Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров18K
Основной задачей, которую необходимо решить вредоносному файлу сразу после запуска является закрепление в системе, то есть обеспечение возможно постоянной работы данного процесса в системе. То есть, злоумышленнику необходимо, чтобы процесс, с помощью которого он может получить доступ в систему (троян, бэкдор и т. д.) запускался бы автоматически при загрузке системы и работал во время всего сеанса работы системы. Существует несколько методов закрепиться в системе. В этой статье мы рассмотрим наиболее распространенные способы закрепления в ОС Windows, а также посмотрим, как некоторые из этих техник выглядят в отладчике. Будем считать, что для запуска нужного процесса злоумышленнику так или иначе необходимо запустить выполнимый файл.
Ветка Run
Начнем с наиболее известного места, где можно прописать автоматический запуск приложения при старте системы — реестра Windows. И прежде всего приложения, желающие стартовать вместе с ОС прописывают себя в ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Для первого варианта нам необходимы права локального администратора. Для того, чтобы прописать автоматический запуск файла, необходимо добавить новое значение в ветку Run.
Однако, важно понимать, что манипуляции с данными ветками реестра также отслеживают и средства защиты. Так антивирус будет очень внимательно следить за тем, какие приложения собираются прописать свои файлы в эти ветки реестра. И попытка неизвестного ранее приложения прописаться в ветку Run может привести к срабатыванию антивируса.
Также, если вам необходимо один раз выполнить какой-либо файл. Например, вам необходимо прописать в системе сервис, то можно воспользоваться ключом RunOnce.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если мы хотим выполнить файл один раз для конкретного пользователя, то необходимо прописать файл в ветке:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Однако, этими, наиболее известными ветками реестра возможности спрятаться в автозагрузку не ограничиваются. Так, за автозагрузку в профиле текущего пользователя отвечают ветки реестра показанные ниже.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
Посмотрим, как код, правящий реестр выглядит в отладчике.
Конечно, любой здравомыслящий вредонос постарается максимально скрыть от отладки как разделы памяти в которых указаны ветки реестра и записываемые значения, так и сами вызовы функций для работы с реестром. Но в представленном на скриншоте примере мы видим обращения к реестру: RegOpenKeyEx, RegCreateKey, RegCloseKey. По вызовам этих функций можно понять, что приложение в принципе работает с реестром. В случае, если вносятся правки в представленные выше ветки, то вероятнее всего мы имеем дело с вредоносом.
Сервисы в реестре
Еще одним способом поселиться в автозагрузку является использование системных служб – сервисов. Сервис (служба) – это приложение, автоматически исполняемое системой при запуске операционной системы Windows и выполняющиеся вне зависимости от статуса пользователя.
Существует несколько режимов для служб:
-
запрещён к запуску;
-
ручной запуск (по запросу);
-
автоматический запуск при загрузке компьютера;
-
автоматический (отложенный) запуск;
-
обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).
Соответственно, для того, чтобы осуществить автоматический запуск какого-либо выполнимого файла, нам необходимо прописать его как сервис. И здесь кроются некоторые сложности. Дело в том, что сервис – это, не совсем обычный выполнимый файл. Для его запуска недостаточно просто создать exe файл и запустить его. Вместо этого нам необходимо зарегистрировать сервис в системе и только потом его можно запускать.
На скриншоте ниже представлен фрагмент кода, в котором формируется набор значений в стеке (в том числе имя выполняемого файла и самого сервиса) и затем все это передается функции CreateService для создания сервиса.
После того, как сервис зарегистрирован в системе его можно запустить с помощью вызова функции OpenService.
Помимо использования функций ОС предназначенных непосредственно для работы с сервисами, для регистрации и запуска сервиса можно воспользоваться командой sc. В примере ниже мы создаем процесс, который запускает команду sc start NewServ. CreateProcess не единственная функция для запуска процессов. В одной из предыдущих статей по реверсингу мы использовали функцию WinExec для запуска калькулятора при реализации переполнения буфера.
В общем, не стоит забывать про такой простой способ работы с сервисами, как консольные команды.
