Как сделать диск с autorun
Как сделать автозапуск диска?
Windows поддерживает такую функцию, как автозапуск диска (им может быть CD, DVD или флешка). Как ее задействовать? Как сделать автозапуск диска, распознаваемый операционной системой?
Есть два основных этапа решения данной задачи:
Рассмотрим их подробнее.
Создание файла autorun.inf для автозапуска
Практически всегда функция автозапуска дисков в Windows реализовывается при задействовании файла autorun.inf, который должен располагаться на соответствующем носителе. Он в определенной степени уникален. В данном файле прописываются команды и алгоритмы, которые может понимать ОС Windows и осуществлять необходимым образом автозапуск диска.
Создать файл autorun.inf самостоятельно очень просто. Следует запустить программу «Блокнот» и разместить в ее текстовом поле нужные алгоритмы. Их может быть достаточно много. В самом простом варианте в текстовом поле файла автозапуска будут присутствовать следующие строки:
Команда [autorun] обозначает, что соответствующий текстовый файл предназначен именно для автозапуска. Вторая строка устанавливает, что ОС Windows должна открыть («open») исполняемый файл abc.exe (вместо «abc» может быть любое его название), соответствующий программе, которая должна запускаться автоматически. Таковой может быть, например, оболочка для загрузки компьютерной игры, поставляемой на диске.
Вписав в текстовое поле «Блокнота» необходимые алгоритмы — например, те самые простые, что мы рассмотрели выше, следует сохранить файл как autorun.inf. Позже нужно будет записать его в корневой каталог CD, DVD или флешки, с которых предполагается осуществлять автозапуск. Когда пользователь вставит носитель в компьютер, то сразу после его распознавания Windows будет в первоочередном порядке считывать команды и алгоритмы из файла autorun.inf и осуществлять загрузку диска в соответствии с ними.
Кроме команды open, с помощью которой отдается распоряжение Windows на запуск той или иной программы, в файле autorun.inf могут также прописываться строки, содержащие команды:
Посредством них либо их сочетания можно выстраивать довольно сложные алгоритмы автозапуска. Так, например, пользователь может настроить открытие не приложения, а документа или картинки.
Файл autorun.inf, как мы отметили выше, должен ссылаться на программу, которую Windows будет запускать автоматически с диска. В общем случае предполагается ее написание на том или ином языке программирования и создание соответствующего исполняемого файла.
Но есть и другое, более простое решение. Существуют специальные виды ПО, которые позволяют создавать приложения для автозапуска даже тем пользователям, которые не знают языков программирования. В числе самых известных программ такого типа — AutoPlay Menu Builder. Изучим то, как сделать автозапуск диска при ее задействовании.
Работа со сторонними приложениями для автозапуска на примере AutoPlay Menu Builder
Выше мы отметили, что функция автоматического открытия приложений с диска в ОС Windows практически всегда реализуется при задействовании уникального файла autorun.inf.
Рассматриваемая программа предполагает создание приложения, на которое будет прописана ссылка в соответствующих алгоритмах autorun.inf. В распоряжении пользователя ПО, о котором идет речь, — простые и удобные элементы интерфейса, что позволяют конструировать самые разнообразные типы приложений, запускаемых Windows автоматически с диска.
Попробуем создать с помощью рассматриваемого решения очень простую программу и настроить ее автоматический запуск при размещении CD, DVD или флешки в считывателе компьютера.
Открываем AutoPlay Menu Builder (скачать ее можно на этом сайте — http://freesoft.ru/autoplay_menu_builder_v40_build_682). Желательно перед этим установить русификатор для данной программы (один из лучших находится здесь — http://softsearch.ru/programs/40-475-autoplay-menu-builder-build-download.shtml, он адаптирован для версии 4.0).
После запуска AutoPlay Menu Builder нужно создать новый файл, выбрав соответствующую опцию в меню программы. Затем следует указать «Пустое меню» и нажать OK. Перед пользователем откроется форма, на которой можно располагать различные элементы. Программируются они автоматически, и в этом главная особенность рассматриваемого ПО.
