Astăzi este dificil să găsești o organizație care nu ar fi supusă atacurilor virale. Și, deși aproape totul deja instalat software-ul anti-virus, uneori există o nevoie de a analiza manual unde în registru începe un anumit malware.
Bezmaliy V.F.
MVP Consumer Security
Astăzi este dificil să găsești o organizație care nu ar fi supusă atacurilor virale. Și, deși aproape toate aplicațiile software anti-virus deja instalate, uneori există nevoia de a analiza manual unde registrul pornește un anumit malware, și nu chiar neapărat rău intenționat. Când căutăm malware rezident, nu ne putem îngrijora decât de următoarele întrebări:
- Cum se efectuează autoloadul?
- Unde pot găsi lista de programe care sunt descărcate automat?
- Cum dezactivez lista de pornire corespunzătoare?
Există multe modalități de autoload. Mai jos sunt câteva opțiuni. Sper că acest lucru vă va ajuta în căutarea și eliminarea programelor malware de la pornire.
Metode de pornire
În registrul Windows 7, încărcarea automată este reprezentată în mai multe domenii:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] # 8208; programe care se execută atunci când vă conectați la sistem.
Programele care rulează în această secțiune sunt lansate pentru toți utilizatorii din sistem (figura 1).
Figura 1 Autostart pentru toți utilizatorii
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft Windows \ CurrentVersion \ RunOnce] # 8208; Programe care rulează o singură dată când un utilizator se conectează la sistem. După aceasta, cheile programului sunt șterse automat din această cheie de registry.
Programele care rulează în această secțiune sunt difuzate pentru toți utilizatorii din sistem.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] # 8208; programe care se execută atunci când utilizatorul curent se conectează la sistem
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] # 8208; programe care rulează o singură dată când utilizatorul curent se conectează la sistem. După aceasta, cheile programului sunt șterse automat din această cheie de registry.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] și adăugați următoarea cheie:
"NOTEPAD.EXE" = "C: \ WINDOWS \ System32 \ notepad.exe"
Folosind Politica de grup pentru Autostart
Figura 2 Utilizarea politicii de grup pentru autorun (pentru toți utilizatorii)
Implicit această politică nu este setată, dar puteți adăuga programul acolo: activați politica, faceți clic pe butonul "Afișați" # 8208; Adăugați ", specificați calea către program și dacă programul pe care îl executați este în directorul WINDOWS \ System32 \, puteți specifica numai numele programului, altfel va trebui să specificați calea completă la program.
De fapt, în această secțiune a politicii locale de grup, puteți specifica un program sau un document suplimentar care vor fi executate atunci când utilizatorul se conectează la sistem.
Atenție vă rog! Acest element de politică este disponibil în Configurația computerului și Configurațiile utilizatorilor. Dacă sunt specificate ambele elemente de politică, programul din Configurația computerului și apoi utilizatorul va fi pornit mai întâi.
exemplu:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ politici \ Explorer \ Run]
"1" = "notepad.exe"
Ca rezultat, lansăm Notepad (Figura 3).
Figura 3 Rularea Notepadului utilizând politica locală de grup
În mod similar, autorun este setat pentru utilizatorii curenți, în "snap-in" Group Policy "aceasta este calea" Configurația utilizatorului # 8208; Șabloane de administrare # 8208; System "(Figura 2) și în secțiunea de registru [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]
Atenție vă rog! Cu toate acestea, programele din această listă nu apar în lista de programe disponibile pentru dezactivare în msconfig.exe și nu sunt definite de toți administratorii de pornire.
Ignorarea listelor de pornire a programelor rulează o dată
Dacă activați această politică, programele lansate din listă nu vor fi lansate
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] Dacă această politică
în registru se creează următoarea cheie:
Sarcini programate
Programele pot fi pornite folosind "Task Scheduler". Pentru a vedea lista sarcinilor instalate și, de asemenea, pentru a adăuga o nouă, puteți face acest lucru: "Start # 8208; Toate programele # 8208; standard # 8208; Service - Planificatorul sarcinilor " # 8208; Aceasta deschide fereastra Task Scheduler, în care sunt afișate sarcinile atribuite (figura 4).