И еще с сервисами можно работать через реестр. Для этого предназначена ветка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
В ней находятся разделы, описывающие работу каждого из сервисов, зарегистрированных в операционной системе.
На скриншоте показаны параметры сервиса DHCP. Как видно, в этой ветке имеются параметры, отвечающие за параметры запуска сервиса, аккаунт, от которого он запускается и собственно сам путь к выполнимому файлу. Таким образом, работу с сервисами можно организовать с помощью манипуляций с реестром.
Скрытый отладчик
Представленные выше способы регистрации в автозагрузке в большей или меньшей степени видны пользователю системы. Так запущенные сервисы можно легко увидеть в соответствующей оснастке, а ветки Run хорошо всем известны, и можно без труда проверить их содержимое.
Однако, в реестре есть менее известные ветки, в которые тоже можно подселить выполнимый файл. В данном случае речь пойдет не совсем об автозагрузке как таковой, но при желании здесь тоже можно организовать автозапуск.
Разработчики из Майкрософт очень любят оставлять себе лазейки в виде недокументированных возможностей. В частности, они предусмотрели функционал по автоматическому запуску отладчика для заданного приложения. Работает это следующим образом: в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\
Мы создаем раздел с именем запускаемого приложения, а в этом разделе создаем параметр Debug в котором уже указываем выполнимый файл, запускаемый в реальности.
То есть, в примере на скриншоте при попытке запуска калькулятора у нас запустится некий prog.exe. Таким образом можно под видом одного приложения запустить другое. Можно к примеру подменить экранную клавиатуру (osk.exe) на командную строку (cmd.exe). В результате можно будет на заблокированном компьютере вызывать клавиатуру и получать командную строку, причем с правами System!
Небезопасные обновления
Продолжая тему реестра и размещения приложений в нем, мы можем поправить команды, которые выполняются при обновлении тех или иных компонентов. В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
Указаны GUID установленных компонентов и для многих из них можно найти параметры StubPath и Version. Далее процитируем официальную документацию Майкрософт:
При входе пользователя система сравнивает содержимое разделов HKLM\Software\Microsoft\Active Setup\Installed Components и HKCU\Software\Microsoft\Active Setup\Installed Components. Для каждого раздела в HKLM должна быть копия с тем же GUID в HKCU. Дальше есть три варианта развития событий:
1. Если копии нет, то выполняется команда, указанная в StubPath, после чего в HKCU создается раздел с тем же GUID и прочими параметрами.
2. Если копия есть, то сравнивается значение параметра Version. Если версия в HKCU младше, чем в HKLM, то задание отрабатывает повторно, после чего номер версии в HKCU обновляется.
3. Если же раздел с одинаковым GUID есть и в HKLM и в HKCU и номер версии у них совпадает, то значит компонент уже отработал для данного пользователя и запускать его не требуется.
Таким образом мы можем поиграться со значением StubPath и версиями для того, чтобы в итоге выполнить то, что нам нужно. По сути, здесь тоже можно реализовать автозагрузку.
Переселяем папки
Также с помощью реестра можно “перепрятать” разделы из меню Пуск. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Размещаются пути к различным компонентам, включая меню Автозагрузка. Соответственно, здесь мы тоже можем поменять значения параметров для того, чтобы запускать файлы из другого каталога.
Планировщик задач
Помимо реестра мы можем попробовать прописать свое приложение в XML файлы с описанием задач. В каталоге %WINDIR%\System32\Tasks находятся XML файлы в которых прописано выполнение тех или иных действий и расписание, по которому эти действия выполняются.
Помимо прочего, в них можно найти и те команды, которые должны выполняться в рамках этой задачи.
Таким образом мы получаем еще один вектор для закрепления в системе.
Заключение
В этой статье мы рассмотрели основные методы размещения выполнимых файлов в системе для автозагрузки. Знание этих методов может помочь в выявлении подозрительных активностей злоумышленников в системе.
О других инструментах для обеспечения безопасности можно узнать у экспертов в области ИБ, например на онлайн-курсах. Перед стартом обучения проходят открытые уроки от преподавателей курсов, на которых можно узнать об актуальных технологиях и задать интересующие вопросы экспертам.
