Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров17K
Основной задачей, которую необходимо решить вредоносному файлу сразу после запуска является закрепление в системе, то есть обеспечение возможно постоянной работы данного процесса в системе. То есть, злоумышленнику необходимо, чтобы процесс, с помощью которого он может получить доступ в систему (троян, бэкдор и т. д.) запускался бы автоматически при загрузке системы и работал во время всего сеанса работы системы. Существует несколько методов закрепиться в системе. В этой статье мы рассмотрим наиболее распространенные способы закрепления в ОС Windows, а также посмотрим, как некоторые из этих техник выглядят в отладчике. Будем считать, что для запуска нужного процесса злоумышленнику так или иначе необходимо запустить выполнимый файл.
Ветка Run
Начнем с наиболее известного места, где можно прописать автоматический запуск приложения при старте системы — реестра Windows. И прежде всего приложения, желающие стартовать вместе с ОС прописывают себя в ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Для первого варианта нам необходимы права локального администратора. Для того, чтобы прописать автоматический запуск файла, необходимо добавить новое значение в ветку Run.
Однако, важно понимать, что манипуляции с данными ветками реестра также отслеживают и средства защиты. Так антивирус будет очень внимательно следить за тем, какие приложения собираются прописать свои файлы в эти ветки реестра. И попытка неизвестного ранее приложения прописаться в ветку Run может привести к срабатыванию антивируса.
Также, если вам необходимо один раз выполнить какой-либо файл. Например, вам необходимо прописать в системе сервис, то можно воспользоваться ключом RunOnce.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если мы хотим выполнить файл один раз для конкретного пользователя, то необходимо прописать файл в ветке:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Однако, этими, наиболее известными ветками реестра возможности спрятаться в автозагрузку не ограничиваются. Так, за автозагрузку в профиле текущего пользователя отвечают ветки реестра показанные ниже.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo
Посмотрим, как код, правящий реестр выглядит в отладчике.
Конечно, любой здравомыслящий вредонос постарается максимально скрыть от отладки как разделы памяти в которых указаны ветки реестра и записываемые значения, так и сами вызовы функций для работы с реестром. Но в представленном на скриншоте примере мы видим обращения к реестру: RegOpenKeyEx, RegCreateKey, RegCloseKey. По вызовам этих функций можно понять, что приложение в принципе работает с реестром. В случае, если вносятся правки в представленные выше ветки, то вероятнее всего мы имеем дело с вредоносом.
Сервисы в реестре
Еще одним способом поселиться в автозагрузку является использование системных служб – сервисов. Сервис (служба) – это приложение, автоматически исполняемое системой при запуске операционной системы Windows и выполняющиеся вне зависимости от статуса пользователя.
Существует несколько режимов для служб:
-
запрещён к запуску;
-
ручной запуск (по запросу);
-
автоматический запуск при загрузке компьютера;
-
автоматический (отложенный) запуск;
-
обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).
Соответственно, для того, чтобы осуществить автоматический запуск какого-либо выполнимого файла, нам необходимо прописать его как сервис. И здесь кроются некоторые сложности. Дело в том, что сервис – это, не совсем обычный выполнимый файл. Для его запуска недостаточно просто создать exe файл и запустить его. Вместо этого нам необходимо зарегистрировать сервис в системе и только потом его можно запускать.
На скриншоте ниже представлен фрагмент кода, в котором формируется набор значений в стеке (в том числе имя выполняемого файла и самого сервиса) и затем все это передается функции CreateService для создания сервиса.
После того, как сервис зарегистрирован в системе его можно запустить с помощью вызова функции OpenService.
Помимо использования функций ОС предназначенных непосредственно для работы с сервисами, для регистрации и запуска сервиса можно воспользоваться командой sc. В примере ниже мы создаем процесс, который запускает команду sc start NewServ. CreateProcess не единственная функция для запуска процессов. В одной из предыдущих статей по реверсингу мы использовали функцию WinExec для запуска калькулятора при реализации переполнения буфера.
В общем, не стоит забывать про такой простой способ работы с сервисами, как консольные команды.
