Главный Каталог Статей РФ
85933 авторов, размещено 47073 статей, сейчас на сайте пользователей: 103 Статистика
Аватар TERMINATOR

Секретные приемы автозагрузки в Windows

Категория:  Безопасность  | Автор:  TERMINATOR | Опубликовано: 11.09.2010
Секретные приемы автозагрузки в Windows

В операционных системах серии Windows NT способы автозапуска программ в целом почти идентичны системам Windows 9x, однако имеется ряд разделов в реестре, специфичных только для Windows NT.
Кроме того, в этих ОС отсутствует возможность запуска программ с помощью файлов autoexec.bat (при запуске DOS-приложения, правда, происходит автоматическая обработка файла %SystemRoot%\SYSTEM32\AUTOEXEC.NT, если в настройках свойств этой DOS-программы не указан другой файл), winstart.bat, dosstart.bat.
Итак, в Windows NT могут иметь место дополнительные параметры автозапуска в разделах реестра:
HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Run и
HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Run.
В разделе HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\ CurrentVersion\Windows или в
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows могут присутствовать строковые параметры Load (программы, запуск которых в нем прописан, загружаются минимизированными) и Run, в которые при установке Windows NT поверх Windows 9x переносится соответствующий список программ автозапуска из аналогичных параметров файла win.ini.
К этим параметрам реестра применимы те же правила написания, что и к соответствующим параметрам win.ini. Если же наследования этого списка из предыдущей ОС не происходит, то по умолчанию значением этих параметров является пробел.
В разделе HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Userinit - определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP.
Shell - задает оболочку (вернее, список программ, формирующих пользовательский интерфейс)
Windows (по умолчанию taskman, progman, wowexec для Windows NT и explorer.exe для Windows 2000 / XP).
System - определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию - lsass.exe, spoolss.exe для Windows NT и lsass.exe для Windows 2000 / XP.
VmApplet - определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти -по умолчанию его значение rundll32 shell32, Control_ RunDLL "sysdm.cpl".

Неявные способы автозагрузки
К сожалению, операционные системы семейства Windows и их внутреннее устройство довольно сложны для рядового пользователя - к копанию в реестре расположен далеко не каждый. Тем более, что помимо вышеперечисленных способов автозапуска программ на старте системы существует еще и такой вариант, как запуск исполнимого модуля одной программы при загрузке другого, вполне легитимного приложения.
Подобный симбиоз (или, скорее, что-то типа паразитирования) можно наблюдать при использовании утилит класса ad-ware, то есть таких программ, в которых вы расплачиваетесь с их авторами не живыми деньгами, а своими нервными клетками, попорченными из-за просмотра рекламных баннеров внутри интерфейса самой программы.

Подобных модулей-баннерососов создано уже довольно много, и отловить их вручную слишком сложно даже для опытного пользователя, а потому всегда полезно периодически сканировать систему не только антивирусным сканером, но программами типа Ad-Aware www.lavasoft.de/free.html, или Opt Out grc.com/optout.htm, или SpyBot - Search & Destroy (security.kolla.de), призванными находить и удалять из системы эти модули.
Такие программы обычно абсолютно бесплатны и имеют в своих постоянно обновляемых базах данных информацию о десятках известных шпионско-рекламных модулях и даже троянских вирусах. Учтите только, что некоторые программы не работают без таких "пауков" (тот же ReGet) - в этом случае можно либо заблокировать баннеры персональным файрволлом, например, AtGuard или Norton Internet Security, либо найти альтернативную программу аналогичного назначения, но уже без мерзопакостной нагрузки.

Всеми обожаемый браузер от повсеместно любимой корпорации Microsoft также имеет мало известную, но достаточно коварную возможность вместе со своим запуском загружать посторонние модули, так называемые Browser Helper Objects (BHO) - небольшие программы, не имеющие пользовательского интерфейса и автоматически запускаемые вместе с Internet Explorer.
Эти самые BHO могут быть как действительно ценными дополнениями (например, модуль, который прописывает в систему программа FlashGet), так и зловредными троянскими вирусами или шпионскими модулями, а потому при проверке автозагрузки нелишним будет проконтролировать и список установленных в системе BHO. Список этот можно увидеть в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects.
Подозрительные или явно зловредные Browser Helper Objects можно удалить из этого списка (ленивым пользователям желательно предварительно сделать резервную копию реестра, а добросовестным - обязательно) - это их полностью дезактивирует.
Например, если в этом разделе вы обнаружите подраздел
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{A5366673-E8CA-11D3- 9CD9-0090271D075B}
то произведите поиск во всем реестре найденного идентификатора Browser Helper Objects - {A5366673-E8CA-11D3-9CD9-0090271D075B} - обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}.
Просмотрите все содержимое найденного раздела, чтобы определить, к какой программе относится этот Browser Helper Objects. В данном случае вы найдете такую запись: HKEY_CLASSES_ROOT\CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}\ InprocServer32@= "C:\PROGRAM FILES\FLASHGET\ JCCATCH.DLL", - из которой можно сделать вывод, что обнаруженный Browser Helper Objects создан программой FlashGet (менеджер закачек) и никакой угрозы совершенно не представляет.
Если же обнаружится упоминание библиотеки непонятного происхождения (например, в свойствах этого файла нет никаких данных о его разработчике), то попробуйте удалить в реестре все упоминания данного Browser Helper Objects - скорее всего, именно он и является причиной неприятностей.
Удобнее же всего для поиска и идентификации установленных Browser Helper Objects использовать специально для этого предназначенные программы, такие как BHODemon (http://www.definitivesolutions.com/) или BHOCaptor (http://www.xcaptor.org/), которые выдадут всю информацию об установленных модулях Browser Helper Objects и помогут деактивировать подозрительные модули.
Конечно, существуют и другие доступные способы загрузить программный код без ведома пользователя, например, с помощью плагина какой-либо программы, хотя бы того же всеми любимого браузера Internet Explorer. Файлы подключаемых модулей-плагинов Internet Explorer находятся в папке \Program Files\Internet Explorer\Plugins, по свойствам каждого файла можно выяснить его предназначение.
Не исключено также, что зловредной программе удастся прописать себя в системе как системный драйвер или сервис, одним словом, борьба с вирусами или другими, запускающимися без ведома пользователя программами, весьма и весьма непроста.

