Секреты реестра -Твики реестра Windows XP часть 2 – KRASGMU.NET

Hkey_classes_root

HKEY_CLASSES_ROOT, часто сокращённо HKCR, представляет собой куст реестра в реестре Windows и содержит информацию об ассоциации расширения файла, а также данные программного идентификатора (ProgID), идентификатора класса (CLSID) и идентификатора интерфейса (IID). Этот ключ на самом деле просто ссылка на HKLMSoftwareClasses.

Проще говоря, куст реестра HKEY_CLASSES_ROOT содержит необходимую информацию, чтобы Windows знала, что делать, когда вы просите её сделать что-то, например, просмотреть содержимое диска или открыть файл определённого типа и т. д.


Вы также можете использовать этот раздел, если хотите настроить контекстное меню для определённого типа файла.

Подразделы реестра в HKEY_CLASSES_ROOT

Список ключей реестра в кусте HKEY_CLASSES_ROOT очень длинный и столь же запутанный. Мы не можем объяснить каждый из тысяч ключей, которые вы можете увидеть там, но мы можем разбить его на несколько управляемых частей, которые, надеюсь, немного прояснят эту часть реестра.


Вот некоторые из многих ключей ассоциации расширений файлов, которые вы найдёте в кусте HKEY_CLASSES_ROOT, большинство из которых начинаются с точки:

  • HKEY_CLASSES_ROOT.avi
  • HKEY_CLASSES_ROOT.bmp
  • HKEY_CLASSES_ROOT.exe
  • HKEY_CLASSES_ROOT.html
  • HKEY_CLASSES_ROOT.pdf
  • HKEY_CLASSES_ROOTAudioCD
  • HKEY_CLASSES_ROOTdllfile

Каждый из этих разделов реестра хранит информацию о том, что Windows должна делать при двойном щелчке или двойном касании файла с этим расширением. Он может включать в себя список программ, которые можно найти в разделе «Открыть с помощью…» при щелчке/касании файла правой кнопкой мыши, а также путь к каждому из перечисленных приложений.

Например, на вашем компьютере, когда вы открываете файл с именем draft.rtf, этот файл может открываться с помощью программы WordPad. Данные реестра, которые отвечают за это, хранятся в ключе HKEY_CLASSES_ROOT.rtf, который определяет WordPad как программу, которая должна открывать файл RTF.

HKCR и CLSID, ProgID и IID

Остальные ключи в HKEY_CLASSES_ROOT — это ключи ProgID, CLSID и IID. Вот несколько примеров каждого из них:

Ключи ProgID расположены в корне HKEY_CLASSES_ROOT вместе с описанными выше ассоциациями расширений файлов:

  • HKEY_CLASSES_ROOTFaxServer.FaxServer
  • HKEY_CLASSES_ROOTJPEGFilter.CoJPEGFilter
  • HKEY_CLASSES_ROOTWindowsMail.Envelope

Все ключи CLSID находятся в подразделе CLSID:

  • HKEY_CLASSES_ROOTCLSID{00000106-0000-0010-8000-00AA006D2EA4}
  • HKEY_CLASSES_ROOTCLSID{06C792F8-6212-4F39-BF70-E8C0AC965C23}
  • HKEY_CLASSES_ROOTCLSID{FA10746C-9B63-4b6c-BC49-FC300EA5F256}


Все ключи IID расположены в подразделе Интерфейс:

  • HKEY_CLASSES_ROOTInterface{0000000d-0000-0000-C000-000000000046}
  • HKEY_CLASSES_ROOTInterface{00000089-0000-0010-8000-00AA006D2EA4}
  • HKEY_CLASSES_ROOTInterface{00000129-0000-0000-C000-000000000046}

Hkey_current_config

Хранит всю информацию о текущей конфигурации оборудования. Он используется не очень часто, и это просто ссылка на HKLMSYSTEMCurrentControlSetHardware ProfilesCurrent.

HKEY_CURRENT_CONFIG, иногда сокращенно HKCC, представляет собой куст реестра, который является частью реестра Windows. Сам он не хранит никакой информации, а вместо этого действует как указатель или ярлык для раздела реестра, в котором хранится информация об используемом в данный момент профиле оборудования.

