Секретні прийоми автозавантаження в Windows

Секретні прийоми автозавантаження в Windows
В операційних системах серії Windows NT способи запуску програм в
загалом майже ідентичні систем Windows 9x, однак є ряд розділів
у реєстрі, специфічних тільки для Windows NT.
Крім того, в цих
ОС відсутня можливість запуску програм за допомогою файлів
autoexec.bat (при запуску DOS-додатки, правда, відбувається
автоматична обробка файла %SystemRoot%SYSTEM32AUTOEXEC.NT, якщо
у налаштуваннях властивостей цієї DOS-програми не зазначений інший файл),
winstart.bat, dosstart.bat.
Отже, в Windows NT можуть мати місце додаткові параметри автозапуску в розділах реєстру:
HKEY_CURRENT_USER SoftwareMicrosoftWindows NTCurrentVersionWindowsRun і
HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionWindowsRun.
В розділі HKEY_CURRENT_USER SoftwareMicrosoftWindows NT CurrentVersionWindows або в
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWindows можуть бути присутніми рядкові параметри Load
(програми, запуск яких у ньому прописаний, завантажуються
мінімізованими) і Run, в які при установці Windows NT поверх
Windows 9x переноситься відповідний список програм автозавантаження з
аналогічних параметрів файлу win.ini.
До цих параметрів реєстру
застосовуються ті ж правила написання, що і до відповідним параметрам
win.ini. Якщо ж успадкування цього списку з попередньої ОС не
відбувається, то за замовчуванням значенням цих параметрів є пробіл.
В
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows
NTCurrentVersionWinlogon також міститься ряд строкових параметрів,
відповідають за автозапуск програм при вході користувача в
систему:
Userinit – визначає список програм, що запускаються
процесом WinLogon в контексті користувача при його реєстрації в
системі. За замовчуванням це userinit.exe, nddeagnt.exe для Windows NT
userinit.exe для Windows 2000 / XP.
Shell – задає оболонку (вірніше, список програм, що формують інтерфейс)
Windows (за замовчуванням taskman, progman, wowexec для Windows NT explorer.exe для Windows 2000 / XP).
System
– визначає список програм, що запускаються процесом WinLogon в
контексті системи під час її ініціалізації. За замовчуванням – lsass.exe,
spoolss.exe для Windows NT lsass.exe для Windows 2000 / XP.
VmApplet
– визначає список програм або програму, що запускається процесом
WinLogon для оперативної налаштування параметрів віртуальної пам’яті -за
замовчуванням його значення rundll32 shell32, Control_ RunDLL “sysdm.cpl”.
Неявні способи автозавантаження
До
жаль, операційні системи сімейства Windows і їх внутрішнє
пристрій досить складні для рядового користувача – до копання в
реєстрі розташований далеко не кожен. Тим більше, що крім
вищеперелічених способів автозапуску програм на старті системи
існує ще й такий варіант, як запуск виконуваної модуля однієї
програми при завантаженні іншого, цілком легітимного програми.
Подібний
симбіоз (або, скоріше, щось типу паразитування) можна спостерігати при
використання утиліт класу ad-ware, тобто таких програм, в яких
ви розраховуєтесь з їх авторами не живими грошима, а своїми нервовими
клітинами, попорченными з-за перегляду рекламних банерів всередині
інтерфейсу самої програми.
Подібних модулів-баннерососов
створено вже досить багато, і відловити їх вручну дуже складно навіть
для досвідченого користувача, а тому завжди корисно періодично
сканувати систему не тільки антивірусним сканером, але програмами
типу Ad-Aware www.lavasoft.de/free.html, або Opt Out
grc.com/optout.htm, або SpyBot – Search & Destroy
(security.kolla.de), покликаними знаходити і видаляти з системи ці
модулі.
Такі програми зазвичай абсолютно безкоштовні і мають у своїх
постійно оновлюваних базах даних інформацію про десятки відомих
шпигунсько-рекламних модулях і навіть троянські віруси. Врахуйте тільки, що
деякі програми не працюють без таких “павуків” (той же ReGet) – в
цьому випадку можна або заблокувати банери персональним файрволом,
наприклад, AtGuard або Norton Internet Security, або знайти
альтернативну програму аналогічного призначення, але вже без
мерзопакостной навантаження.
Всіма улюблений браузер від
повсюдно улюбленої корпорації Microsoft також має мало відому, але
досить підступну можливість разом зі своїм запуском завантажувати
сторонні модулі, так звані Browser Helper Objects (BHO) –
невеликі програми, що не мають інтерфейсу і
автоматично запускаються разом з Internet Explorer.
