Администрирование Windows Методы автозапуска программ Tue, November 05 2024  

Поделиться

Нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Методы автозапуска программ Печать
Добавил(а) microsin   

Программы в операционных системах могут автоматически запускаться множеством способов, что активно используется вирусами.

1. Папка Автозагрузка (%USERPROFILE% \ Start Menu \ Programs \ Startup \, %ALLUSERSPROFILE% \ Start Menu \ Programs \ Startup\). Частенько использовалась вирусами. Кроме проводника, можно просмотреть и отредактировать программой msconfig.exe.

2. Ветка реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Тоже частенько используется вирусами. Кроме regedit, можно просмотреть и отредактировать программой msconfig.exe. Ещё могут быть записи в ..\RunOnce и ..\RunOnceEx.

3. Ветка реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ State \ Machine \ Scripts \ Startup \. Записи там появляются при изменении политики локального компьютера (mmc.exe \ Добавить или удалить оснастку \ Редактор объектов групповой политики \ объект “Локальный компьютер”). Если, например, добавить программу %SystemRoot%\system32\calc.exe (Политика “Локальный компьютер” \ Конфигурация компьютера \ Конфигурация Windows \ Сценарии (запуск/завершение) \ Автозагрузка, путь к скрипту или программе надо обязательно указывать полностью, даже если она лежит в %SystemRoot%\system32), то она запускается и висит до приглашения о логоне - это приглашение появится только после того, как calc.exe завершить. Эта автозагрузка срабатывает при инициализации Windows (после включения питания или полной перезагрузки). Можно, кстати, настроить автозапуск и на момент завершения работы Windows (тем же редактором объектов групповой политики).

4. Ветки HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts, HKEY_USERS \ S-1-5-21-1864085942-2410699049-2459454283-1003 \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts, где безумное число S-1-5-21-1864085942-2410699049-2459454283-1003 представляет из себя идентификатор пользователя. Эти записи тоже появляются с помощью редактора объектов групповой политики, но не в “Конфигурации компьютера”, а в “Конфигурации пользователя”. Внесенные изменения вступают в силу немедленно (перезагрузка не требуется). Эта автозагрузка срабатывает сразу после успешного логона пользователя. Можно, кстати, настроить автозапуск и на время завершения сеанса (тем же редактором объектов групповой политики).

5. Планировщиками - либо консольной командой AT, либо через Панель управления \ Назначенные задания.

6. Автоза пуск в W2003 Server (и в W2k?) кроме всех стандартных известных способов, может происходить ещё из ветки реестра
   HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
При этом Name устанавливается в путь до автозапускаемой программы (вместе с параметрами), Type устанавливается в REG_SZ, а в Data пишется комментарий (описание программы). Таким образом у меня запускалась каждый раз при перезагрузке и логине программа установки CakeWalk Pro Audio 9.

7. С помощью Browser Helper Objects (BHO) - позволяет запускать программы при старте Internet Explorer и событий, происходящих в нем. Частенько используется вирусами и spyware.

8. Для систем NT/XP ключ реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Shell указывает на запускаемую оболочку (по умолчанию там прописано Explorer.exe). Для Windows 9x используется в раздел [boot] файла system.ini, строка shell=explorer.exe.

9. При запу ске интерпретатора cmd.exe могут запускаться приложения, настроенные на ветки реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
и
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
См. подсказку к cmd.exe (выдается при запуске с опцией /?).

 

Добавить комментарий


Защитный код
Обновить

Top of Page