Ever wondered what makes some applications start automatically when you turn on your computer? One of the key players in this process is the HKCU Software Microsoft Windows CurrentVersion Run registry key.
HKCU Software Microsoft Windows is a part of the Windows registry. It stores user-specific settings for Microsoft Windows software, such as preferences and configurations for programs and system features.
In this article, we will discuss “HKCU Software Microsoft Windows Currentversion Run”.
Table of Contents
What is HKCU?
HKCU stands for HKEY_CURRENT_USER, a section of the Windows Registry that contains configuration settings for the user currently logged into the system. This part of the registry holds user-specific information and settings, making it crucial for personalizing the Windows experience.
The Run key located at HKCU Software Microsoft Windows CurrentVersion is a special registry key that allows applications to start automatically when the user logs into Windows. This can include essential programs, utilities, or even unwanted software.
Breaking Down the Components:
1. HKCU (HKEY_CURRENT_USER):
This hive in the registry stores settings specific to the current user. It includes configurations for software, desktop, and network settings.
2. Software:
This subkey contains software-related settings for the current user, including preferences and configurations for installed applications.
3. Microsoft:
Under this subkey, you find settings related to Microsoft applications and components.
4. Windows:
This section holds settings specific to the Windows operating system.
6. CurrentVersion:
Here, you will find settings relevant to the current version of Windows being used.
7. Run:
The Run subkey is where entries for programs that should start automatically are stored.
How Does It Work?
1. The Role of the Run Key:
When Windows starts, it checks the “Run” key for any entries. Each entry here is a command that Windows executes, launching the specified applications automatically.
2. How do Applications Use the Run Key?
Applications often add themselves to the “Run” key to ensure they start with Windows. This can be useful for essential services but can also be exploited by malware.
Read More: Software RAID 10 Windows – Comprehensive Guide -2024!
Editing the Run Key:
1. Tools Needed:
- Windows Registry Editor
- Administrator privileges
2. Precautions Before Editing:
- Back up the registry
- Understand what each entry does
- Avoid deleting essential entries
Step-by-Step Guide to Edit the Run Key:
1. Accessing the Windows Registry Editor:
- Press Win + R, type regedit, and press Enter.
- Confirm any prompts to open the Registry Editor.
2. Navigating to the Run Key:
- In the Registry Editor, navigate to HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
3. Adding a New Entry:
- Right-click on the right pane and select New -> String Value.
- Name the new string and double-click it to set its value to the path of the executable you want to run.
4. Deleting an Existing Entry:
- Right-click on the entry you want to delete.
- Select Delete and confirm.
5. Modifying an Entry:
- Double-click the entry you want to modify.
- Change the path or command as needed and click OK.
Read More: Powershell Check If Software Is Installed – Comprehensive Guide – 2024!
1. Recommended Tools for Managing Startup Programs:
- CCleaner
- Autoruns by Sysinternals
2. Pros and Cons of Using Third-Party Tools:
Pros:
- Simplified management
- Advanced features
Cons:
- Potential for unwanted bundled software
- Over-reliance on external tools
Automating Startup Program Management
1. Scripts and Batch Files:
Use scripts to add or remove entries automatically.
2. Using Task Scheduler:
Schedule tasks to run programs at startup without modifying the registry directly.
What Is HKCU In Windows?
HKCU (HKEY_CURRENT_USER) in Windows is a part of the registry that stores settings and preferences for the currently logged-in user. It contains information about software configurations, desktop settings, and more.
HKCU Software Microsoft Windows Currentversion Run Windows 7:
In Windows 7, HKCU\Software\Microsoft\Windows\CurrentVersion\Run is a registry path where programs are listed to start automatically when the user logs in. It helps manage which applications run on startup.
HKCU Software Microsoft Windows Currentversion Run Windows 10:
In Windows 10, HKCU\Software\Microsoft\Windows\CurrentVersion\Run is a registry path where programs are set to start automatically when the user logs in. It allows users to control which applications run at startup.
HKCU Software Microsoft Windows Currentversion Run Not Working:
If HKCU Software Microsoft Windows Currentversion Run is not working, it might be due to incorrect entries or missing permissions. Check if the path and values are correct, and ensure you have the right permissions to make changes.