И еще с сервисами можно работать через реестр. Для этого предназначена ветка
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
В ней находятся разделы, описывающие работу каждого из сервисов, зарегистрированных в операционной системе.
На скриншоте показаны параметры сервиса DHCP. Как видно, в этой ветке имеются параметры, отвечающие за параметры запуска сервиса, аккаунт, от которого он запускается и собственно сам путь к выполнимому файлу. Таким образом, работу с сервисами можно организовать с помощью манипуляций с реестром.
Скрытый отладчик
Представленные выше способы регистрации в автозагрузке в большей или меньшей степени видны пользователю системы. Так запущенные сервисы можно легко увидеть в соответствующей оснастке, а ветки Run хорошо всем известны, и можно без труда проверить их содержимое.
Однако, в реестре есть менее известные ветки, в которые тоже можно подселить выполнимый файл. В данном случае речь пойдет не совсем об автозагрузке как таковой, но при желании здесь тоже можно организовать автозапуск.
Разработчики из Майкрософт очень любят оставлять себе лазейки в виде недокументированных возможностей. В частности, они предусмотрели функционал по автоматическому запуску отладчика для заданного приложения. Работает это следующим образом: в ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\
Мы создаем раздел с именем запускаемого приложения, а в этом разделе создаем параметр Debug в котором уже указываем выполнимый файл, запускаемый в реальности.
То есть, в примере на скриншоте при попытке запуска калькулятора у нас запустится некий prog.exe. Таким образом можно под видом одного приложения запустить другое. Можно к примеру подменить экранную клавиатуру (osk.exe) на командную строку (cmd.exe). В результате можно будет на заблокированном компьютере вызывать клавиатуру и получать командную строку, причем с правами System!
Небезопасные обновления
Продолжая тему реестра и размещения приложений в нем, мы можем поправить команды, которые выполняются при обновлении тех или иных компонентов. В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
Указаны GUID установленных компонентов и для многих из них можно найти параметры StubPath и Version. Далее процитируем официальную документацию Майкрософт:
При входе пользователя система сравнивает содержимое разделов HKLM\Software\Microsoft\Active Setup\Installed Components и HKCU\Software\Microsoft\Active Setup\Installed Components. Для каждого раздела в HKLM должна быть копия с тем же GUID в HKCU. Дальше есть три варианта развития событий:
1. Если копии нет, то выполняется команда, указанная в StubPath, после чего в HKCU создается раздел с тем же GUID и прочими параметрами.
2. Если копия есть, то сравнивается значение параметра Version. Если версия в HKCU младше, чем в HKLM, то задание отрабатывает повторно, после чего номер версии в HKCU обновляется.
3. Если же раздел с одинаковым GUID есть и в HKLM и в HKCU и номер версии у них совпадает, то значит компонент уже отработал для данного пользователя и запускать его не требуется.
Таким образом мы можем поиграться со значением StubPath и версиями для того, чтобы в итоге выполнить то, что нам нужно. По сути, здесь тоже можно реализовать автозагрузку.
Переселяем папки
Также с помощью реестра можно “перепрятать” разделы из меню Пуск. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Размещаются пути к различным компонентам, включая меню Автозагрузка. Соответственно, здесь мы тоже можем поменять значения параметров для того, чтобы запускать файлы из другого каталога.
Планировщик задач
Помимо реестра мы можем попробовать прописать свое приложение в XML файлы с описанием задач. В каталоге %WINDIR%\System32\Tasks находятся XML файлы в которых прописано выполнение тех или иных действий и расписание, по которому эти действия выполняются.
Помимо прочего, в них можно найти и те команды, которые должны выполняться в рамках этой задачи.
Таким образом мы получаем еще один вектор для закрепления в системе.
Заключение
В этой статье мы рассмотрели основные методы размещения выполнимых файлов в системе для автозагрузки. Знание этих методов может помочь в выявлении подозрительных активностей злоумышленников в системе.
О других инструментах для обеспечения безопасности можно узнать у экспертов в области ИБ, например на онлайн-курсах. Перед стартом обучения проходят открытые уроки от преподавателей курсов, на которых можно узнать об актуальных технологиях и задать интересующие вопросы экспертам.