На соответствующую форму допустимо загрузить картинку, которую пользователи будут видеть в программе, запускаемой с диска автоматически. Это может быть любой графический файл. Для удобства хорошо разместить его на Рабочем столе. В левой части интерфейса AutoPlay Menu Builder располагается инструмент «Изображение». Нужно выделить на форме с его помощью участок произвольной площади, кликнуть на нем мышкой два раза и нажать кнопку «Загрузить». После чего следует выбрать картинку, сохраненную на Рабочем столе, и дождаться ее появления в форме конструирования приложения.
Далее можно добавить в программу для автозапуска текст. В панели инструментов выбираем опцию «Текстовое поле», также выделяем с ее помощью участок с произвольной площадью, нажимаем на нем два раза мышкой и вписываем необходимый текст (либо копируем из какого-либо источника).
После этого надо выбрать пункт меню «Инструменты», затем — «Создатель SFX». Вписываем в открывшемся поле слово autorun, нажимаем «Создать», после чего программа сформирует файл autorun.exe, тот самый, который должен запускаться Windows с диска автоматически. Но для того, чтобы операционная система распознала его, нам также нужно создать «уникальный» файл autorun.inf с необходимыми алгоритмами.
Мы можем сделать это уже знакомым нам способом — через «Блокнот». В данном случае вместо abc.exe будет autorun.exe. Оба файла — autorun.inf и autorun.exe (второй по завершении работы с AutoPlay Menu Builder располагается в папке C:\Program Files\AutoPlay Menu Bulder) — нужно разместить в корневом каталоге CD, DVD или флешки. После этого Windows будет автоматически запускать с соответствующего носителя созданную нами программу с картинкой и текстом.
Отметим, что возможности AutoPlay Menu Builder гораздо шире, чем те, что рассмотрены в нашем примере. Так, пользователи могут размещать с помощью данной программы в приложениях для автозапуска не только тексты и картинки, но и, например, ссылки на сайты в интернете.
Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.
И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.
Обычно файл Autorun.inf содержит в себе следующий код:
Это для примера. Команд для него большое множество, но для общего представления достаточно.
Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для «красоты», можно сделать эти папку и файлы скрытыми.
Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.
Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.
Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
2) Меняем атрибуты файла на нормальные
Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.
Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]
NoDriveTypeAutoRun со значением dword:000000ff
Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:
d0\autorun.inf\vindavoz..\» attrib +s +h %
Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1681
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.
Этот «Фокус» не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.
Для общей информативности, можете почитать статью на Википедии про него.
BootDev
Создание загрузочных дисков и прочие полезные мелочи
Страницы
2016-08-23
Защита флешки от вирусов autorun.inf
Пример содержимого файла autorun.inf
Способ первый.
Используя особенность файловых систем, а именно, невозможность создания одноименных файлов и папок, можно в корне носителя создать папку с именем autorun.inf. Тем самым, зараженный компьютер, при попытке записать вирус на флешку, не сможет записать файл с именем autorun.inf, так как с тем же именем уже существует директория. Вирус может удалить данную директорию и ее содержимое. Но, есть одна хитрость. Можно создать вложенную папку с именем системного устройства, которую невозможно удалить.
Перейдем к действию. Вставляем флешку, открываем ее в проводнике, и на свободном от файлов месте нажимаем правой кнопкой мыши, предварительно зажав на клавиатуре клавиши CTRL+SHIFT. В открывшемся меню выбираем пункт Открыть окно команд.
Вводим следующие команды.
В окне флешки появится папка с именем autorun.inf.
Имя папки LPT3 совпадает с именем системного порта компьютера, создать просто так папку с таким именем невозможно. Система выдаст соответствующее сообщение.
Теперь, попробуем удалить созданную папку autorun.inf. С начала в через контекстное меню.
Папка не удаляется.
Теперь попробуем удалить ее через командную строку. Пишем следующие команды.
Получаем сообщение Не удается найти указанный файл.
Удалить данную папку, можно. Но только в обратном порядке ее создания.
Дополнительно, можно сделать папку autorun.inf скрытой и системной. Для этого вводим команду.
Способ второй.