What Is The Difference Between Run And Run Once In The Registry?
In the Windows Registry, Run starts programs every time the computer starts, while RunOnce starts a program only once the next time the computer starts. After running, RunOnce removes the program from its list.
HKLM Run Key Doesn’t Seem To Be Triggering On W10 But Works On W7:
If the HKLM Run key isn’t working on Windows 10 but works on Windows 7, it could be due to changes in how Windows 10 handles startup programs. Check for new permissions or group policies affecting startup items.
What Is A Common Reason To Edit This Registry Key Hklm Software Microsoft Windows Currentversion Run?
A common reason to edit the “HKLM Software Microsoft Windows Currentversion Run” key is to manage which programs start automatically when Windows boots. This can help improve startup speed or ensure important programs launch every time.
How Entries At Run Registry Are Overridden By Windows Settings?
Windows settings can override entries in the Run registry by using Group Policy or user preferences. These settings take priority, so even if the Run registry has commands, Windows settings can stop them from running automatically.
Read More: How To Update Physx System Software? – Comprehensive Guide – 2024!
FAQs:
1. What happens if I delete the Run key?
Deleting the Run key will prevent all programs listed in it from starting automatically. It’s generally better to delete individual entries rather than the entire key.
2. Can I disable all startup programs at once?
You can disable startup programs using the Task Manager under the Startup tab or using third-party tools.
3. How do I identify unnecessary startup programs?
Look for programs that you do not need immediately after startup or those that you can start manually when needed.
4. What is the difference between HKCU and HKLM Run keys?
HKCU affects only the current user, while HKLM (HKEY_LOCAL_MACHINE) affects all users on the computer.
5. How do I recover a deleted Run key?
If you have backed up the registry, you can restore the deleted key. Otherwise, you may need to recreate the entries manually.
Conclusion:
In conclusion, the HKCU Software Microsoft Windows CurrentVersion Run registry key is crucial for managing which programs start automatically when you log in to Windows. By understanding and managing this key, you can control startup applications, improve boot times, and prevent unwanted software from running automatically.
- To configure the “RunOnce” key, open the “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce” Registry path and create a String Value with the command to run.
- To configure the “Run” key, open the “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” Registry path and create a String Value with the command to run.
- You can use “!” for the name of the key to ignore deletion or “*” to run the key in Safe Mode.
On Windows 11 (and 10), you can use the “Run” and “RunOnce” Registry keys to run apps and scripts during startup as the user logs in to the account. Of course, you can always use run programs at logon with the “Startup” folder, but the Registry is another approach you have at your disposal.
The “Run” key allows you to execute a program whenever the user logs in to their Windows account. On the other hand, the “RunOnce” key runs a program only once, and then the system removes the key.
Although you can use the “Run” key every time the user logs in, the “RunOnce” key should only be used for those “one-time” cases, such as to complete app setup, map a networked drive once, or change a setting, and you shouldn’t use it continuously.
You can use these Registry keys on a per-user or per-device basis and configure multiple entries inside these keys. The only caveat is that the command cannot have more than 260 characters.
In this guide, I will outline what you need to know to leverage the Registry to run programs at logon on Windows 11 (or even on Windows 10).
- Configure RunOnce key on Windows
- Configure Run key on Windows
Warning: It’s crucial to note that modifying the Registry can cause serious problems if not used properly. It’s assumed you know what you’re doing and created a full backup of your system before proceeding.
Configure RunOnce key on Windows
To set up the RunOnce key through the Registry, use these steps:
-
Open Start on Windows 11.
-
Search for regedit and click the top result to open the Registry.
-
Open the following path to configure the “RunOnce” key for the current user:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
-
Open the following path to configure the “RunOnce” key for the machine:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
-
Right-click the Run key, choose New, and select the String Value option.
-
Confirm a name that describes the command and press Enter.
Quick tip: By default, the system will delete the keys before they even run, but you can append a “!” (exclamation mark), such as “!MyRunKey,” to delete the string after the command runs successfully. You can also append the “*” (asterisk), such as “*MyRunKey,” to run the command in Safe Mode. Otherwise, the keys will be ignored.