В прошедшие праздники один из читателей попросил описать, как можно убрать программы из автозагрузки с помощью редактора реестра Windows. Не знаю точно, зачем это потребовалось, ведь есть более удобные способы сделать это, которые я описал здесь, но, надеюсь, инструкция не будет лишней.
Описанный ниже способ будет одинаково работать во всех актуальных версиях операционной системы от Microsoft: Windows 8.1, 8, Windows 7 и XP. При удалении программ из автозагрузки будьте осторожны, в теории можно удалить что-то нужное, так что для начала попробуйте найти в Интернете, для чего служит та или иная программа, если не знаете этого.
Разделы реестра, отвечающие за программы в автозагрузке
Прежде всего, необходимо запустить редактор реестра. Для этого, нажмите на клавиатуре клавиши Windows (та, которая с эмблемой) + R, а в появившемся окне «Выполнить» введите regedit и нажмите Enter или Ok.
Разделы и параметры в реестре Windows
Откроется редактор реестра, который поделен на две части. В левой вы увидите «папки», организованные в древовидную структуру, которые называются разделы реестра. При выборе любого из разделов, в правой части вы увидите параметры реестра, а именно — название параметра, тип значения и само значение. Программы в автозагрузке находятся в двух основных разделах реестра:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Есть и другие разделы, относящиеся к автоматически загружаемым компонентам, но их мы трогать не будем: все программы, которые могут тормозить систему, делать загрузку компьютера слишком долгой и просто ненужные, вы найдете именно в указанных двух разделах.
Имя параметра обычно (но не всегда) соответствует названию автоматически запускаемой программы, а значение — это путь к исполняемому файлу программы. При желании, вы можете добавить собственные программы в автозагрузку или же удалить то, что там не нужно.
Для удаления, кликните правой кнопкой мыши по имени параметра и выберите в появившемся контекстном меню пункт «Удалить». После этого программа не будет запускаться при старте Windows.
Примечание: некоторые программы отслеживают наличие самих себя в автозагрузке и при удалении, снова добавляются туда. В этом случае необходимо воспользоваться настройкой параметров в самой программе, как правило там присутствует пункт «Запускать автоматически с Windows».
Что можно, а что нельзя удалять из автозагрузки Windows?
На самом деле, можно удалить все — ничего страшного не произойдет, но вы можете столкнуться с вещами наподобие:
- Перестали работать функциональные клавиши на ноутбуке;
- Стала быстрее разряжаться батарея;
- Перестали выполняться какие-то автоматические сервисные функции и прочее.
В общем, желательно все-таки знать, что именно удаляется, а если это неизвестно — изучить доступный в сети материал на эту тему. Однако разнообразные назойливые программы, которые «сами установились» после скачивания чего-то из Интернета и все время запускаются, можно смело удалять. Так же, как и уже удаленные программы, записи в реестре о которых почему-то остались в реестре.
Как отключить автозапуск программ
Обновлено:
Опубликовано:
Мы рассмотрим несколько различных способов отключения приложений из автозапуска при старте системы.
Через реестр
Для запуска редактора реестра нажимаем «Пуск» — «Выполнить» (в Windows Vista или Windows 7 нажмите комбинацию клавиш win + R) — вписываем команду «regedit» — нажимаем «OK».
В открывшемся окне находим ключи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — отвечает за автозагрузку программ всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — отвечает за автозагрузку программ текущего пользователя.
Для отключения программы из автозагрузки необходимо просто удалить соответствующий параметр. Например, в данном случае будет отключен автозапуск для программы CCleaner:
В папке «Автозагрузка»
Нажимаем «Пуск» — «Все программы» — «Автозагрузка». Все программы, которые находятся в этой папке будут автоматически запускаться при входе в систему. Удалите программу из этой папки, и автозапуск для нее будет отключен;
Встроенная утилита «msconfig»
Для запуска нажимаем «Пуск» — «Выполнить» — команда «msconfig» — «OK»
В открывшейся программе переходим на вкладку «Автозагрузка»
Чтобы отключить программу из автозагрузки, необходимо снять напротив нее галочку и нажать «OK» — затем перезагрузить компьютер;
Программа Autoruns
В данной статье описаны далеко не все способы автозапуска в Windows. Для получения полного списка компонентов, которые запускаются автоматически можно воспользоваться сторонними программами. На мой взгляд, одна из лучших для этого программа — Autoruns. Она достаточно удобна и интуитивно понятна.