Файловая система NTFS располагает более обширными возможностями управления правами доступа. Используя эту особенность, можно запретить запись на накопитель вообще, но оставить доступной для записи определенную папку. Которая и будет хранилищем файлов.
Вставляя в зараженный компьютер такую флешку, вирусы не смогут ничего записать в корень диска.
Начнем. Вставляем флешку. Открываем ее. Создаем в ней папку. Данная папка будет служить для хранения папки с нашими файлами. Да-да, мы будем использовать две папки. Необходимо это специально, для того чтобы нашу папку невозможно было удалить с корня флешки. Создаем внутреннюю папку.
В моем случае это будет папка MFLDR с внутренней папкой ALL.
Отключаем наследование прав доступа, для внутренней папки. Нажимаем правой кнопкой мыши по папке, выбираем в меню пункт Свойства.
В открывшемся окне переходим на вкладку Безопасность, и жмем на кнопку Дополнительно.
Откроется окно дополнительных параметров безопасности. В нем жмем на кнопку Отключить наследования и выбираем вариант Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Жмем на кнопку OK в обоих окнах.
Возвращаемся в корень флешки. Теперь нам нужно отобрать права записи на весь носитель целиком. Для этого жмем правой кнопкой мыши на свободном окна флешки и выбираем пункт Свойства.
В окне свойств диска, переходим на вкладку Безопасность и жмем на кнопку Дополнительно.
В дополнительных параметрах безопасности выбираем субъект Все и жмем на кнопку Изменить.
В открывшемся окне выставления прав разрешений, оставляем галочки на пунктах Чтение и выполнение, Список содержимого папки, Чтение. Остальное все отключаем. Жмем OK.
Закрываем предыдущие окна нажатием кнопки OK.
Возможно появится окно с предупреждение, жмем Продолжить во всех случаях.
Теперь у нас на руках флешка защищенная от записи, с возможностью записи файлов только в каталог MFLDR\ALL.
Все выше проделанное но уже на видео.
Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО
Серия уроков по пакету утилит SysInternals
6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО
У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.
Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.
Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.
Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.
Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.
Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.
Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.
Как запустить Autoruns
Если вы скачали полный пакет SysInternals, то для запуска дважды кликните на файл Autoruns64.exe или на Autoruns.exe (это 64-битная и 32-битна версии соответственно).
Работа с интерфейсом Autoruns
Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.
Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.
При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.
Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.
Отключение программ и служб из автозагрузки
Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.
Цвета
Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:
Так же, как и большинство инструментов SysInternals, вы можете щёлкнуть правой кнопкой мыши любую запись и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете выполнить поиск в Интернете по имени процесса или данных в столбце, просмотреть подробные свойства или посмотреть, запущена ли эта запись, выполнив быстрый поиск через Process Explorer, хотя у многих процессов есть загрузчик, который что-то запускает и выходит, поэтому если вы ничего не нашли среди запущенных процессов, это ещё ничего не значит.
Если вы нажали Jump to Entry («Перейти к записи»), вы попадёте прямо в редактор реестра, где сможете увидеть этот конкретный раздел реестра и осмотреться. Если это что-то другое, вы можете перейти к другой утилите, например к Планировщику заданий. Реальность такова, что в большинстве случаев Autoruns прямо в интерфейсе отображает информацию достаточно полно, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.
Меню User («Пользователь») позволяет вам анализировать другую учётную запись пользователя, что может быть действительно полезно, если вы загрузили Autoruns в другую учётную запись на том же компьютере. Стоит отметить, что вам, очевидно, потребуется работать от имени администратора, чтобы видеть другие учётные записи пользователей на ПК.
Проверка подписей кода
Пункт меню Filter Options («Параметры фильтра») переносит вас на панель параметров, где вы можете выбрать один очень полезный параметр: Verify Code Signatures («Проверить подписи кода»). Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы, выделенные розовым цветом на скриншоте ниже, не проверены или информация об издателе не существует.
И для дополнительной уверенности вы можете заметить, что этот снимок экрана ниже почти такой же, как и тот, что находится в начале, за исключением того, что некоторые элементы в списке не отмечены как розовые. Разница в том, что по умолчанию без включённой опции «Проверить подписи кода» Autoruns будет предупреждать вас розовой строкой только в том случае, если информация об издателе не существует.
