versiunilor Windows 2000 și XP. Conține o listă sau un singur fișier executabil pe care procesul Winlogon îl lansează, astfel încât utilizatorul să poată ajusta setările memoriei virtuale dacă nu există niciun fișier de paginare pe volumul sistemului. Nu este necesar să specificați extensii pentru numele fișierelor în acest parametru.

Valoarea implicită a acestei setări este „rundll32 shell32, Control_RunDLL „sysdm.cpl””. Nu trebuie să modificați în mod inutil valoarea acestui parametru, deoarece aceasta poate duce la o modificare a setărilor memoriei virtuale în Windows 2000, XP.

„Userinit” (inițializarea utilizatorului) este specific versiunilor Windows NT, 2000 și XP. Valoarea acestui parametru conține fișierele executabile care sunt lansate de procesul WinLogon în contextul utilizatorului atunci când utilizatorul se conectează la sistem.

În mod implicit, Winlogon lansează „Userinit.exe” care este responsabil pentru lansarea shell-ului și executarea fișierelor script pentru autentificare, resetarea conexiunilor de rețea și apoi lansarea „Explorer.exe”.

Valoarea implicită a parametrului „Userinit” este „userinit, nddeagnt.exe” pentru Windows NT,„userinit” pentru Windows 2000, XP. Aplicația „nddeagnt.exe” este necesară pentru a rula NetDDE - Network Dynamic Data Exchange.

  • Momentan 4,67/5
  • 1
  • 2
  • 3
  • 4
  • 5

Evaluare:4,7 /5(6 voturi exprimate)