Совет. Из всех перечисленных способов самым безопасным является утилита «msconfig». Внесенные в нее изменения можно вернуть, если обратно поставить галочку напротив выключенного компонента. Самым опасным является реестр. Используйте его только при крайней необходимости.
Была ли полезна вам эта инструкция?
Да Нет
Все способы:
- Редактирование параметров автозагрузки через реестр Windows 10
- Редактирование параметров автозагрузки через Редактор локальной групповой политики
- Вопросы и ответы: 2
Существование автозагрузки в Windows 10 позволяет пользователям не запускать все необходимые программы, которые должны работать фоном, при входе в систему, поскольку это будет происходить автоматически. Однако все эти приложения еще нужно добавить в автозагрузку, чтобы средство знало, какие из них открывать. Сделать это можно разными способами, но некоторых юзеров интересует выполнение поставленной задачи именно через редактор реестра.
Редактирование параметров автозагрузки через реестр Windows 10
В первую очередь предлагаем остановиться на стандартном способе работы с редактором реестра, который подойдет абсолютно всем обладателям операционной системы Виндовс 10 любой сборки. Принцип добавления программ заключается в создании соответствующего параметра и присвоении ему специального значения, но давайте разберем все по порядку, начав с перехода к нужному ключу.
- Запустите утилиту «Выполнить» любым удобным способом. Например, ее можно отыскать через поиск в «Пуске» или достаточно будет просто нажать комбинацию Win + R.
- Затем в появившемся окне введите
regeditи нажмите на Enter. - Перейдите по пути
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, чтобы попасть в общий раздел автозагрузки. Если вас интересует только текущий пользователь, путь обретет видHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - Теперь в корне конечной папки вы видите все строковые параметры со значениями, отвечающими за запуск программ. Обычно название параметра говорит о том, за какую программу он отвечает, а в значении прописывается путь к исполняемому файлу.
- Если вы хотите самостоятельно создать такой параметр, добавив ПО, щелкните ПКМ по пустому месту, в появившемся контекстном меню наведите курсор на «Создать» и выберите «Строковый параметр».
- Задайте ему характерное название, чтобы в будущем не запутаться, а после этого дважды щелкните по строке левой кнопкой мыши для перехода к изменению значения.
- В случае, когда полный путь к исполняемому файлу неизвестен или вы не можете его запомнить, перейдите по пути его расположения самостоятельно, откройте свойства и скопируйте строку «Расположение».
- Вставьте ее в поле «Значение», обязательно дописав в конце формат файла EXE, поскольку это необходимо для корректного запуска.
Все изменения, производимые в редакторе реестра, вступают в силу при следующем запуске сеанса операционной системы, поэтому вам достаточно будет перезагрузить компьютер, чтобы новые программы, добавленные в автозапуск, стартовали вместе с Виндовс.
Редактирование параметров автозагрузки через Редактор локальной групповой политики
Некоторые пользователи знают о существовании отдельной оснастки под названием Редактор локальной групповой политики. В нем реализованы все те же функции, которые можно выполнять через редактор реестра, однако здесь настройки происходят путем взаимодействия с графическим интерфейсом, что значительно упрощает всю процедуру. Однако отметим, что такой компонент присутствует только в Windows 10 Pro и Enterprise, поэтому обладателям других сборок не получится запустить или дополнительно установить этот редактор. При добавлении программ в автозагрузку через упомянутую оснастку создается точно такие же параметры в реестре, о которых мы уже говорили ранее, из-за чего мы предлагаем изучить и данный метод.
- Откройте утилиту Выполнить (Win + R) и напишите в поле
gpedit.msc, после чего нажмите по клавише Enter. - Воспользуйтесь левой панелью, чтобы перейти по пути «Конфигурация компьютера» — «Административные шаблоны» — «Система».