-
Right-click the newly created string and choose the Modify option.
-
Confirm the command to the script or program to run.
Quick tip: You can also specify additional options as necessary to run the command.
-
Click the OK button.
After you complete the steps, the system will run the command in the string one time, but only for users who are part of the “Administrators” group, meaning that this won’t work for standard users.
Configure Run key on Windows
To configure the “Run” key on Windows 11 (or 10), use these steps:
-
Open Start.
-
Search for regedit and click the top result to open the Registry.
-
Open the following path to configure the “Run” key for the current user:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-
Open the following path to configure the “Run” key for the machine:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
Right-click the Run key, choose New, and select the String Value option.
-
Confirm a name that describes the command and press Enter.
-
Right-click the newly created string and choose the Modify option.
-
Confirm the command to the script or program to run.
Quick tip: You can also specify additional options as necessary to run the command.
-
Click the OK button.
Once you complete the steps, the system will run the commands in the Registry string every time the user logs in to the account.
Why You Can Trust Pureinfotech
The author combines expert insights with user-centric guidance, rigorously researching and testing to ensure you receive trustworthy, easy-to-follow tech guides. Review the publishing process.
Windows 10, поставляется с опциями для автозапуска пользовательских файлов или программ при старте операционной системы.
Это хорошо с одной стороны, так как это позволяет пользователям выбрать программы, которые будут загружаться после старта Windows. Автозагрузка, например, просто необходима таким программам как Антивирус, для обеспечения безопасности, сразу после загрузки Системы.
Но с другой стороны, не все так радужно так как программы могут сами добавляться в Автозагрузку во время установки.
По причине того — что часто не должным образом сведения доведены до пользователя, иногда программы которые используются крайне редко выполняются все время, вызывая задержки запуска вашей операционной системы.
Где хранятся записи Автозагрузки в Windows 10.
Если вы впервые озадачились автозагрузкой Windows 10, вы будете удивлены количеством мест для автозагрузки — как в виде папок на диске, в реестре, планировщик задач и с помощью групповой политики Windows.
В пользу того что организация Автозагрузки является довольно сложной говорит тот факт, что Windows поддерживает записи автозагрузки как для отдельных пользователей, так и для всех пользователей системы, а если установлена 64-разрядная версия Windows10, то используется, еще одна эксклюзивная запись для 64-битных версий.
Места хранения записей для Автозагрузки можно разделить на три группы
Папка Автозагрузка
Реестр
Планировщик заданий
Вы можете также использовать групповую политику для добавления программ в автозапуск (только если они есть в реестре Windows).
Папка Автозагрузка в Windows 10.
Папка Автозагрузка идеально подходит, когда речь идет о добавлении пользовательских программ в автозагрузку. Кроме того, очень легко добавить или удалить ярлык программы из автозагрузки.
Чтобы доступ к папке проще, Microsoft добавила ключевые слова, которые помогут вам открыть их быстро. Просто скопируйте в Адресную строку Проводника, один из представленных ниже вариантов.
.jpg)
Открыть папку Автозапуск для текущего пользователя
shell:startup
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Открыть папку Автозапуск для всех пользователей
shell:common startup
%programdata%\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Места для хранения записей Автозагрузки: Реестр
Большая часть записей автозагрузки находятся в реестре Windows.
Нажмите Win + R и введите команду Regedit в диалоговом окне Выполнить
, нажмите Enter, чтобы открыть Реестр.
Ключи Автозагрузки (индивидуальные пользовательские)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (only on 64-bit systems)
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce (runs the program/command only once, clears it as soon as it is run)
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx (runs the program/command only once, clears it as soon as execution completes)
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Ключи Автозагрузки (все пользователи)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (only on 64-bit systems)
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce (runs the program/command only once, clears it as soon as it is run)
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx (runs the program/command only once, clears it as soon as execution completes)
HKLM\System\CurrentControlSet\Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Другие ключи автозагрузки.
