Секретні прийоми автозавантаження

зміст

Специфіка Windows NT / 2000 / XP
Неявні способи автозавантаження
утиліта TaskInfo

Специфіка Windows NT / 2000 / XP

В операційних системах серії Windows NT способи автозапуску програм в цілому майже ідентичні системам Windows 9x, однак є ряд розділів в реєстрі, специфічних тільки для Windows NT.

Крім того, в цих ОС відсутня можливість запуску програм за допомогою файлів autoexec.bat (при запуску DOS-додатки, правда, відбувається автоматична обробка файлу% SystemRoot% SYSTEM32 AUTOEXEC.NT, якщо в настройках властивостей цієї DOS-програми не вказано інший файл), winstart.bat, dosstart.bat.

Отже, в Windows NT можуть мати місце додаткові параметри автозапуску в розділах реєстру:

Відео: 5 СЕКРЕТНИХ ПРИЙОМІВ НИНДЗЯ

HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows Run

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows Run

Відео: 5 СЕКРЕТНИХ ПРИЙОМІВ КУНГ-ФУ

В розділі

HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Windows

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows

можуть бути присутніми строкові параметри Load (Програми, запуск яких в ньому прописаний, завантажуються мінімізованими) і Run, в які при установці Windows NT поверх Windows 9x переноситься відповідний список програм автозапуску з аналогічних параметрів файлу win.ini.

До цих параметрів реєстру застосовні ті ж правила написання, що і до відповідних параметрів win.ini. Якщо ж спадкування цього списку з попередньої ОС не відбувається, то за замовчуванням значенням цих параметрів є пробіл.

В розділі

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon

також міститься ряд строкових параметрів, що відповідають за автозапуск різних додатків при вході користувача в систему:

Userinit - визначає список програм, що запускаються процесом WinLogon в контексті користувача при його реєстрації в системі. За замовчуванням це userinit.exe, nddeagnt.exe для Windows NT і userinit.exe для Windows 2000 / XP.
Shell - задає оболонку (вірніше, список програм, які формують користувальницький інтерфейс)
Windows (За замовчуванням taskman, progman, wowexec для Windows NT і explorer.exe для Windows 2000 / XP).
System - визначає список програм, що запускаються процесом WinLogon в контексті системи під час її ініціалізації. За замовчуванням - lsass.exe, spoolss.exe для Windows NT і lsass.exe для Windows 2000 / XP.
VmApplet - визначає список програм або програму, що запускається процесом WinLogon для оперативної настройки параметрів віртуальної пам`яті -по замовчуванням його значення rundll32 shell32, Control_ RunDLL "sysdm.cpl".

Неявні способи автозавантаження

На жаль, операційні системи сімейства Windows і їх внутрішній устрій досить складні для пересічного користувача - до копання в реєстрі розташований далеко не кожен. Тим більше, що крім перерахованих вище способів автозапуску програм на старті системи існує ще й такий варіант, як запуск виконуваного модуля однієї програми при завантаженні іншого, цілком легітимного додатки. Подібний симбіоз (або, скоріше, щось типу паразитування) можна спостерігати при використанні утиліт класу ad-ware, тобто таких програм, в яких ви розраховуєтесь з їх авторами не живими грошима, а своїми нервовими клітинами, попсовані через перегляд рекламних банерів всередині інтерфейсу самої програми.

Подібних модулів-баннерососов створено вже досить багато, і відловити їх вручну занадто складно навіть для досвідченого користувача, а тому завжди корисно періодично сканувати систему не тільки антивірусним сканером, але програмами типу Ad-Aware, або Opt Out grc.com/optout.htm, або SpyBot - Search Destroy (security.kolla.de), Покликаними знаходити і видаляти з системи ці модулі.

Такі програми зазвичай абсолютно безкоштовні і мають в своїх постійно оновлюваних базах даних інформацію про десятки відомих шпигунсько-рекламних модулях і навіть троянських віруси. Врахуйте тільки, що деякі програми не працюють без таких "павуків" (той же ReGet) - в цьому випадку можна або заблокувати банери персональним файрволлом, наприклад, AtGuard або Norton Internet Security, або знайти альтернативну програму аналогічного призначення, але вже без мерзосвітна навантаження. Всіма улюблений браузер від повсюдно улюбленої корпорації Microsoft також має мало відому, але досить підступну можливість разом зі своїм запуском завантажувати сторонні модулі, так звані Browser Helper Objects (BHO) - невеликі програми, які не мають призначеного для користувача інтерфейсу і автоматично запускаються разом з Internet Explorer.