- В корне папки выберите раздел «Вход в систему».
- Среди списка всех доступных параметров отыщите строку «Выполнять эти программы при входе в систему».
- Задайте состояние этого параметра «Включено», отметив галочкой соответствующий пункт, чтобы можно было приступить к его настройке.
- Теперь давайте займемся добавлением программ в автозагрузку. Для этого щелкните по кнопке «Показать».
- В строках «Значение» вы можете указывать полный путь к файлу, чтобы параметр знал, какой исполняемый файл запускать. Доступно создание неограниченного числа таких строк, но учтите, что большое количество приложений автозагрузки значительно влияет на скорость старта операционной системы.
- После внесения всех изменений не забудьте нажать на «Применить», чтобы сохранить их. После этого перезапустите компьютер, чтобы новые программы стартовали автоматически.
Если вас заинтересовала тема автозагрузки в рассмотренной операционной системе, рекомендуем ознакомиться и с другими тематическими материалами на нашем сайте, где вы найдете объяснение многих понятий и детальные инструкции по выполнению различных задач. Начать прочтение можно, кликнув по одной из расположившихся далее ссылок.
Подробнее:
Где находится папка «Автозагрузка» в Windows 10
Убираем торрент-клиент из автозагрузки Windows 10
Добавление приложений в автозагрузку в Windows 10
Отключение автозапуска программ в Windows 10
В рамках сегодняшней статьи вы узнали о расположении раздела автозагрузки программного обеспечения в редакторе реестра и оснастке, которая позволяет управлять локальными групповыми политиками. Теперь остается только реализовать свои цели, используя эти самые меню.
Наша группа в TelegramПолезные советы и помощь
,
In a previous article I showed you how to add any program to Windows 10 startup by placing the program in the Windows Startup folder. In this tutorial I will show you how to run any program when you start Windows using Registry.
Running a program at startup using the Registry is a commonly used method when you want users to be unable to modify their computer settings.
- Related article: How to Add a Program at Windows 10 Startup folder.
How to Add a Startup Program in Registry on Windows 10/8/7 OS.
Step 1. Find and Copy the Path of the Program that you want to run at Startup.
1. Create a shortcut of the program that you want to run at startup on your desktop (if you haven’t done this already).
2. Right-click on the program shortcut and select Properties.
3. Highlight and Copy (CTRL + C) the Target path.
Step 2. Add the Startup Program in Registry. *
* Note: This is the usual method to run any program at Windows startup (by using registry), but applies only to programs that does not need administrative privileges in order to run. If you want to run at startup, a program that needs administrative privileges to run, follow the instructions in this tutorial.
1. Open Registry Editor. To do that:
1. Simultaneously press the Win + R keys to open the run command box.
2. Type regedit and press Enter to open Registry Editor.
2. Now, depending on your wish, go to the corresponding registry location, as listed below:
Case A. If you want to start the program only at the current user, navigate to this registry location:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Case B: If you want to start the program at every user on the PC, navigate to this location:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3. At the right pane, right-click at an empty space and choose New > String Value.
4. Name the new value with the name of the program you want to run. (e.g. If you want to run the Microsoft Word at startup (as in this example), type «Word».)
5. Now double click at the newly created value and at the Value data box, Paste (CRL + V) the copied path from the clipboard. When done, click OK.
6. Close the Registry Editor and restart your PC to apply the change. *
* Note: If after applying the above steps, the desired program not launching at Windows startup, read this tutorial.
That’s it! Let me know if this guide has helped you by leaving your comment about your experience. Please like and share this guide to help others.
If this article was useful for you, please consider supporting us by making a donation. Even $1 can a make a huge difference for us in our effort to continue to help others while keeping this site free:
- Author
- Recent Posts
Konstantinos is the founder and administrator of Wintips.org. Since 1995 he works and provides IT support as a computer and network expert to individuals and large companies. He is specialized in solving problems related to Windows or other Microsoft products (Windows Server, Office, Microsoft 365, etc.).