Грузимся модно
В связи очердной активостью шифровальщиков, бекдоров и хакеров, решил опубликовтаь методы автозагрузки в Windows. Эти методы используют злоумышленники, а это значит, что и те, кто занимается защитой информации может искать там средства, которые угрожают безопасности компьютера… При написании троянов и прочих полезных утилит часто возникает потребность в автозагрузке. Так уж повелось так что все используют для этих целей раздел RUN в реестре Windows… А зря, ведь есть еще много эффективных способов автозагрузки. Мне кажется или все разленились? Уже никто не хочет думать! Некоторые задачи стали настолько тривиальны, что никто даже не думает над их решением. Я это к тому, что большая часть людей считает, что в Windows’е можно сделать автозагрузку через VxD или RUN в реестре… хммм… давайте копнем поглубже и увидим неограниченые возможности скрытые в Windows. Магические директории Люди особо “творческого” ума могут сообщить нам, что загрузится можно скопировав себя куда-то в “C:\WINDOWS\Главное меню\Программы\Автозагрузка”(В Windows XP это будет выглядеть где-то так: “C:\Documents and Settings\User\Программы\Автозагрузка”). Не спорю, такой вариант сработает, но давайте сделаем немного иначе. Местоположение этой папки система узнает с реестра. Упоминания о ней можно найти в таких разделах: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\User Shell Folders Значение там хранится в переменных “Startup” и “Common Startup”. Все дело в том, что в переменную “Common Startup” можно написать все, что угодно. То есть записав туда “c:\windows\system\my_secret_program” мы запустим все программы находящиеся в каталоге “my_secret_program”. Привет Билли Волшебные INI Ну… Тут есть два варианта, использовать WIN.INI или SYSTEM.INI. В WIN.INI ключ “windows” содержит две переменные […]
Read more