HKEY_CURRENT_CONFIG — это ярлык для улья HKEY_LOCAL_MACHINE. В частности, в раздел реестра SYSTEMCurrentControlSetHardware ProfilesCurrent этого куста. Именно там информация действительно хранится — HKEY_CURRENT_CONFIG просто предоставляет быстрый способ добраться туда.

Следовательно, HKEY_CURRENT_CONFIG действительно существует просто для удобства. Легче получить доступ к данным в другом разделе реестра — просмотреть и изменить его, просто перейдя в HKEY_CURRENT_CONFIG. Поскольку они содержат одинаковую информацию и всегда связаны друг с другом, вы можете вносить изменения в любом месте, чтобы получить одинаковые результаты.

Подразделы реестра в HKEY_CURRENT_CONFIG

Два ключа реестра, которые вы найдёте в кусте HKEY_CURRENT_CONFIG:

  • HKEY_CURRENT_CONFIGSoftware
  • HKEY_CURRENT_CONFIGSystem

Подробнее о HKEY_CURRENT_CONFIG

Как мы уже говорили выше, HKEY_CURRENT_CONFIG реплицирует всё, что находится в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrent. Это означает, что если вы измените что-либо в первом разделе реестра, это будет отражено во втором, и наоборот.

Например, если вы добавляете, редактируете, удаляете или переименовываете что-либо в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrentSoftware, а затем выйдите из редактора реестра и повторно откройте его (или обновите его с помощью клавиши F5), вы увидите что изменение произошло немедленно в ключе the HKEY_CURRENT_CONFIGSoftware.

Вы можете заметить, что внутри HKLMSYSTEMCurrentControlSetHardware Profiles есть несколько ключей реестра. Это потому, что этот раздел реестра используется для хранения всех профилей оборудования для всего компьютера. Причина, по которой вы видите только один профиль оборудования в ключе HKEY_CURRENT_CONFIG, заключается в том, что он указывает только на один из этих профилей оборудования, в частности, на тот, который относится к пользователю, который в данный момент вошёл в систему.

В некоторых версиях Windows вы можете создать дополнительные профили оборудования, щёлкнув ссылку «Система» на панели управления. Щёлкните или коснитесь вкладки «Оборудование», а затем «Профили оборудования».

Hkey_local_machine

Здесь хранятся все общесистемные настройки, и обычно он обозначается аббревиатурой HKLM. В основном вы будете использовать ключ HKLMSoftware для проверки общесистемных настроек.

HKEY_LOCAL_MACHINE, часто сокращённо пишется как HKLM, является одним из нескольких кустов реестра, составляющих реестр Windows. Этот конкретный куст содержит большую часть информации о конфигурации установленного вами программного обеспечения, а также самой операционной системы Windows.

Помимо данных о конфигурации программного обеспечения, куст HKEY_LOCAL_MACHINE также содержит много ценной информации об обнаруженном оборудовании и драйверах устройств.

В Windows 10, Windows 8, Windows 7 и Windows Vista информация о конфигурации загрузки вашего компьютера также включена в этот куст.

Подразделы реестра в HKEY_LOCAL_MACHINE

Следующие разделы реестра находятся в кусте HKEY_LOCAL_MACHINE:

  • HKEY_LOCAL_MACHINEBCD00000000
  • HKEY_LOCAL_MACHINECOMPONENTS
  • HKEY_LOCAL_MACHINEDRIVERS
  • HKEY_LOCAL_MACHINEHARDWARE
  • HKEY_LOCAL_MACHINESAM
  • HKEY_LOCAL_MACHINESchema
  • HKEY_LOCAL_MACHINESECURITY
  • HKEY_LOCAL_MACHINESOFTWARE
  • HKEY_LOCAL_MACHINESYSTEM

Ключи, расположенные в разделе HKEY_LOCAL_MACHINE на вашем компьютере, могут несколько отличаться в зависимости от вашей версии Windows и конкретной конфигурации вашего компьютера. Например, более новые версии Windows не включают ключ HKEY_LOCAL_MACHINECOMPONENTS.

Раздел SOFTWARE является наиболее часто используемым из кустов HKLM. Он организован в алфавитном порядке по поставщикам программного обеспечения, и именно здесь каждая программа записывает данные в реестр, чтобы при следующем открытии приложения его конкретные настройки можно было применить автоматически, чтобы вам не приходилось перенастраивать программу каждый раз, когда она используется. Это также полезно при поиске SID пользователя.


