Программы в операционных системах могут автоматически запускаться множеством способов, что активно используется вирусами.
1. Папка Автозагрузка (%USERPROFILE% \ Start Menu \ Programs \ Startup \, %ALLUSERSPROFILE% \ Start Menu \ Programs \ Startup\). Частенько использовалась вирусами. Кроме проводника, можно просмотреть и отредактировать программой msconfig.exe.
2. Ветка реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Тоже частенько используется вирусами. Кроме regedit, можно просмотреть и отредактировать программой msconfig.exe. Ещё могут быть записи в ..\RunOnce и ..\RunOnceEx.
3. Ветка реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ State \ Machine \ Scripts \ Startup \. Записи там появляются при изменении политики локального компьютера (mmc.exe \ Добавить или удалить оснастку \ Редактор объектов групповой политики \ объект “Локальный компьютер”). Если, например, добавить программу %SystemRoot%\system32\calc.exe (Политика “Локальный компьютер” \ Конфигурация компьютера \ Конфигурация Windows \ Сценарии (запуск/завершение) \ Автозагрузка, путь к скрипту или программе надо обязательно указывать полностью, даже если она лежит в %SystemRoot%\system32), то она запускается и висит до приглашения о логоне - это приглашение появится только после того, как calc.exe завершить. Эта автозагрузка срабатывает при инициализации Windows (после включения питания или полной перезагрузки). Можно, кстати, настроить автозапуск и на момент завершения работы Windows (тем же редактором объектов групповой политики).
4. Ветки HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts, HKEY_USERS \ S-1-5-21-1864085942-2410699049-2459454283-1003 \ Software \ Policies \ Microsoft \ Windows \ System \ Scripts, где безумное число S-1-5-21-1864085942-2410699049-2459454283-1003 представляет из себя идентификатор пользователя. Эти записи тоже появляются с помощью редактора объектов групповой политики, но не в “Конфигурации компьютера”, а в “Конфигурации пользователя”. Внесенные изменения вступают в силу немедленно (перезагрузка не требуется). Эта автозагрузка срабатывает сразу после успешного логона пользователя. Можно, кстати, настроить автозапуск и на время завершения сеанса (тем же редактором объектов групповой политики).
5. Планировщиками - либо консольной командой AT, либо через Панель управления \ Назначенные задания.
6. Автоза пуск в W2003 Server (и в W2k?) кроме всех стандартных известных способов, может происходить ещё из ветки реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache При этом Name устанавливается в путь до автозапускаемой программы (вместе с параметрами), Type устанавливается в REG_SZ, а в Data пишется комментарий (описание программы). Таким образом у меня запускалась каждый раз при перезагрузке и логине программа установки CakeWalk Pro Audio 9.
7. С помощью Browser Helper Objects (BHO) - позволяет запускать программы при старте Internet Explorer и событий, происходящих в нем. Частенько используется вирусами и spyware.
8. Для систем NT/XP ключ реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Shell указывает на запускаемую оболочку (по умолчанию там прописано Explorer.exe). Для Windows 9x используется в раздел [boot] файла system.ini, строка shell=explorer.exe.
9. При запу ске интерпретатора cmd.exe могут запускаться приложения, настроенные на ветки реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun и HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun См. подсказку к cmd.exe (выдается при запуске с опцией /?). |