Анализ выключенного компьютера (использование Autoruns для диска другого компьютера)
Представьте, что компьютер вашего друга полностью неисправен и либо не загружается, либо загружается так медленно, что вы не можете им пользоваться. Вы пробовали безопасный режим и варианты восстановления, такие как Восстановление системы, но это не имеет значения, потому что его нельзя использовать.
Вместо того, чтобы переустанавливать систему, вы можете вынуть жёсткий диск и подключить его к ПК или ноутбуку с помощью SATA-USB переходника. Затем вы просто загружаете Autoruns и идете в File → Analyze Offline System.
Найдите каталог Windows на другом жёстком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать.
Разумеется, вам понадобится доступ для записи на диск, потому что нужно сохранить настройки, чтобы удалить всё ненужное.
Сравнение с другим ПК (или предыдущая чистая установка)
Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.
Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).
Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.
Вкладки Autoruns
Как вы уже видели, Autoruns — очень простая, но мощная утилита, которую, вероятно, может использовать почти любой. Я имею в виду, всё, что вам нужно сделать, это снять флажок, верно? Однако полезно получить дополнительную информацию о том, что означают все эти вкладки, поэтому мы постараемся вас познакомить здесь.
Logon (Вход в систему)
Эта вкладка проверяет все «обычные» места в Windows на предмет автоматической загрузки, включая ключи Run и RunOnce реестра, меню «Пуск»… и многие другие места. Как оказалось, существует 43 различных «обычных» места, куда программное обеспечение может вставлять себя для автоматического запуска при входе в систему или выходе из неё. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным, нежелательным и шпионским ПО!
Наш совет: снимите галочки со всего, что вам не нужно. Вы всегда можете повторно включить это, если хотите.
Explorer (Проводник)
На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в проводник Windows. В основном это будут надстройки контекстного меню и другие подобные вещи.
Если вы испытываете снижение производительности при просмотре файлов, использовании контекстного меню или просто во всех окнах Windows, это, вероятно, является виновником. Вы можете отключить здесь все, что захотите, хотя вы можете потерять некоторые функции для определённых приложений.
Internet Explorer
Эта вкладка потеряла актуальность, поскольку мало кто уже использует Internet Explorer. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы рекомендуем снимать отметку практически со всех элементов, которые вы видите.
Scheduled Tasks (Задачи по расписанию)
Это один из самых сложных способов скрытия вредоносных программ в наши дни. Вместо того, чтобы прятаться в каких-либо местах, которые люди умеют искать, вредоносная программа создаёт запланированную задачу для переустановки себя, показа рекламы или выполнения всевозможных гнусных вещей. Проблема усугубляется тем, что планировщик задач может сбивать с толку, поэтому большинство людей даже не догадаются сюда заглянуть. К счастью, Autoruns упрощает эту задачу.
Мы рекомендуем удалить почти все, что вы не узнаете и определённо не принадлежит Microsoft. Это один из примеров, когда действительно полезно использовать параметр Verify Code Signatures («Проверить подписи кода»).
Services (службы)
Будьте осторожны при отключении чего-либо на этой вкладке, поскольку некоторые вещи могут быть законными и необходимыми. На скриншоте ниже вы увидите несколько подходящих сервисов Google, Microsoft и Mozilla. Если мы отключим их, это не сильно навредит, но все же стоит провести дополнительное исследование, прежде чем отключать какие-либо вещи, если вы ещё не определили их как вредоносное или нежелательное ПО.
Drivers (Драйверы)
Вы не поверите, но некоторые производители вредоносного ПО и вредоносных программ на самом деле создали драйверы устройств, содержащие вредоносные программы или очень соминтельные компоненты, которые шпионят за вами. После того, как наша тестовая машина была заражена кучей вредоносных программ, мы заметили, что одна из них принесла с собой драйвер. Мы все ещё не совсем уверены в том, что он делает, но учитывая, как он туда попал, вряд ли это что-то хорошее.