Figura 4 Fereastra Task Scheduler
Pentru a adăuga o nouă sarcină, selectați elementul "Creați o sarcină simplă" din meniul "Acțiuni" (Figura 5).
Figura 5 Crearea unei sarcini simple în Task Scheduler
Programele care rulează folosind acest expert sunt posibile o singură dată, la intrarea în Windows, atunci când computerul este pornit și, de asemenea, într-un program.
Pornire dosar
Un folder care stochează comenzi rapide pentru programele care rulează după ce utilizatorul se conectează la sistem. Etichetele din acest dosar pot fi adăugate de programe atunci când sunt instalate sau de către utilizatorii înșiși. Există două dosare # 8208; comun pentru toți utilizatorii și individual pentru utilizatorul curent. În mod implicit, aceste foldere sunt situate aici:
\ Users \ Toate utilizatorii \ Microsoft \ Windows \ Start Menu \ Programs \ Startup # 8208; acest dosar, programul din care va fi rulat pentru toți utilizatorii computerului.
% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Meniu Start \ Programs \ Startup # 8208; acesta este dosarul, programele din care vor fi lansate pentru utilizatorul curent.
Pentru a vedea ce programe executați în acest fel, puteți deschide meniul Start # 8208; Toate programele # 8208; Auto Backup ". Dacă creați o comandă rapidă pentru un program din acest folder, acesta va fi lansat automat după ce utilizatorul se loghează la sistem.
Schimbați folderul de pornire
Windows citește informațiile despre calea către folderul Startup din registru. Această cale este prescrisă în următoarele secțiuni:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Folder Shell utilizator]
"Start-up comun" = "% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup" # 8208; pentru toți utilizatorii sistemului.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Folder Shell pentru utilizatori]
"Startup" = "% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup"
# 8208; pentru utilizatorul curent. După modificarea căii către dosar, vom primi pornirea tuturor programelor din dosarul specificat.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Folder Shell pentru utilizatori]
"Startup" = "c: \ mystartup" # 8208; sistemul va încărca toate programele ale căror comenzi rapide se află în directorul c: \ mystartup \, în timp ce folderul "Startup" va fi afișat încă în meniul "Start" și dacă utilizatorul nu are nimic în el, atunci nu va observa falsificarea.
Înlocuirea etichetei pentru program din lista de pornire
Să presupunem că ați instalat pachetul Acrobat. Apoi, în dosarul "Startup" veți avea eticheta "Adobe Reader Speed Launch" # 8208; această comandă rapidă este setată implicit. Dar această etichetă nu se referă neapărat la aplicația corespunzătoare # 8208; În loc de acesta, se poate porni orice alt program, mai ales că nu afectează funcționalitatea Acrobat.
Adăugarea unui program la un program pornit de la lista de pornire
Modificarea versiunii anterioare # 8208; În același timp, când încărcați un program din lista de pornire, va porni un alt program # 8208; Problema este că este posibil să se "lipsească împreună" două fișiere executabile într-una și vor fi lansate simultan. Există programe pentru astfel de "lipire împreună". Sau comanda rapidă se poate referi la un fișier batch, din care va fi lansat atât programul original din listă, cât și programele externe adăugate.
Pentru a vedea lista de programe descărcate automat, deschideți "Informații despre sistem" (deschideți "Start" # 8208; Toate programele # 8208; standard # 8208; Instrumente de sistem # 8208; System Information "sau tip msinfo32.exe pe linia de comandă) și accesați" Program Environment # 8208; Descărcări programate automat. "Programul" Proprietăți sistem "afișează grupurile de pornire din registru și folderele" Startup "(figura 6).
Figura 6 Programe descărcate automat
concluzie
Desigur, informațiile furnizate în acest articol nu pot fi considerate exhaustive, dar sper că te vor ajuta în munca grea de combatere a programelor malware.