воскресенье, 20 мая 2012 г.

Где в реестре чаще всего пишутся вирусы

  В каких местах реестра чаще всего записываются вирусы?
  Решил составить список таких мест. Обычно это те ветки реестра, из которых осуществляется автозагрузка программ при старте. Но не обязательно. Очень хорошую информацию дает утилита autorun из набора Sysinternals Марка Руссиновича.
  Некоторые из тех мест, которые ниже приведены я не видел ни в каких инструкциях и книгах. Просто когда-либо видел заразу которая оттуда стартовала.
  1. Папка "Автозагрузка" пользователя
  2. Папка "Автозагрузка" всех пользователей
  3. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit Должен содержать c:\windows\system32\userinit.exe и ничего более
  4. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell Должен содержать explorer.exe и ничего более
  5. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  6. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman На здоровой Windows я этого параметра ни разу не видел. На зараженных он присутствовал и сылылся на какую-нибудь левую программу из нестандартной папки типа %appdata%. Я так понимаю, что тут записывается альтернативный диспетчер задач (Task Manager). Это место не видел в книгах. Но иногда встречаю заразу именно здесь.
  7. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs На лицензионной Windows обычно этот параметр пустой. Если нет, приглядеться к тому, что оттуда запускается. На ворованных сборках Windows там может изначально что-нибудь находится
  8. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  9. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  10. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run На большинстве машин этот параметр отсутствует.
  11. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load.
  12. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run ??? Название этого ключа я мог перепутать за давностью. Это место и предыдущее не видел ни в каких книгах. Просто были вирусы, которые я находил именно тут.
  13. HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  14. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  15. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  16. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Здесь под-ветки с названиями программ. В каждой такой ветке может быть ключ «Debugger»=программа. В этот ключ может записываться зараза. В первую очередь смотри ветку explorer.exe
  17. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Здесь перечислен список сервисов, которые запускаются из svchost.exe. Ключ ImagePath содержит полное имя запускаемой программы. Здесь ключей очень много 
  18. HKLM\System\CurrentControlSet\Control\SafeBoot Список запускаемых в безопасном режиме программ

  Со временем надеюсь пополнять этот список