Подраздел SOFTWARE также содержит подраздел Windows, который описывает различные детали пользовательского интерфейса операционной системы, подраздел Classes, детализирующий, какие программы связаны с какими расширениями файлов, и другие.

HKLMSOFTWAREWow6432Node встречается в 64-битных версиях Windows, но используется 32-битными приложениями. Это эквивалент HKLMSOFTWARE, но не совсем то же самое, поскольку он выделен с единственной целью предоставления информации 32-битным приложениям в 64-битной ОС. WoW64 показывает этот ключ 32-битным приложениям как «HKLMSOFTWARE».

Скрытые подразделы в HKLM

В большинстве конфигураций следующие подразделы являются скрытыми ключами, поэтому их нельзя просматривать, как другие разделы куста реестра HKLM:

  • HKEY_LOCAL_MACHINESAM
  • HKEY_LOCAL_MACHINESECURITY


В большинстве случаев эти ключи выглядят пустыми, когда вы их открываете, и/или содержат пустые подключи.

Подраздел SAM относится к информации о базах данных Security Accounts Manager (SAM) для доменов. В каждой базе данных есть псевдонимы групп, пользователи, гостевые учётные записи и учётные записи администраторов, а также имя, используемое для входа в домен, криптографические хэши пароля каждого пользователя и многое другое.

Подраздел SECURITY используется для хранения политики безопасности текущего пользователя. Он связан с базой данных безопасности домена, в котором пользователь вошёл в систему, или с кустом реестра на локальном компьютере, если пользователь вошёл в домен локальной системы.

Чтобы увидеть содержимое ключа SAM или SECURITY, редактор реестра должен быть открыт с использованием системной учётной записи, которая имеет более широкие права, чем любой другой пользователь, даже пользователь с правами администратора. Как это сделать, будет показано ниже.


После открытия редактора реестра с соответствующими разрешениями ключи HKEY_LOCAL_MACHINESAM и HKEY_LOCAL_MACHINESECURITY могут быть исследованы, как и любой другой ключ в кусте.

Некоторые бесплатные служебные программы, такие как PsExec от Microsoft, могут открывать редактор реестра с соответствующими разрешениями для просмотра этих скрытых ключей.

Подробнее о HKEY_LOCAL_MACHINE

Может быть интересно узнать, что HKEY_LOCAL_MACHINE на самом деле нигде на компьютере не существует, а вместо этого является просто контейнером для отображения фактических данных реестра, загружаемых через подключи, расположенные в кустах, перечисленных выше.


Другими словами, HKEY_LOCAL_MACHINE действует как ярлык для ряда других источников данных о вашем компьютере.

Из-за того, что HKEY_LOCAL_MACHINE не существует, ни вы, ни какая-либо установленная вами программа не может создавать дополнительные ключи в HKEY_LOCAL_MACHINE.

Reg compare — сравнение разделов и значений

Использование:

REG COMPARE <имя_раздела_1> <имя_раздела_2> [/v  | /ve]
            [вывод] [/s]
            [/reg:32 | /reg:64]

Опции:

  имя_раздела      [\]<раздел>
    компьютер      Имя удаленного компьютера, если оно опущено, по умолчанию
                   используется локальный компьютер. На удаленном компьютере
                   можно использовать только корневые разделы HKLM и HKU.
    имя_раздела    КОРЕНЬ<подраздел>
                   Если имя раздела 1 не указано, то имя раздела 2 равно имени
                   раздела 1.
    КОРЕНЬ         [ HKLM | HKCU | HKCR | HKU | HKCC ]
    подраздел      Полное имя подраздела реестра в одном из выбранных корневых
                   разделов.

  имя_параметра    Имя параметра в выбранном разделе, подлежащее сравнению.
                   Если опущено, то сравниваются все параметры в разделе.

  /ve              Сравнение параметров раздела с пустым именем (по умолчанию).

  /s               Сравнение всех подразделов и параметров.

  /reg:32    Указывает, что к разделу реестра следует обращаться с помощью
             представления для 32-разрядных приложений.

  /reg:64    Указывает, что к разделу реестра следует обращаться с помощью
             представления для 64-разрядных приложений.

