На данном этапе развития спамерской и вирусной всевозрастающей деятельности, для авторов такого рода программ огромное влияние играет постоянное присутствие их вредоносного кода в системе. Для того, чтобы эти программы постоянно присутствовали в системе им жизненно необходим реестр Windows. Используя реестр в качестве отправной точки для запуска, все вредоносные программы стартуют в системе именно оттуда. Пользователь остается практически незащищенным перед такой опасностью, потому как в реестре существует очень много мест для запуска на всех этапах загрузки операционной системы.
Однако, знание мест откуда может стартовать тот или иной код, работающий как в режиме пользователя, так и в режиме ядра может пригодиться не только для удаления вредоносных программ, но также и для исключения из загрузки сторонних драйверов и служб, загружаемых как на ранних, так и поздних этапах загрузки системы.
В системном реестре автозагрузка представлена в разделах:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Добавляем ярлык запуска программ в контекстное меню через реестр Windows
Run — программы, которые запускаются при входе пользователя в систему (для текущего пользователя). (Windows 98, 2000, XP)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersion
RunOnce — программы, которые запускаются только один раз при входе пользователя в систему. После этого параметры программ автоматически удаляются из данного раздела. Этот раздел отвечает за запуск программ для всех пользователей системы. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceEx — программы, которые запускаются только один раз, при загрузке системы. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices-, HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices — службы, которые загружаются при входе пользователя в Windows. (Windows 98)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersion RunServicesOnce — службы, которые загружаются один раз при загрузке системы. (Windows 98)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices – раздел содержит подразделы с названиями драйверов и служб, которые могут загружаться на любой стадии загрузки Windows 2000, XP. То, на каком этапе загрузки ОС будет загружен драйвер или служба отвечает параметр Start типа DWORD. Параметр Start может принимать значения:
При включении компьютера открывается браузер с рекламой 2021
0х0 – такое значение имеют низкоуровневые драйверы, например драйверы дисков, которые загружаются на самом раннем этапе загрузки – загрузки ядра. В случае, если какой – либо драйвер, имеющий данное значение, не был загружен система автоматически перезагружается. За загрузку драйверов, имеющих такое значение отвечает загрузчик ОС.
0х1 – данное значение имеют драйверы, которые загружаются и инициализируются после инициализации ядра ОС. В отличие от драйверов со значением параметра Start 0х0, драйверы устройств со значением 0х1 загружаются не за счет вызовов BIOS, а с помощью драйверов устройств, загруженных на стадии загрузки ядра и только что инициализированных на этой стадии.
0х2 – данное значение имеют драйверы или службы, которые должны быть загружены SCM (Диспетчером Управления Сервисами).
0х3 – данное значение имеют драйверы или службы, запускаемые Диспетчером Управления Сервисами, только в случае получения явной инструкции на загрузку.
0х4 — такое значение имеют драйверы или службы, которые не загружаются. Windows 2000, XP устанавливают в этот режим драйверы устройств в случае невозможности их загрузки SCM. Исключение составляют лишь драйверы файловых систем, которые загружаются, даже при установленном значении Start в 0х4.
Знание вышеописанных разделов необходимо при сбое системы и невозможности ее загрузки в обычном режиме, так как в таком случае ОС можно загрузить в безопасном режиме и отредактировать соответствующие разделы системного реестра или запустить утилиту конфигурирования системы MSConfig, входящую в поставку ОС. Однако, что делать если ОС не загружается и с минимальным, жизненно необходимым набором драйверов и служб, т. е. в безопасном режиме? Если это стало происходить после установки драйвера или программы, тогда стоит посмотреть список драйверов и служб, загружаемых в безопасном режиме, и проверить нет ли там драйверов от сторонних разработчиков. Эту информацию можно найти в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
SafeBoot
Значит можно загрузиться с boot-дискеты MS-DOS, скопировать файлы отвечающие за реестр и отредактировать данный раздел на другом компьютере.
В системах Windows 9x еще одним местом запуска кода может служить раздел
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVxD. Как видно из названия, из данного раздела загружаются виртуальные драйверы. В Windows 2000/XP программы может запускать Диспетчера Сеансов на этапе своей загрузки. Соответствующий раздел:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
Session Manager
Но вышеописанные способы не единственные для управления автозагрузкой. В Windows 2000 для добавления программ в автозапуск можно воспользоваться Microsoft Management Console (MMC). В частности, через MMC можно отключать автозагрузку программ или подключать необходимые программы.
Для этого: откройте оснастку «Групповая политика» в Windows 2000, перейдите на вкладку «Конфигурация компьютера — Административные шаблоны – Система». В правой части оснастки перейдите на пункт «Запускать указанные программы при входе в систему». По умолчанию эта политика не задана, но вы можете добавить туда программу следующим способом: включаем политику, нажимаем кнопку «Показать – Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32 то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionPolicies создастся подраздел ExplorerRun с ключами добавленных программ.
