quote:

Сейчас я расскажу несколько методов автозагрузки прог. Эти знания возможно пригодяться новичкам при написании вредоносного ПО или же для защиты собстевнного ПК. Если вы все эти методы знаете то можете дальше не читать. А если знаете еще какие-нибудь, которые я сдесь не описал, то дополните мою статью.

Реестр
Именно, реестр-это первое что приходит в голову.. Внимательно просматриваем ключи, если в этих разделах появилось что-то очень непонятное-разберитесь…
Большинство троянов прописываются именно в этом месте…
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices]

Здесь можно присваивать различные значения …Пример,если выбрать любой bat файл-ткнуть на него правой кнопкой и выбрать "Изменить" что запустится?Правильно- notepad.exe,однако по этим ключам можно заметить что здесь присваиваются значения при команде "Открыть", то есть запуская любой бат файл,фактически запускается троян. Строка вида C:\WINDOWS\troyan.exe %1 будет запускать troyan.exe ВСЕГДА если открывается bat файл, то же самое касается exe,com,hta,pif
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command] @="\"%1\" %*"


Немного об ICQ… ( этот способ я не проверял, его мне друг рассказал)

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"

В этом месте указываются ВСЕ приложения которые запускаются когда ICQ чувствует соединение с Интернетом…
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\

Как пример скрытия настоящего расширения файла:
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap]
@="Scrap object" "NeverShowExt"=""
В win 98 есть такая опция "Не показывать расширение для зарегистрированных типов файлов",как показывает опыт, эта опция достаточно опасна,поэтому рекомендую отключить ее… Хорошо,теперь мы видим все настоящие расширения,txt это txt,exe это exe etc… -следующий шаг,создаем файл new.txt.shs,хм… файл почему то имеет расширение txt,хотя мы явно указали shs..
Вот за скрытие shs-расширения и отвечает этот ключик…Более того, если просмотреть свойства этого файла, то он все равно будет называтся new.txt,впечатление конечно портит иконка,но я думаю что это не очень большая проблема…



autorun.inf Теперь вспомним о старой, но до сих пор непофиксенной баге- а именно autorun.inf. Хехе, действительно очень старая дырка. Напомню ее суть, кто забыл (или не знал Большинство встречалось с тем что если засунуть сидюк, то он сам запускается и так далее.. Ответственнен за это небольшой файл autorun.inf содержащий следующее:
[autorun]
OPEN=AUTORUN.EXE
Запускается файлик находящийся на CD,то есть autirun.exe… Понятно что переправить строку с autorun.exe на troyan.exe не составит труда.. Предположим что хакер имеет доступ к какому либо диску или флэхе(не флопповод), он просто закидывает туда авторан,троянчика и ждет, пока кто-нибудь (желательно админ),не зайдет на этот диск….

Autoexec.bat
no comments

Win.ini
[windows]
&nbspload=troyan.exe
&nbsprun=troyan.exe

System.ini
Shell=Explorer.exe file.exe

c:\windows\winstart.bat
Обычный бат-файл…зато всегда запускается

c:\windows\wininit.ini
Да,запускается АБСОЛЮТНО не видимо для пользователя,запускаятся ОДИН раз и стирается..Используется этот файл для установки различными setup'ами
: (content of wininit.ini)
[Rename]
NUL=c:\windows\picture.exe
Nul -равносильно стиранию файла…Еще раз говорю,для пользователя запуск приложения АБСОЛЮТНО незаметен…


Ну вот пожалуй и все, что я хотел сегодня рассказать.