  Вывод            [/oa | /od | /os | /on]
                   Если опущен, то выводятся только различия.
    /oa            Вывод всех различий и совпадений.
    /od            Вывод только различий.
    /os            Вывод только совпадений.
    /on            Без вывода.

Код возврата:

  0 - Успешно, сравниваемые данные идентичны
  1 - При обработке произошла ошибка
  2 - Успешно, сравниваемые данные отличаются

Примечание:
  Символы в начале каждой строки читаются следующим образом:
  = данные FullKey1 равны данным FullKey2
  < относится к данным FullKey1, если они отличаются от данных FullKey2
  > относится к данным FullKey2, если они отличаются от данных FullKey1


Примеры:

Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp:

REG COMPARE HKLMSoftwareMyCoMyApp HKLMSoftwareMyCoSaveMyApp

Сравнивает значения Version в разделах MyCo и MyCo1:

REG COMPARE HKLMSoftwareMyCo HKLMSoftwareMyCo1 /v Version


Сравнивает все подразделы и значения параметров в разделе HKLMSoftwareMyCo реестра на компьютере ZODIAC с аналогичным разделом на текущем компьютере:

REG COMPARE \ZODIACHKLMSoftwareMyCo \. /s

Reg quer — отображение значения параметра реестра

Использование:

REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s]
          [/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель]
          [/reg:32 | /reg:64]

Опции:

:/>  Лучшие видеоредакторы на ПК скачать бесплатно

  имя_раздела [\компьютер]полное_имя_раздела
              компьютер          — имя удаленного компьютера, по умолчанию
                                   используется текущий компьютер.
                                   На удаленных компьютерах доступны только
                                   разделы HKLM и HKU
              полное_имя_раздела — путь в форме корневой_разделподраздел
                 корневой раздел — [ HKLM | HKCU | HKCR | HKU | HKCC ]
                 подраздел       — полное имя раздела реестра в указанном
                                   корневом_разделе

  /v          Запросы требуемых параметров в указанном разделе реестра.
              Если не указано, запрашиваются все параметры раздела.

              Аргумент этого параметра может быть необязательным, только если
              задан параметр /f. Это указывает на поиск только в именах
              параметров реестра.

  /ve         Запросы параметра по умолчанию или с пустым именем (по
              умолчанию).

  /s          Запрос всех вложенных подразделов и их параметров (аналогично
              команде dir /s).

  /se         Указание разделителя (длиной в 1 знак) в строке данных для
              REG_MULTI_SZ. По умолчанию в качестве разделителя используется
              "".

  /f          Данные или шаблон для поиска.
           Если строка содержит пробелы, заключайте ее в кавычки.
              Значение по умолчанию: "*".

  /k          Указывает на поиск только в именах разделов.

  /d          Указывает на поиск только в данных.

  /c          Указывает на учет регистра знаков при поиске.
                По умолчанию при поиске регистр знаков не учитывается.

  /e          Указывает на возврат только точных совпадений.
                По умолчанию возвращаются все совпадения.

  /t          Указывает тип данных параметра реестра.
              Допустимые типы:
                REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ,
                REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE
              По умолчанию будут использоваться все типы.

  /z          Подробности: отображение числового кода типа имени значения.

  /reg:32  Указывает, что к разделу реестра следует обращаться с помощью
           представления для 32-разрядных приложений.

  /reg:64  Указывает, что к разделу реестра следует обращаться с помощью
           представления для 64-разрядных приложений.

Примеры:


Отображение значения параметра реестра Version:

REG QUERY HKLMSoftwareMicrosoftResKit /v Version

Отображение всех подразделов и их параметров в разделе реестра Setup удаленного компьютера ABC:

REG QUERY \ABCHKLMSoftwareMicrosoftResKitNtSetup /s

Отображение всех подразделов и параметров со знаком “#” в качестве разделителя для всех параметров типа REG_MULTI_SZ:

REG QUERY HKLMSoftwareMicrosoftResKitNtSetup /se #


Отображение раздела, параметра и данных с учетом реестра букв для точных совпадений с “SYSTEM” типа REG_SZ из корневого раздела HKLM:

REG QUERY HKLM /f SYSTEM /t REG_SZ /c /e

Отображение раздела, параметра и данных для совпадений с “0F” типа REG_BINARY среди данных в корневом разделе HKCU:

REG QUERY HKCU /f 0F /d /t REG_BINARY

Отображение параметра и данных для пустого значения (по умолчанию) в разделе HKLMSOFTWARE:

REG QUERY HKLMSOFTWARE /ve

Грузимся модно

Секреты реестра -Твики реестра Windows XP часть 2 - KRASGMU.NET

При написании троянов и прочих полезных
утилит 🙂 часто возникает потребность в
автозагрузке. Так уж повелось так что все
используют для этих целей раздел RUN в
реестре Windows… А зря, ведь есть еще много
эффективных способов автозагрузки.