Вы определенно захотите быть более осторожными на этом экране. Отключение неправильных драйверов может сломать ваш компьютер, поэтому исследуйте, щелкните каждый из них правой кнопкой мыши и выполните поиск в Интернете, и отключайте что-то только в том случае, если оно, скорее всего, связано со шпионским ПО. В приведенном ниже примере мы уже определили папку в пути к изображению для выделенной строки как вредоносную, поэтому было логично отключить ее.
Codecs (Кодеки)
Это библиотеки кода, которые используются для управления воспроизведением мультимедиа для видео или аудио, и, к сожалению, вредоносные программы использовали их как способ автоматического запуска на компьютере. При необходимости вы можете отключить их здесь.
Boot Execute (выполнение при загрузке)
С этим вам, вероятно, не придётся иметь дело, это используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жёсткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.
Image Hijack (перехват образа)
Если вы прочитали наш второй урок о Process Explorer, то вы узнали, что вы можете заменить диспетчер задач на Process Explorer, но вы, вероятно, не знали, как это происходит на самом деле, не говоря уже о том, что вредоносное ПО может и использует тот же метод для захвата приложений.
Вы можете установить ряд настроек в реестре, которые управляют загрузкой вещей, включая захват всех исполняемых файлов и их запуск через другой процесс или даже назначение «отладчика» любому исполняемому файлу, даже если это приложение не является отладчиком.
По сути, вы можете назначать значения в реестре, чтобы при попытке загрузить notepad.exe вместо этого загружался calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которым вредоносное ПО блокирует загрузку антивирусов или других средств защиты от вредоносных программ.
Вы можете убедиться в этом сами — слева находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена на экземпляр Process Explorer, который запущен с моего рабочего стола. Но вы можете изменить это на что угодно и это будет работать. Вероятно, это будет отличная шутка, которую не так просто обнаружить.
Если вы видите что-либо на вкладке Image Hijacks, кроме значений для Process Explorer, вы должны немедленно отключить их.
AppInit
Еще один пример того, почему в Windows так много вредоносного и шпионского ПО, записи AppInit_dlls в реестре удивительны и невероятны. В какой-то момент Microsoft добавила в Windows функцию, которая загружает все файлы DLL, перечисленные в определённом разделе реестра… в каждый запускаемый процесс.
Что ж, технически, всякий раз, когда приложение загружает библиотеку Windows user32.dll, оно проверяет значение ключа реестра, а затем загружает в процесс любые библиотеки DLL, найденные в списке, что позволяет вредоносным программам захватить каждое приложение.
В Windows Vista и более поздних версиях они, наконец, решили немного ограничить это, потребовав, чтобы библиотеки DLL были подписаны цифровой подписью… если ключ RequireSignedAppInit_DLLs не установлен в 0, что заставляет Windows все равно загружать их. Как вы понимаете, вредоносное ПО воспользовалось этим, как вы можете видеть в примере ниже.
Помните, в уроке 3 мы показали вам, как Conduit перехватывает и вставляет свои файлы DLL в процессы вашего браузера? Это делалось именно таким способом. На скриншоте выше вы можете увидеть файл spvc64loader.dll, который затем использовался для загрузки файла SPVC64.dll в браузер.
KnownDLLs
Этот ключ гарантирует, что Windows использует определённую версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносное ПО не испортило этот список — основная цель использования этой вкладки — просто убедиться, что все, что там указано, действительно является проверенным компонентом Windows, что довольно просто.
Winlogon, Winsock Providers, Print Monitors, LSA Providers, Network Providers
Обычно вам не следует беспокоиться об этих вкладках, поскольку они просто содержат надстройки, расширяющие различные аспекты Windows — Winlogon и LSA подключаются к системе входа и аутентификации, Winsock и Network обрабатывают сеть, а мониторы печати — это сторонние приложения, которые работают с вашим принтером.
Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Несомненно, вредоносное ПО может захватить эти вещи.
Гаджеты боковой панели
Если у вас есть какие-либо гаджеты боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить их, если хотите.
Следующий урок
Это все для Autoruns, но следите за обновлениями в следующих частях, когда мы расскажем вам о BGInfo и отображении системной информации на вашем рабочем столе.