С некоторой натяжкой, правда, к автозапуску можно отнести еще и возможность использования файла autorun.inf в корневой директории жесткого диска
В особо же тяжелых случаях советую попробовать определить имя исполнимого файла непонятно каким образом запущенного процесса с помощью программы типа TaskInfo (www.iarsn.com/download.html), а затем произвести тщательный поиск этого файла на диске и его упоминаний в системном реестре. Утилита эта вообще очень примечательна.
Она в реальном времени показывает информацию обо всех запущенных процессах (использование памяти и CPU, открытые файлы, используемые библиотеки и прочее).
Иконка программы помещается в системный трей и показывает загрузку процессора. С ее помощью также можно устанавливать уровень приоритета для запущенных приложений.
Эта программа позволяет не только просмотреть почти все способы автозагрузки, но обладает еще целым рядом полезных функций. Например, с помощью утилиты Starter вы легко отредактируете любую запись в реестре, относящуюся к автоматически загружаемым программам, удалите, временно отключите или добавите в автозагрузку любое новое приложение или документ.
Также эта программа позволяет делать резервную копию автозагрузочных разделов реестра в виде текстового файла, документа HTML или стандартного reg-файла и, естественно, восстанавливать их из нее. Любую замеченную в автозагрузке программу можно запустить непосредственно из интерфейса Starter, просмотреть свойства исполнимого файла этой программы и открыть ее папку на диске.
Кроме того, с помощью Starter можно просмотреть и список запущенных процессов, задать любому из них нужный приоритет или принудительно выгрузить его из памяти. Словом, возможностей даже у далеко не идеального, на мой взгляд, Starter гораздо больше, чем у msconfig (впрочем, msconfig - более универсальная программа, призванная решать и другие задачи настройки системы), а пользоваться ей заметно удобнее, что, конечно, не исключает наличия и более продвинутых утилит мониторинга автозагрузки.


Источник статьи
Комментарии
К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.
Интересные статьи по теме
Аватар kern
Безопасность для интернет-пользователя: анонимайзеры, прокси, VPN Какие цели преследуют пользователи сети Интернет, использующие анонимайзеры и другие средства защиты персональных данных?...
Категория: Безопасность | Автор: kern | Добавлено: 08.08.2013
Аватар spora69
Инструкция снятия/постановки Барьер-8. Подробная инструкция как поставить на охрану или снять с охраны, охранный прибор "Барьер-8"...
Категория: Безопасность | Автор: spora69 | Добавлено: 06.10.2009
Аватар radiobug
Шпионские очки с камерой. В мире шпионских гаджетов появилась новинка, требующая несомненного рассмотрения. Солнечные очки со встроенной шпионской камерой. Дизайн очков сложно назвать классическим, носить их в купе с элегантны...
Категория: Безопасность | Автор: radiobug | Добавлено: 26.10.2009
Аватар Dmitrii
Какой антивирус лучше, Kaspersky (Касперский) или Dr.Web (Доктор Веб)! Какой антивирус лучше, Kaspersky (Касперский) или Dr.Web (Доктор Веб)!...
Категория: Безопасность | Автор: Dmitrii | Добавлено: 10.10.2009
Аватар spora69
Инструкция постановки/снятия Барьер-16. Подробная инструкция о том, как поставить на сигнализацию или снять с сигнализации, охранный прибор "Барьер-16"...
Категория: Безопасность | Автор: spora69 | Добавлено: 06.10.2009
Лучшие авторы
Аватар dmbeard
Все примеры заработка, которые я описал на сайте (...

Читать

Аватар lokotkova-marina
Психолог, психоаналитик - Локоткова Марина, Нижн...

Читать

Аватар cxt
cxt
ООО "ВК "СХТ"
www.cxt.su

Читать

Аватар arik
Добрый день. Хочу вам подсказать вот этот интернет...

Читать

Аватар Mio452
Я интернет-маркетолог с опытом более 10 лет. Разра...

Читать

Свежие комментарии
Талантливый человек талантлив во всём! Будь как Паша! А ещё ты можешь ...

Читать

Можно выбрать.

Читать

Ой, шутник.

Читать

https://priornews.ru/zastrojshhik-iz-hmao-sravnil-ufas-s-prestupnoj-gr...

Читать

https://ura-news.turbopages.org/turbo/ura.news/s/news/1052688335

Читать

Напишите нам