Мне кажется или все разленились? Уже никто
не хочет думать! Некоторые задачи стали
настолько тривиальны, что никто даже не
думает над их решением. Я это к тому, что
большая часть людей считает, что в Windows’е
можно сделать автозагрузку через VxD или RUN в
реестре… хммм… давайте копнем поглубже и
увидим неограниченые возможности скрытые в
Windows.

Магические директории

Люди особо “творческого” ума могут
сообщить нам, что загрузится можно
скопировав себя куда-то в “C:WINDOWSГлавное
менюПрограммыАвтозагрузка”(В Windows XP это
будет выглядеть где-то так: “C:Documents and
SettingsUserПрограммыАвтозагрузка”). Не
спорю, такой вариант сработает, но давайте
сделаем немного иначе. Местоположение этой
папки система узнает с реестра. Упоминания
о ней можно найти в таких разделах:

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerShell
Folders
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell
Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionexplorerShell
Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionexplorerUser
Shell Folders

Значение там хранится в переменных “Startup”
и “Common Startup”. Все дело в том, что в
переменную “Common Startup” можно написать
все, что угодно. То есть записав туда “c:windowssystemmy_secret_program”
мы запустим все программы находящиеся в
каталоге “my_secret_program”. Привет Билли 🙂

Волшебные INI

Ну… Тут есть два варианта, использовать
WIN.INI или SYSTEM.INI. В WIN.INI ключ “windows”
содержит две переменные load и run. Придаваемые
им значения и есть программы которые надо
загрузить. Например:
………….
[windows]load=my_secret_pogram1.exe
run=my_secret_pogram2.exe
………….

А в SYSTEM.INI метод немного другого характера. В
ключе “boot” есть параметр Shell, он задает
программу которая будет служить GUI для Windows.
По умолчанию это Explorer, но можно указывать и
другую программу 🙂 А самое интересное то,
что можно указать и Explorer с параметром/параметрами.
На что он услужливо запустит передаваемый
параметр. Например:
………….
[boot]Shell=Explorer.exe my_secret_pogram.exe
………….

И снова подарки от майкрософт 🙂 Шелл еще
указывается в реестре: “HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersionWinlogonShell”. По умолчанию там
Explorer, но его можно заменить…

Великий BAT

Ну что, поехали дальше… Что такое бат файлы
знают все (я надеюсь…), но не все знают что
существует достаточно интересный файл
winstart.bat, который находится в папке Windows. Он
автоматически запускается системой каждый
раз при загрузке. Это обычный Bach файл с
досовскими командами. Чтобы с его помощью
запустить нашу программу добавляем в файл
что-то вроде: c:windowsmy_secret_program.exe.

В противовес ему прилагается dosstart.bat,
который как и winstart находится в директории
Windows, но запускается он если выбрать “Перезагрузить
компьютер в режим эмуляции MS-DOS”. 

И конечно же Autoexec.bat, про который нельзя не
упомянуть говоря про батники :), запускается
при каждой загрузке твоего металлического
друга еще до винды. А для счасливых
обладателей NT/XP я имею другую прекрасную
новость. У них Autoexec.bat не грузится, зато Microsoft
не обделила и их вниманием, они могут
пользоваться файлом Autoexec.NT 🙂 Его работа
заключается в том, что если у DOS’овской
программы нет ярлыка, то настройки для
создания DOS-BOX’а берутся из него. А он в свою
очередь тот же батник 🙂 А если кто-нибудь
хочет загрузится в NT с Autoexec.bat (удовольствие
для исключительных извращенцев), тогда
придется покопаться в реестре… В разделе: 

HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon. 