Active Setup — для выполнения команды один раз для каждого пользователя при входе в систему.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
Незадокументированно.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Shell записи, связанные с автозагрузкой, например, элементы отображаемые при нажатии правой кнопкой мыши на файлы или папки.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Drive\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\Drive\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\PropertySheetHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\PropertySheetHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\Directory\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Wow6432Node\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\DragDropHandlers
HKLM\Software\Wow6432Node\Classes\Folder\ShellEx\DragDropHandlers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
Следующие ключи указывают на драйверы, которые загружаются при запуске.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32
Автозагрузка Разное.
HKLM\Software\Classes\Filter
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\Instance
KLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64
Места хранения записей для Автозагрузки в Windows 10: Редактор групповой политики
Редактор групповой политики доступен только в профессиональных версиях Windows, в то время как ключи реестра, связанные с политикой доступны во всех версиях.
Нажмите Win + R и введите команду gpedit.msc в диалоговом окне Выполнить, нажмите Enter, чтобы открыть Редактор групповой политики.
Перейдите к следующим ключам, используя структуру дерева слева, чтобы проверить, изменять, добавлять или удалять записи с помощью политик.
Конфигурация компьютера → Административные шаблоны → Система → Вход в систему → Выполнить эти программы при входе в систему
Конфигурация пользователя → Административные шаблоны → Система → Вход в систему → Выполнить эти программы при входе в систему
Соответствующие ключи реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Места хранения записей для Автозагрузки в Windows 10: Планировщик Задач
Вы можете открыть планировщик задач Windows для управления задачами на операционной системе Windows, выполните следующие
Нажмите Win + R и введите команду Taskschd.msc в диалоговом окне Выполнить, нажмите Enter, чтобы открыть Планировщик задач.
Вы также можете проверить задачи с помощью Проводника Windows / File Explorer.
C:\Windows\Задачи
C:\Windows\System32\Задачи
Файлы
Следующие файлы могут быть использованы для автозагрузки программ на старте Windows.
C:\autoexec.bat
C:\config.sys
C:\Windows\Winstart.bat
C:\Windows\Wininit.ini
C:\Windows\Dosstart.bat
C:\Windows\system.ini
C:\Windows\win.ini
C:\Windows\System\autoexec.nt
C:\Windows\System\config.nt
Надеюсь информация представленная в статье будет полезной!
Вредоносные программы, как и любые программы, для работы нуждаются в запуске. Поэтом они часто используют реестр, в частности, его разделы, отвечающие за автоматический запуск программ при загрузке операционной системы.
- Откройте Редактор реестра.
- В ветви HKEY_LOCAL_MACHINE выберите Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon.
- В правой половине окна появится список ключей для данной ветви. Найдите ключ Userinit и проверьте его содержимое.
Рис.
23.3.
Нормальным значением данного ключа является запись C:\WINDOWS\system32\userinit.exe . Наличие в ключе других записей может свидетельствовать о наличии на компьютере вредоносных программ. Для удаления из ключа подозрительной записи щелкните на нем два раза левой кнопкой мыши. После редактирования нажмите ОК.
Рис.
23.4.
Далее перейдите в папку, где находится подозрительный файл и удалите его вручную. После этого перезагрузите систему. Если после перезагрузки в ключе удаленное значение не появилось снова – система вылечена.
Как уже говорилось выше, любимым местом вредоносных программ являются разделы реестра, отвечающие за автозапуск.
В реестре автозагрузка представлена в нескольких местах:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx — программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — программы, которые запускаются при входе текущего пользователя в систему
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices — программы, которые загружаются при старте системы до входа пользователя в Windows.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce — программы отсюда загружаются только один раз, когда загружается система.
- Откройте Редактор реестра
- Откройте следующий раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- В правой части окна вызовите правой кнопкой мыши контекстное меню и выберите Создать->Строковый параметр
Рис.
23.5.
- Задайте имя для создаваемого параметра.
Рис.
23.6.
- Откройте вновь созданный параметр и задайте ему значение в виде пути к исполняемому файлу Paint — C:\WINDOWS\\System32\mspaint.exe
Рис.
23.7.
- Нажмите ОК и перезагрузите компьютер. Paint загрузится автоматически после загрузки операционной системы.
