1. Run ветка реестра.
Уже по названию большинство из вас знает про что идет речь, но всеже "докучи" упомянем и его.
Для автозапуска произвольного приложения при загрузке Windows необходимо прописать в ветку реестра
HKLM или HKCU \Software\Microsoft\Windows\CurrentVersion\Run свой ключ, в котором будет указан
путь к приложению. В случае HKLM приложение будет запущено для всех пользователей зашедших в
систему. В случае же HKCU - только текущего пользователя.
2. RunOnce\RunOnceEx ветки реестра
Также всеми известные ветки реестра. Отличие от предыдущего пункта в том что приложение будет
запущено только один раз. Необходимо дописывать ключ после каждый перезагрузки. Находится все там
же:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once(Ex).
3. Папка "Автозагрузка"
Очень популярная папочка, первые трояны любили там селится. К тому же это просто папка, а
нужное приложение это фаил. Из этого следует, что можно сделать фаил скрытым и системным путем
установки аттрибутов и он не будет виден в сей папочке на первый взгляд. В современном мире люди
подзабыли этот способ и больше боятся всяких там Run веток.
4. Установка сервиса
Благодаря тому, что такой важный системный компонент как сервисы, доступен любому программисту
через WinAPI то это порождает еще один способ автозапуска. Для этого через SCManager создается
новый сервис функцией CreateService. Почитав описания флагов и установив тип запуска в
автоматический, добиваемся автозапуска вместе с Windows. Помимо флагов автозапуска можно
проставить такой интересный флажок как SERVICE_WIN32_OWN_PROCESS, что означает то что
сие приложение оказывается на самом деле частью ОС.
Использовать же SCManager скорее всего и не обязательно. Вся информация о сервисах хранится в
HKLM\SYSTEM\CurrentControlSet\Services\. И я не сомневаюсь что если вручную добавить туда пару
ключиков то все успешно запустится.
К тому же, никто не запрещает не добавлять новый сервис, можно ведь отредактировать старый,
поменяв в нем путь к приложению. Ну а чтобы никто не хватился пропажи, нужно запустить в нашем
приложении то что мы заменили, т.е. старый сервис.
5. Winlogon\Userinit
Дальнейшие изыскания в реестре приводят к ветке, которая принадлежит виндозовскому Winlogon.
Отвечает сия махина за вход пользователей в систему, и именно она рисует всякие там "Приветствия"
и прочую ерунду. Так как в Windows все разделено, т.е. логон процесс отдельно, десктоп отдельно и
т.д., то следует логический домысл, что логон процесс запускает десктоп и прочие фичи. И это
разумеется именно так и есть. Но создатели виндовса решили сделать её настолько пластилиновой, что
путь до десктопа и т.п. указывается в реестре. Именно это нам и нужно было. Процесс захода в систему
таков, winlogon проверяет пользователя, затем запускает userinit.exe. Он ответственный за запуск
оболочки десктопа и приложений, записанных в автозапуск. Путь до userinit.exe указан в реесте по
адресу: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit. Подменив
путь указанный в этом ключе на свой собственный мы запустим нужное приложение. Разумеется
наше приложение должно потом запустить userinit.exe. Но постойте, winlogon сделали настолько
пластилиновым, что он может запустить несколько userinit процессов сразу. Для этого нужно
просто через запятую перечислить в вышеуказанном ключе пути до userinit и нашего приложения.
5.2. Winlogon\Shell
Помимо userinit в той же ветке есть параметр Shell, он ответственный за оболочку системы. По
умолчанию там стоит explorer.exe. Но если заменить его на нужное нам приложение оно запустится
вместо него. В этом случае о запуске оболочки придется позаботится самим.
5.3. Winlogon\Notify
Какой же всетаки замечательный процесс этот winlogon. По идее он предоставляет возможность при
запуске\остановке системы выполнять различные полезные действия, но наши действия не слишком
уж и полезны. В данном случае нам нужно оформить наше приложение как dll. Потом в ветку
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ добавить новый раздел, а в нем
ключи: Dllname - путь до нужной дллки, Startup - имя функции экспортируемой длл для запуска.