Значение переменной ParseAutoexec установите
равным “1”. Вот и все 🙂

Реестр – знакомый и не очень

Хех… Про реестр рассказали уже столько
баек, что мне даже стыдно про него упоминать,
но ради приличия перечислю стандартные
ключи автозагрузки и то, о чем знают
немногие. Итак, стандартные места откуда
можно загрузится:

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunOnce

HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRunServices

Тут все просто в нужном разделе, создаем
параметр со значением запускаемой проги. А
теперь встречайте RunOnceEx! Что очень
удивительно, мало кто знает как в этом ключе
прописать свою программу. Вот рекомендации
по использованию 🙂

1 Создаем ключ(если его нету)

HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunOnceEx00x

2 Создаем строковую переменную со
значением программы которую надо запустить,
но в интересном формате: 

“DLL|Function|Arguments” или “||command parameters”

То есть у нас есть два варианта: мы можем
запустить некоторую функцию Function или exe-шник.

Например:

“my_secret_pogram”=”||my_secret_pogram.exe” –
запустит my_secret_pogram.exe
“msprint2.dll|RUNDLL_PrintTestPage|” – печать пробной
страницы 🙂

Ах да… В NT есть еще один раздел:

HKEY_LOCAL_MACHINESoftware MicrosoftWindows
NTCurrentVersionWinlogonUserinit

Работает он также, как и классический RUN.

RegisterServiceProcces

Поскольку мелкомягкие отменили фичу с
RegisterServiceProcces в NT, то я расскрою тебе тайну,
как сделать RegisterServiceProcces Autorun. Все очень
просто залазишь в “HKEY_LOCAL_MACHINE/Software/ Microsoft/WindowsNT/CurrentVersion/AppInit_DLLs”.
Теперь создаешь переменную со значением
“my_secret_pogram.dll”, где “my_secret_pogram.dll” –
имя нашей Dll’ки. В ней нужно создать функцию,
которая будет исполнятся при загрузке.
Радует то, что в этом случае наш процесс не
будет видно в Таск Менеджере! Но
использовать можно только функции из
KERNEL32.DLL. 🙁 За более подробной информацией
полезай на www.microsoft.com!

Быстрее всех

Windows NT позволяет запускать специально
написанные программы до регистрации
пользователя (logon). Эти программы
подразделяются на две группы: драйверы и
сервисы. Все дело в том, что любую Win32
программу можно запустить до logon с помощью
специального сервиса. В Windows NT Resource Kit
включен сервис srvany.exe, выполняющий именно
эти задачи :). Его подробное описание
находится в файле srvany.wri. Почитай на досуге 🙂

Маленький трюк 🙂

Ну и наконец, после такого прогрузона я
скажу, что если тебе влом копаться в этом
дерьме, то ты можешь просто скопировать
my_secret_pogram.exe в корень диска C: и
переименовать в Explorer.exe. Он запустится до
настоящего Эксплорера 🙂 И это работает во
всех версиях Windows…

Теперь ты вооружен. Надеюсь после прочтения
этого ты задумаешься, каким способом будет
грузится твой новый троян 🙂 Удачи!

Многоуровневый поставщик услуг

Winsock LSP (Layered Service Provider) – многоуровневый поставщик услуг, Windows Sockets версии 2.0, предоставляющий возможность пользователю подключать собственные библиотеки DLL для обработки вызовов Windows Sockets API. Обычно поставщик занимается обработкой низкоуровневых задач, связанных с сетевым трафиком.

Поставщик обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с локальной сетью и сетью Интернет. В процессе приема/передачи данных по протоколу TCP/IP, информация последовательно проходит по цепочке через все зарегистрированные в стеке TCP/IP поставщики (по структуре обычные DLL-библиотеки, которые используют Winsock API).

Каждый поставщик может как угодно модифицировать проходящие данные и адреса. Таким образом, механизм LSP используется для вполне легитимных действий над трафиком и пространством имен, таких как подсчет трафика, антивирусная проверка, фильтрация контента, поэтому, например, многие антивирусы и фаерволы могут на вполне легальных основаниях находиться в стеке TCP/IP в качестве поставщиков услуг.

Однако, некоторые вирусы могут добавлять свои модули в цепочку обработки.Список поставщиков услуг хранится в специальной базе, которую можно найти в реестре в следующем разделе:HKLMSystemCurrentControlSetServicesWinsock2ParametersНе редка ситуация, когда Вы каким-либо образом нашли и удалили из цепочки модуль вируса, который находился в стеке поставщиков, однако не произвели коррекцию самой цепочки, в этом случае цепочка обработки рвется, и работа по протоколу TCP/IP с локальной сетью и сетью Интернет становится невозможной.

