В каких местах реестра чаще всего записываются вирусы?
Решил составить список таких мест. Обычно это те ветки реестра, из которых осуществляется автозагрузка программ при старте. Но не обязательно. Очень хорошую информацию дает утилита autorun из набора Sysinternals Марка Руссиновича.
Некоторые из тех мест, которые ниже приведены я не видел ни в каких инструкциях и книгах. Просто когда-либо видел заразу которая оттуда стартовала.
- Папка "Автозагрузка" пользователя
- Папка "Автозагрузка" всех пользователей
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit Должен содержать c:\windows\system32\userinit.exe и ничего более
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell Должен содержать explorer.exe и ничего более
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
- HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman На здоровой Windows я этого параметра ни разу не видел. На зараженных он присутствовал и сылылся на какую-нибудь левую программу из нестандартной папки типа %appdata%. Я так понимаю, что тут записывается альтернативный диспетчер задач (Task Manager). Это место не видел в книгах. Но иногда встречаю заразу именно здесь.
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs На лицензионной Windows обычно этот параметр пустой. Если нет, приглядеться к тому, что оттуда запускается. На ворованных сборках Windows там может изначально что-нибудь находится
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run На большинстве машин этот параметр отсутствует.
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load.
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run ??? Название этого ключа я мог перепутать за давностью. Это место и предыдущее не видел ни в каких книгах. Просто были вирусы, которые я находил именно тут.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Здесь под-ветки с названиями программ. В каждой такой ветке может быть ключ «Debugger»=программа. В этот ключ может записываться зараза. В первую очередь смотри ветку explorer.exe
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Здесь перечислен список сервисов, которые запускаются из svchost.exe. Ключ ImagePath содержит полное имя запускаемой программы. Здесь ключей очень много
- HKLM\System\CurrentControlSet\Control\SafeBoot Список запускаемых в безопасном режиме программ
Со временем надеюсь пополнять этот список
Комментариев нет:
Отправить комментарий