Для задания программ автозапуска только для текущего пользователя создайте разделы ExplorerRun в ветви
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionPolicies
При этом программы из этого списка не отображаются в списке программ доступных для отключения в MSConfig.exe, а также определяются не всеми менеджерами автозагрузки. Еще один тип автозагрузки – автозагрузка из особого списка –
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
load=«программа» – программы, запускаемые до входа пользователя в систему:
run=«программа» – программы, запускаемые после входа пользователя в систему.
Эти параметры — аналог автозагрузки из Win.ini в Windows 98.
Для того, чтобы игнорировать списки автозагрузки программ выполняемых однажды проделайте: групповая политика: «Конфигурация компьютера — Административные шаблоны — Система — Не обрабатывать список автозапуска программ, выполняемых однажды», если эту политику включить, то не будут запускаться программы, запускаемые из списка
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunOnce
Если эта политика включена, в реестре создается следующий параметр:
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersion
DisableLocalMachineRunOnce значение 1, тип DWORD.
Для отключения автозагрузки следует открыть запись «Отключить автозапуск» и отключить автозагрузку.
Аналогично настраивается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система — Не обрабатывать список автозапуска программ, выполняемых однажды». Параметры реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersion policiesExplorer
DisableLocalUserRunOnce значение 1, тип DWORD.
Одним из самых стандартных способов управления автозагрузкой – папка «Автозагрузка», в которой хранятся ярлыки к программам, которые запускаются после успешной регистрации пользователя в системе. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки: общая — для всех пользователей и индивидуальная — для текущего пользователя. По умолчанию эти папки находятся в следующих директориях:
ROOTDocuments and SettingsAll UsersГлавное менюПрограммыАвтозагрузка — папка, программы из которой будут запускаться для всех пользователей ОС.
ROOTDocuments and SettingsUsernameГлавное менюПрограммыАвтозагрузка — это папка, программы из которой будут запускаться для текущего пользователя (Username – текущий пользователь). Таким образом для автоматического запуска программы после успешной регистрации пользователя в системе нужно создать ярлык к программе и поместить его в одну из вышеперечисленных папок. Следует также отметить, что если при входе пользователя в систему он зажмет клавишу Shift, то программы из папок для автозагрузки загружаться не будут.
Системный реестр не является единственным местом конфигурирования и администрирования автозагрузки программ. Автозагрузка также представлена в конфигурационных файлах ОС – Win.ini, System.ini. Разберем блоки этих файлов, откуда могут загружаться программы.
В файле Win.ini в Windows 98 автозагрузка представлена в блоке windows. Для этого определены два параметра «load» и «run». Значения этих параметров – файлы, которые должны загружаться при загрузке ОС. Если нужно указать несколько программ, то они перечисляются через запятую. Пробелы в именах файлов не допускаются. По умолчанию эти параметры содержат значения пустых строк.
Загрузка программы происходит после успешной регистрации пользователя в системе. Пусть, например, нужно, чтобы автоматически загружалась программа msconfig из системного раздела с ОС. Тогда значение параметра load с пустой строки изменится на с:WindowsSystemmsconfig.exe, т. е.
Источник: citforum.ru
Автозагрузка в реестре
«Автозагрузка в реестре». Во-первых, надо узнать, как Windows распознает программы, которые необходимо включать при запуске. Есть три места, где данные хранятся: меню «Пуск» папка «Автозагрузка», реестр и «win.ini» файл. Ну, с запуском ясно — это самый простой и самый доступный вариант, но на реестре и на самом «win.ini» стоит остановиться более подробно.
Автозагрузка через win.ini
Давайте начнем с файла. Хотя Microsoft и настоятельно рекомендует разработчикам хранить все свои настройки в реестре, тем самым отказываясь от файлов INI, заверяя пользователя, что они сохраняются только для совместимости со старыми утилитами, однако, продолжают использовать их сами. Сам файл находится в директории, где установлена ОС. Откройте его простым блокнотом.
В самом начале файла раздел под названием [Windows]. Там есть два параметра, которые отвечают за автоматическую загрузку программного обеспечения – «загрузить и запустить». Обычно они пустые, но если есть какие-то записи, не забудьте проверить, что софт работает.
С «win.ini» все намного проще – там имеется только одно интересное для нас место. С реестром куда более сложнее. Там существует уже гораздо больше места, где могут скрываться софты — злоумышленники. Таким образом, открываем наш реестр и начинаем кропотливые поиски.
Автозагрузка в реестре
Во-первых, раздел, который надо просмотреть в первую очередь, это: «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion». Найти, там вот такие подразделы Run, RunOnceEx, RunOnce, «RunServicesOnce», «RunServices». В этих разделах имеются ключи (некоторые разделы вообще пустые), которые отвечают за запуск при загрузке.