Бывают и случаи удаления вредоносной DLL из файловой системы без должной коррекции (отмены регистрации провайдера) базы провайдеров, которые тоже не приводят ни к чему хорошему. Для восстановления (корректировки) цепочки провайдеров существуют утилиты LSP-Fix и AVZ (является полноценным сканером), которые проходят по цепочке разделов реестра Winsock2 и восстанавливают корректные связи.

:/>  Долго загружается Windows 10 при включении: что делать и как решить проблему — «ИнфоСорт»

Конечно, в случае с Windows Sockets 2.0 все далеко не так радужно. Чаще всего, в случае проблем с работоспособностью локальной сети и интернет, выполняют восстановление по заданному системному шаблону, однако этот шаблон надо знать, поскольку неправильные действия с базой поставщиков могут привести к полной неработоспособности сетевого интерфейса.

В Windows 7/8 технология LSP всё еще функционирует, однако не рекомендуется к использованию! Это объясняется тем, что начиная с Windows Vista разработчики активно продвигают новую технологию под названием “Платформа фильтрации Windows” (Windows Filtering Platform, WFP), которая предназначена для обработки, отслеживания и перехвата сетевого трафика на всех уровнях сетевого стека, а так же призвана заменить все существующие технологии фильтрации в стеке TCP/IP. Существующие и разрабатываемые драйвера и приложения обработки пакетов предлагается портировать под новую технологию.

Простейшие способы нейтрализации вирусов в windows 7


Восстановление работоспособности Windows 7 после вирусного заражения.

  

Речь пойдет о простейших способах нейтрализации вирусов, в частности,
блокирующих рабочий стол пользователя Windows 7 (семейство вирусов
Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего
присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя
выполнение каких-либо действий, кроме ввода специального “кода разблокировки”,
для получения которого, якобы, требуется перечислить некоторую сумму
злоумышленникам через отправку СМС или пополнение счета мобильного
телефона через платежный терминал. Цель здесь одна – заставить пользователя
платить, причем иногда довольно приличные деньги. На экран выводится окно с
грозным предупреждением о блокировке компьютера за использование
нелицензионного программного обеспечения или посещение нежелательных сайтов,
и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме
этого, вирус не позволяет выполнить какие либо действия в рабочей среде
Windows – блокирует нажатие специальных комбинаций клавиш для вызова меню
кнопки “Пуск”, команды “Выполнить” , диспетчера задач и т.п. Указатель мышки
невозможно переместить за пределы окна вируса. Как правило, эта же картина
наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется
безвыходной, особенно если нет другого компьютера, возможности загрузки в
другой операционной системе, или со сменного носителя (LIVE CD, ERD
Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем
большинстве случаев есть.

  
Новые технологии, реализованные в Windows Vista / Windows 7 значительно
затруднили внедрение и взятие системы под полный контроль вредоносными
программами, а также предоставили пользователям дополнительные возможности
относительно просто от них избавиться, даже не имея антивирусного программного
обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме
с поддержкой командной строки и запуска из нее программных средств контроля и
восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого
режима в предшествующих версиях операционных систем семейства Windows, многие
пользователи просто им не пользуются. А зря. В командной строке Windows 7
нет привычного рабочего стола (который может быть заблокирован вирусом), но
есть возможность запустить большинство программ – редактор реестра, диспетчер
задач, утилиту восстановления системы и т.п.


Удаление вируса с помощью отката системы на точку восстановления

  Вирус – это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами – это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи – вирус можно считать обезвреженным. Самый простой способ – это выполнить восстановление системы по данным контрольной точки. Контрольная точка – это копия важных системных файлов, хранящаяся в специальном каталоге (“System Volume Information”) и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock ) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

Меню выбора вариантов загрузки Windows 7

2. Выбрать вариант загрузки Windows – “Безопасный режим с поддержкой командной строки”

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

Командная строка Windows 7

3. Запустить средство “Восстановление системы”, для чего в командной строке нужно набрать rstrui.exe и нажать ENTER.