Помимо эвента Startup есть еще много разных эвентов: Shutdown, StartScreenSaver, StartShell,
StopScreenSaver, Unlock и другие. Наличие StartScreenSaver особенно радует, ибо если скринсейвер
включен, то юзера скорее всего за компьютером нет, и он не видит всяких там стрелочек на иконке
фаерволла
Сей способ использовался в крупных ботнетах для автозапуска.
6. ShellServiceDelayLoad
Помимо винлогона можно использовать еще одно место в реесте. Это ветка HKLM\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad . Там, как и в Run нужно разместить ключ до
нужной нам длл для запуска. В одном из троянов это было использовано, и весьма неплохо как можно
заметить.
7. Shell Extentions
Для возможности изменять всё и вся микрософт создала расширения оболочки. Например расширения
для контекстного меню файлов. Создав подобное расширение, можно не только добавить пару полезных
пунктов в меню файла, но и запустить на выполнение произвольную длл. За подробоностями устройства
расширений обращаемся в мсдн, а для регистрации обращаемся в HKLM\Software\Microsoft\Windows\
CurrentVersion\Shell Extensions\. Помимо эой ветви существуют еще и другие, вот они:
HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
и т.п.
8. Browser Helper Objects
Особо облюбленное хакерами расширение, ибо загружается оно прямо в тело Internet Explorer'a.
И отсюда со всеми вытекающими - безпрепятственный доступ в интернет. Прописываются они сюда:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
За подробностями устройства - в мсдн.
9. AppInit_DLLs
Прям среди бела дня... Вобщем HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows ключ
AppInit_DLLs. Пишем туда имя длл и... она теперь мапится на все без исключения запускаемые
процессы, будь то браузер или асику. Итого два в одном - инжект в процесс и автозапуск.
Интересно, за пособничество вирусописателям микрософт оштрафуют? %)
10. Protocol handlers
Неопробованный, но вполне заслуживающий упоминания способ. Для обработки различных протоколов
в микрософте придумали обработчики. И доступны они тут: HKLM\Software\Classes\PROTOCOLS\Handler\
Целые кучи возможности автозапуска. Начиная от подмены уже существующего, заканчивая созданием
своего собственного и установкой в какое либо место.
Уже по названию большинство из вас знает про что идет речь, но всеже "докучи" упомянем и его.
Для автозапуска произвольного приложения при загрузке Windows необходимо прописать в ветку реестра
HKLM или HKCU \Software\Microsoft\Windows\CurrentVersion\Run свой ключ, в котором будет указан
путь к приложению. В случае HKLM приложение будет запущено для всех пользователей зашедших в
систему. В случае же HKCU - только текущего пользователя.
2. RunOnce\RunOnceEx ветки реестра
Также всеми известные ветки реестра. Отличие от предыдущего пункта в том что приложение будет
запущено только один раз. Необходимо дописывать ключ после каждый перезагрузки. Находится все там
же:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once(Ex).
3. Папка "Автозагрузка"
Очень популярная папочка, первые трояны любили там селится. К тому же это просто папка, а
нужное приложение это фаил. Из этого следует, что можно сделать фаил скрытым и системным путем
установки аттрибутов и он не будет виден в сей папочке на первый взгляд. В современном мире люди
подзабыли этот способ и больше боятся всяких там Run веток.
4. Установка сервиса
Благодаря тому, что такой важный системный компонент как сервисы, доступен любому программисту
через WinAPI то это порождает еще один способ автозапуска. Для этого через SCManager создается
новый сервис функцией CreateService. Почитав описания флагов и установив тип запуска в
автоматический, добиваемся автозапуска вместе с Windows. Помимо флагов автозапуска можно
проставить такой интересный флажок как SERVICE_WIN32_OWN_PROCESS, что означает то что
сие приложение оказывается на самом деле частью ОС.
Использовать же SCManager скорее всего и не обязательно. Вся информация о сервисах хранится в
HKLM\SYSTEM\CurrentControlSet\Services\. И я не сомневаюсь что если вручную добавить туда пару
ключиков то все успешно запустится.
К тому же, никто не запрещает не добавлять новый сервис, можно ведь отредактировать старый,
поменяв в нем путь к приложению. Ну а чтобы никто не хватился пропажи, нужно запустить в нашем
приложении то что мы заменили, т.е. старый сервис.