Відео: Заборонені прийоми Кіокушинкай карате

Ці самі BHO можуть бути як справді цінними доповненнями (наприклад, модуль, який прописує в систему програма FlashGet), так і шкідливими троянськими вірусами або шпигунськими модулями, а тому при перевірці автозавантаження незайвим буде проконтролювати і список встановлених в системі BHO. Список цей можна побачити в розділі реєстру

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Browser Helper Objects

Підозрілі або явно шкідливі Browser Helper Objects можна видалити з цього списку (ледачим користувачам бажано попередньо зробити резервну копію реєстру, а сумлінним - обов`язково) - це їх повністю дезактивує.

Наприклад, якщо в цьому розділі ви виявите підрозділ

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Browser Helper Objects {A5366673-E8CA-11D3- 9CD9-0090271D075B}

то зробіть пошук в усьому реєстрі знайденого ідентифікатора Browser Helper Objects - {A5366673-E8CA-11D3-9CD9-0090271D075B} - виявите його згадка також і в розділі

HKEY_CLASSES_ROOT CLSID {A5366673-E8CA-11D3-9CD9-0090271D075B}.

Перегляньте весь вміст знайденого розділу, щоб визначити, до якої програмі відноситься цей Browser Helper Objects. В даному випадку ви знайдете такий запис:

HKEY_CLASSES_ROOT CLSID {A5366673-E8CA-11D3-9CD9-0090271D075B} InprocServer32 @ = "C: PROGRAM FILES FLASHGET JCCATCH.DLL"

- з якої можна зробити висновок, що виявлений Browser Helper Objects створений програмою FlashGet (менеджер закачувань) і ніякої загрози й гадки не має.

Якщо ж виявиться згадка бібліотеки незрозумілого походження (наприклад, у властивостях цього файлу немає ніяких даних про його розробника), то спробуйте видалити в реєстрі всі згадки даного Browser Helper Objects - швидше за все, саме він і є причиною неприємностей.

Зручніше ж всього для пошуку та ідентифікації встановлених Browser Helper Objects використовувати спеціально для цього призначені програми, такі як BHODemon (definitivesolutions.com) Або BHOCaptor, які видадуть всю інформацію про встановлені модулях Browser Helper Objects і допоможуть деактивувати підозрілі модулі.

Звичайно, існують і інші доступні способи завантажити програмний код без відома користувача, наприклад, за допомогою плагіна будь-якої програми, хоча б того ж всіма улюбленого браузера Internet Explorer. Файли модулів-плагінів Internet Explorer знаходяться в папці Program Files Internet Explorer Plugins, за властивостями кожного файлу можна з`ясувати його призначення.

Не виключено також, що шкідливої програми вдасться прописати себе в системі як системний драйвер або сервіс, одним словом, боротьба з вірусами або іншими, запускати без відома користувача програмами, вельми і вельми непроста.

З деякою натяжкою, правда, до автозапуску можна віднести ще й можливість використання файлу autorun.inf в кореневій директорії жорсткого диска.

утиліта TaskInfo

В особливо ж важких випадках раджу спробувати визначити ім`я виконуваного файлу незрозуміло яким чином запущеного процесу за допомогою програми типу TaskInfo (iarsn.com/download.html), А потім провести ретельний пошук цього файлу на диску і його згадок в системному реєстрі. Утиліта ця взагалі дуже примітна.

Вона в реальному часі показує інформацію про всі запущені процеси (використання пам`яті і CPU, відкриті файли, використовувані бібліотеки та інше).
Іконка програми поміщається в системний трей і показує завантаження процесора. З її допомогою також можна встановлювати рівень пріоритету для запущених додатків.

Ця програма дозволяє не тільки переглянути майже всі способи автозавантаження, але володіє ще цілим рядом корисних функцій. Наприклад, за допомогою утиліти Starter ви легко відредагуєте будь-який запис в реєстрі, що відноситься до автоматично завантажуваних програм, видаліть, тимчасово вимкніть або додасте в автозавантаження будь-яке нове додаток або документ.

Також ця програма дозволяє робити резервну копію автозагрузочних розділів реєстру у вигляді текстового файлу, документа HTML або стандартного reg-файлу і, природно, відновлювати їх з неї. Будь-яку помічену в автозавантаженні програму можна запустити безпосередньо з інтерфейсу Starter, переглянути властивості виконуваного файлу цієї програми і відкрити її папку на диску.

Крім того, за допомогою Starter можна переглянути і список запущених процесів, задати будь-якого з них потрібний пріоритет або примусово вивантажити його з пам`яті. Словом, можливостей навіть у далеко не ідеального, на мій погляд, Starter набагато більше, ніж у msconfig (втім, msconfig - більш універсальна програма, покликана вирішувати й інші завдання налаштування системи), а користуватися нею помітно зручніше, що, звичайно, не виключає наявності і більш просунутих утиліт моніторингу автозавантаження.

Тому я раджу при активній роботі з автозавантаженням користуватися саме такими, більш потужними програмами.

Поділися в соціальних мережах:

Схожі