главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Бывают ситуации, когда на компьютере без ведома владельца появляются различные вредные программки, пытающиеся осуществлять действия, порой препятствующие нормальной работе и вредящие программному обеспечению. За примерами далеко ходить не надо: интернет просто кишит различными троянцами, некоторые сайты (содержащие порно-ресурсы, крак-хак-странички, халява) норовят поменять начальную страничку, а то и закинуть программу, которая будет вопреки всем вашим действиям постоянно восстанавливать ссылку на свой сайт.

    Эта тема действительно актуальна, стоит взглянуть хотя бы на вопросы различных форумов, я решил повторно поднять этот вопрос, но рассмотреть его именно с позиции способов загрузки таких неприятных "гостинцев".

    Сперва коротенько пробегусь по самым тривиальным и, пожалуй, известным практически всем местам и методам загрузки программ.

    Реестр

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
    Изначально содержит параметры:
    - internat.exe - индикатор клавиатуры в System Tray;
    - LoadPowerProfile - загрузка пользовательского профиля (общее для всех);
    - ScanRegistry - ежедневная проверка и архивация реестра;
    - SystemTray - загрузка System Tray;
    - TaskMonitor - планировщик заданий (дома я его всегда стираю из автозагрузки, чтоб не занимал место в памяти).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:
    - LoadPowerProfile - аналогичен параметру с таким же названием в разделе Run, только здесь уже грузится профиль конкретного пользователя (после того, как в систему вошли под чьим-то именем).

    Остальные разделы должны быть пустыми! Полный их список вы сможете посмотреть в упомянутой выше статье. Остальные параметры в этих разделах были добавлены другими программами, установленными на вашем компьютере. Как правило, по названию параметра легко догадаться о том, какую программу он запускает. Если вы сомневаетесь в правомерности нахождения здесь какого-либо параметра, экспортируйте этот кусочек реестра в reg-файл, затем сотрите подозрительный параметр, перезагрузите компьютер и проанализируйте, что изменилось: не исчезла ли какая-нибудь полезная программа, которая до этого всегда грузилась, не пропала ли проблема, подтолкнувшая вас на эксперименты.

    Следующий пункт нашей программы: файлы win.ini, system.ini.

    Проверьте раздел [windows], параметры run, load. Там должно быть пусто. Некоторые интернет-черви и троянцы используют именно эту лазейку, чтобы каждый раз стартовать при загрузке. Так, в system.ini изначально отсутствует раздел [windows], однако если создать его, то внутри него можно прописать параметр load=имя_файла и с помощью этого запустить нужную программу. И если о загрузке в win.ini знают многие, то system.ini частенько остается за кадром, чем и пользуются различные троянские программы. Один раз ради эксперимента я заразил свой компьютер каким-то из этих вирусов (имя сейчас я вспомнить не могу), так он прописал свою загрузку во всех разделах реестра и файлах win.ini и system.ini. Так что если вы нашли где-то одну запись, не успокаивайтесь на достигнутом, а проверьте все возможные места загрузки.

    Это были самые простые и общеизвестные способы загрузки программ, пора перейти к нетривиальным.

    Проверьте, а у вас в меню Пуск->Программы->Автозагрузка есть ссылки на офисовские примочки? А ведь возможно просто подменить запускаемую с помощью них программу таким образом, чтобы грузился троянчик, а уже из него запускать требуемую программу. Я думаю, далеко не каждый сообразит поискать там причину всех проблем.

    Следующий способ - это не совсем автозагрузка, но некоторые вирусы используют его, чтобы незаметно запускаться на компьютере. В разделе HKEY_CLASSES_ROOT\exefile\shell\open\command в параметре (По умолчанию) стоит команда обработки ехе-файлов. Там должно быть "%1" %*, но возможно запускать здесь какую-то программу, передавая ей в качестве параметра ехе-файл, который надо запустить. Программа запустит его, а затем выполнит свою вредоносную миссию.

    Конечно, описанные способы весьма редки, но если не удается найти виновника проблем в других местах, то надо проконтролировать и эти возможности.

    Теперь хотелось бы описать действительно редкие, но и наиболее тяжело идентифицируемые способы загрузки программ. Эта информация была почерпнута из журнала Хакер № 11.01. Эти способы загрузки были найдены при разработке известного трояна Donald Dick.

    Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов. Есть и более хитрые способы, но они еще более экзотические. Вызывает серьезные сомнения возможность отловить "диверсантов", загружаемых такими способами, вручную. Лучше доверить это специалистам, то есть AVP, DrWeb и другим антивирусам, так как этими способами грузятся только их непосредственные клиенты.

    Конечно, написанное выше, не охватывает АБСОЛЮТНО всех способов автозагрузки, но 95% перекрывает наверняка. По крайней мере, большинство возникающих по этой теме вопросов статья должна разрешить. Главное, не бойтесь думать и экспериментировать, и все у вас получится.

    Чеботарев Игорь
    Источник: whatis.ru


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • Диагностика проблем загрузки в Windows XP с помощью MSCONFIG
  • Автозагрузка в Windows XP
  • Несколько советов по оптимизации и настройке Windows XP
  • Настройки Windows с помощью реестра.
  • Ini Editor 2.6.3


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет семь плюс два?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+