5. Winlogon\Userinit
Дальнейшие изыскания в реестре приводят к ветке, которая принадлежит виндозовскому Winlogon.
Отвечает сия махина за вход пользователей в систему, и именно она рисует всякие там "Приветствия"
и прочую ерунду. Так как в Windows все разделено, т.е. логон процесс отдельно, десктоп отдельно и
т.д., то следует логический домысл, что логон процесс запускает десктоп и прочие фичи. И это
разумеется именно так и есть. Но создатели виндовса решили сделать её настолько пластилиновой, что
путь до десктопа и т.п. указывается в реестре. Именно это нам и нужно было. Процесс захода в систему
таков, winlogon проверяет пользователя, затем запускает userinit.exe. Он ответственный за запуск
оболочки десктопа и приложений, записанных в автозапуск. Путь до userinit.exe указан в реесте по
адресу: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit. Подменив
путь указанный в этом ключе на свой собственный мы запустим нужное приложение. Разумеется
наше приложение должно потом запустить userinit.exe. Но постойте, winlogon сделали настолько
пластилиновым, что он может запустить несколько userinit процессов сразу. Для этого нужно
просто через запятую перечислить в вышеуказанном ключе пути до userinit и нашего приложения.
5.2. Winlogon\Shell
Помимо userinit в той же ветке есть параметр Shell, он ответственный за оболочку системы. По
умолчанию там стоит explorer.exe. Но если заменить его на нужное нам приложение оно запустится
вместо него. В этом случае о запуске оболочки придется позаботится самим.
5.3. Winlogon\Notify
Какой же всетаки замечательный процесс этот winlogon. По идее он предоставляет возможность при
запуске\остановке системы выполнять различные полезные действия, но наши действия не слишком
уж и полезны. В данном случае нам нужно оформить наше приложение как dll. Потом в ветку
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ добавить новый раздел, а в нем
ключи: Dllname - путь до нужной дллки, Startup - имя функции экспортируемой длл для запуска.
Помимо эвента Startup есть еще много разных эвентов: Shutdown, StartScreenSaver, StartShell,
StopScreenSaver, Unlock и другие. Наличие StartScreenSaver особенно радует, ибо если скринсейвер
включен, то юзера скорее всего за компьютером нет, и он не видит всяких там стрелочек на иконке
фаерволла
Сей способ использовался в крупных ботнетах для автозапуска.
6. ShellServiceDelayLoad
Помимо винлогона можно использовать еще одно место в реесте. Это ветка HKLM\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad . Там, как и в Run нужно разместить ключ до
нужной нам длл для запуска. В одном из троянов это было использовано, и весьма неплохо как можно
заметить.
7. Shell Extentions
Для возможности изменять всё и вся микрософт создала расширения оболочки. Например расширения
для контекстного меню файлов. Создав подобное расширение, можно не только добавить пару полезных
пунктов в меню файла, но и запустить на выполнение произвольную длл. За подробоностями устройства
расширений обращаемся в мсдн, а для регистрации обращаемся в HKLM\Software\Microsoft\Windows\
CurrentVersion\Shell Extensions\. Помимо эой ветви существуют еще и другие, вот они:
HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
и т.п.
8. Browser Helper Objects
Особо облюбленное хакерами расширение, ибо загружается оно прямо в тело Internet Explorer'a.
И отсюда со всеми вытекающими - безпрепятственный доступ в интернет. Прописываются они сюда:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
За подробностями устройства - в мсдн.
9. AppInit_DLLs
Прям среди бела дня... Вобщем HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows ключ
AppInit_DLLs. Пишем туда имя длл и... она теперь мапится на все без исключения запускаемые
процессы, будь то браузер или асику. Итого два в одном - инжект в процесс и автозапуск.
Интересно, за пособничество вирусописателям микрософт оштрафуют? %)
10. Protocol handlers
Неопробованный, но вполне заслуживающий упоминания способ. Для обработки различных протоколов
в микрософте придумали обработчики. И доступны они тут: HKLM\Software\Classes\PROTOCOLS\Handler\
Целые кучи возможности автозапуска. Начиная от подмены уже существующего, заканчивая созданием
своего собственного и установкой в какое либо место.