Название ключа может быть совершенно разным, по умолчанию в значении у них указывается программа, которая будет запущена при включении ОС. Обратить нужно взор на разделы, у которых в названии есть английское слово «Once». В этом разделе, располагаются программы, включение которых должно быть выполнено только однажды. Например, после установки каких-либо программ, большинство из них из них записывают туда свои ключи, которые указывают на любую конфигурацию модулей, и запускаются сразу после системной перезагрузки. Такие ключи после запуска автоматически удаляются.
Но это не самый единственный раздел, где происходит запуск. Обратимся теперь к другой разделу: «HKEY_CURRENT_USER», там нужно будет открыть раздел «SOFTWARE Microsoft Windows CurrentVersion». Вот здесь имеются только два подраздела, которые отвечают за него: RunOnce и RUN. Изначально они будут пусты, так как все записи сделаны другими утилитами.
Возможно вам будет интересно: MikroTik Проброс портов RDP и 80
Имейте в виду, что из самого реестра, запуск программ идет в первую очередь, потом уже из «win.ini» и последняя очередь за «Автозагрузкой». Так что если у Вас запущен на компьютере антивирус, то это не факт, что он найдет и удалит троян, потому что вирусы значительно меньше, чем размер файла и грузятся они намного быстрее.
Вот, пожалуй, и все про запуски программ в Windows. Если Вы хотите ускорить загрузку компьютера, удалите все лишнее и ненужное из вышеупомянутых разделов. А при установке какой-то подозрительной программы или при загрузке неизвестного файла, проверьте, добавилось ли что-то лишнее. Слишком много в последнее время расплодилось «всякого рода» троянов и слишком широкая масса пользователей может их случайным образом «подцепить». Так что дополнительная осторожность никогда не помешает.
Источник: setiwik.ru
Запуск программ при запуске windows реестр
Программы в операционных системах могут автоматически запускаться множеством способов, что активно используется вирусами.
1. Папка Автозаг рузка (%USERPROFILE% Start Menu Programs Startup , %ALLUSERSPROFILE% Start Menu Programs Startup). Частенько использовалась вирусами. Кроме проводника, можно просмотреть и отредактировать программой msconfig.exe.
2. Ветка реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run. Тоже частенько используется вирусами. Кроме regedit, можно просмотреть и отредактировать программой msconfig.exe. Ещё могут быть записи в ..RunOnce и ..RunOnceEx.
3. Ветка реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Group Policy State Machine Scripts Startup . Записи там появляются при изменении политики локального компьютера (mmc.exe Добавить или удалить оснастку Редактор объектов групповой политики объект “Локальный компьютер”). Если, например, добавить программу %SystemRoot%system32calc.exe (Политика “Локальный компьютер” Конфигурация компьютера Конфигурация Windows Сценарии (запуск/завершение) Автозагрузка, путь к скрипту или программе надо обязательно указывать полностью, даже если она лежит в %SystemRoot%system32), то она запускается и висит до приглашения о логоне — это приглашение появится только после того, как calc.exe завершить. Эта автозагрузка срабатывает при инициализации Windows (после включения питания или полной перезагрузки). Можно, кстати, настроить автозапуск и на момент завершения работы Windows (тем же редактором объектов групповой политики).
4. Ветки HKEY_CURRENT_USER Software Policies Microsoft Windows System Scripts, HKEY_USERS S-1-5-21-1864085942-2410699049-2459454283-1003 Software Policies Microsoft Windows System Scripts, где безумное число S-1-5-21-1864085942-2410699049-2459454283-1003 представляет из себя идентификатор пользователя. Эти записи тоже появляются с помощью редактора объектов групповой политики, но не в “Конфигурации компьютера”, а в “Конфигурации пользователя”.
Внесенные изменения вступают в силу немедленно (перезагрузка не требуется). Эта автозагрузка срабатывает сразу после успешного логона пользователя. Можно, кстати, настроить автозапуск и на время завершения сеанса (тем же редактором объектов групповой политики).
5. Планировщиками — либо консольной командой AT, либо через Панель управления Назначенные задания.
6. Автоза пуск в W2003 Server (и в W2k?) кроме всех стандартных известных способов, может происходить ещё из ветки реестра
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
При этом Name устанавливается в путь до автозапускаемой программы (вместе с параметрами), Type устанавливается в REG_SZ, а в Data пишется комментарий (описание программы). Таким образом у меня запускалась каждый раз при перезагрузке и логине программа установки CakeWalk Pro Audio 9.
7. С помощью Browser Helper Objects (BHO) — позволяет запускать программы при старте Internet Explorer и событий, происходящих в нем. Частенько используется вирусами и spyware.
8. Для систем NT/XP ключ реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Shell указывает на запускаемую оболочку (по умолчанию там прописано Explorer.exe). Для Windows 9x используется в раздел [boot] файла system.ini, строка shell=explorer.exe.
9. При запу ске интерпретатора cmd.exe могут запускаться приложения, настроенные на ветки реестра
HKEY_LOCAL_MACHINESoftwareMicrosoftCommand ProcessorAutoRun
и
HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun
См. подсказку к cmd.exe (выдается при запуске с опцией /?).
Источник: microsin.net