Ці самі
BHO можуть бути як справді цінними доповненнями (наприклад,
модуль, який прописує в систему програма FlashGet), так і
шкідливими троянськими вірусами або шпигунськими модулями, а тому при
перевірці автозавантаження незайвим буде проконтролювати і список
встановлених в системі BHO. Список цей можна побачити в розділі
реєстру HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper
Objects.
Підозрілі або явно злочинні Browser Helper Objects
можна видалити з цього списку (ледачим користувачам бажано
попередньо зробити резервну копію реєстру, а сумлінним –
обов’язково) – це їх повністю дезактивує.
Наприклад, якщо у цьому розділі ви виявите підрозділ
HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersion ExplorerBrowser Helper
Objects{A5366673-E8CA-11D3 – 9CD9-0090271D075B}
то зробіть пошук
у всьому реєстрі знайденого ідентифікатора Browser Helper Objects –
{A5366673-E8CA-11D3-9CD9-0090271D075B} – його згадка виявите
також у розділі HKEY_CLASSES_ROOTCLSID
{A5366673-E8CA-11D3-9CD9-0090271D075B}.
Перегляньте всі вміст
знайденого розділу, щоб визначити, до якої програмі відноситься цей
Browser Helper Objects. В даному випадку ви знайдете таку запис:
HKEY_CLASSES_ROOTCLSID {A5366673-E8CA-11D3-9CD9-0090271D075B}
InprocServer32@= “C:PROGRAM FILESFLASHGET JCCATCH.DLL”, – з якої
можна зробити висновок, що виявлений Browser Helper Objects створений
програмою FlashGet (менеджер закачувань) і ніякої загрози зовсім не
представляє.
Якщо ж виявиться згадка бібліотеки
незрозумілого походження (наприклад, у властивостях файлу немає
ніяких даних про його розробнику), то спробуйте видалити всі реєстрі
згадки даного Browser Helper Objects – швидше за все, саме він і
є причиною неприємностей.
Зручніше всього для пошуку і
ідентифікації встановлених Browser Helper Objects використовувати
спеціально для цього призначені програми, такі як BHODemon
) або BHOCaptor
), які видадуть всю інформацію про
встановлені модулі Browser Helper Objects і допоможуть деактивувати
підозрілі модулі.
Звичайно, існують і інші доступні
способи завантажити програмний код без відома користувача, наприклад, з
за допомогою плагіна якої-небудь програми, хоча б того ж всіма улюбленого
Internet Explorer. Файли модулів-плагінів
Internet Explorer знаходяться в папці Program FilesInternet
ExplorerPlugins, за властивостями кожного файлу можна з’ясувати його
призначення.
Не виключено також, що шкідливій програмі
вдасться прописати себе в системі як системний драйвер або сервіс,
одним словом, боротьба з вірусами або іншими, запускающимися без відома
користувача програмами, вельми і вельми непроста.
З
деякою натяжкою, правда, до автозапуску можна віднести ще й
можливість використання файлу autorun.inf в кореневій директорії
жорсткого диска
В особливо важких випадках раджу спробувати
визначити ім’я здійснимих файл незрозуміло яким чином запущеного
процесу з допомогою програми типу TaskInfo
(www.iarsn.com/download.html), а потім провести ретельний пошук
цього файлу на диску і його згадок в системному реєстрі. Ця утиліта
взагалі дуже примітна.
Вона в реальному часі показує
інформацію про всі запущені процеси (використання пам’яті і CPU,
відкриті файли, використовувані бібліотеки та інше).
Іконка
програми поміщається в системний трей і показує завантаження процесора.
З її допомогою також можна встановлювати рівень пріоритету для
запущених додатків.
Ця програма дозволяє не тільки переглянути
майже всі способи автозавантаження, але володіє ще цілим рядом корисних
функцій. Наприклад, з допомогою утиліти Starter ви легко відредагуєте
будь-який запис в реєстрі, що відноситься до завантажуються автоматично
програмами, видаліть, тимчасово вимкніть або додасте в автозавантаження
будь-який новий додаток або документ.
Також ця програма дозволяє
робити резервну копію автозавантажуваних розділів реєстру у вигляді
текстового файлу, документа HTML або стандартного reg-файлу і,
природно, відновлювати їх з неї. Будь помічену в автозавантаженні
програму можна запустити безпосередньо з інтерфейсу Starter,
переглянути властивості здійснимих файл цієї програми і відкрити її
папку на диску.
Крім того, за допомогою Starter можна переглянути і
список запущених процесів, задати кожному з них потрібний пріоритет або
примусово вивантажити її з пам’яті. Словом, можливостей навіть у
далеко не ідеального, на мій погляд, Starter набагато більше, ніж у
msconfig (втім, msconfig – більш універсальна програма, покликана
вирішувати й інші завдання налаштування системи), а користуватися їй помітно
зручніше, що, звичайно, не виключає наявності і більш просунутих утиліт
моніторингу автозавантаження.
Джерело статті