Восстановление системы Windows 7

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный
список

– переключить режим на “Выбрать другую точку восстановления” и в следующем окне установить галочку “Показать другие точки восстановления”

Выбор точки восстановление системы Windows 7

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Выбранная точка восстановления системы Windows 7

Список затрагиваемых программ, – это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку “Готово” начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха,
Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится,
можно воспользоваться более продвинутым способом, представленным ниже.


Удаление вируса без отката системы на точку восстановления

  
Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой
Конфигурирования системы MSCONFIG.EXE. Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

Утилита конфигурирования  Windows 7 msconfig.exe

На вкладке “Общие” можно выбрать следующие режимы запуска Windows:

Обычный запуск – обычная загрузка системы.
Диагностический запуск – при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск – позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу – определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка “Службы” позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска “Автоматически” . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима “Не отображать службы Майкрософт” , при включении которого будут отображаться только службы сторонних производителей.

Утилита конфигурирования  служб Windows 7 msconfig.exe

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка “Автозагрузка”).

Утилита конфигурирования  автозагрузки Windows 7 msconfig.exe

Так же, как и на вкладке “Службы”, можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки “Автозагрузка”, то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

  В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер “висит” из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F – выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями,
программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования.
Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы.
После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки,
эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

:/>  Все способы зайти в БИОС на стационарном компьютере или ноутбуке


Устранение возможности запуска вируса с помощью редактора реестра.

  Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER

  
Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п – все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент – вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon – для всех пользователей.
HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon – для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно – HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKLM или в сокращенном виде – HKLM)

Так выглядит раздел реестра HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon при стандартной установке Windows 7

Параметр Shell в HKCU отсутствует

Если же в данный раздел добавить строковый параметр Shell принимающий значение “cmd.exe”, то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Параметр Shell в HKCU отсутствует

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig, то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен – остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell, или изменить его значение с “cmd.exe” на “explorer.exe” и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование
реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete “HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon” /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы “Администраторы”, доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор – сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:USERSимя пользователяAppDataLocalTemp. Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы – “Переменные среды”. Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite. Страница с подробным описанием Autoruns и ссылкой для скачивания


Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом – загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ – воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний ( Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE ( установочный диск, диск аварийного восстановления ERD Commander ), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr буква системного диска:

bootsect /nt60 /mbr E:> – восстановить загрузочные секторы диска E: Здесь должна использоваться буква для того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr буква системного диска:

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно – пока не модифицируют).

В начало страницы    |    
На главную страницу сайта

Службы [сервисы] и драйверы

Службы (Сервисы) – это приложения, автоматически или по возникновению определенных событий, запускаемые в фоновом режиме на различных стадиях загрузки операционной системы, обеспечивающие основные функциональные возможности ОС. Как правило, службы (сервисы) не взаимодействуют с графическим интерфейсом пользователя, поэтому говорится, что они не имеют графического интерфейса, и работа их в большинстве случаев не заметна для пользователя.

Служба, в зависимости от настроек, может быть запущена автоматически при загрузке операционной системы, поэтому начать функционирование она может до того момента, как пользователем будет произведен вход в Windows. Основная задача по обнаружению вируса, который установил в систему собственную службу, состоит в том, чтобы просмотреть весь список запускаемых служб и детально изучить его на предмет наличия подозрительных сервисов.

С этой целью можно использовать знакомую уже многим оснастку Службы, вызвав её следующим образом:Нажать комбинацию Win R и вписать в строку services.msc, затем нажать ОК. После этого мы видим примерно следующее:

Для полноты восприятия переключаемся в стандартный вид (1), далее сортируем службы по столбцу “Состояние”, просто щелкнув на нём (2), тем самым выстроив сначала службы, которые в данный момент работают. И среди работающих служб начинаем искать те, которые могут показаться нам подозрительными.

В случае нахождения подозрительной службы можно попробовать её выделить (3), нажать правую кнопку и попытаться остановить (4), выбрав одноименный пункт меню. После остановки службы можно зайти в “Свойства” и изменить Типа запуска (StartUp Type) на Отключено (Disabled), перезагрузив затем операционную систему.

На самом деле, можно смело утверждать, что практически с нулевой вероятностью “родные” системные сервисы от Microsoft вызовут у нас подозрение, поэтому хорошая практика, в данном случае, состоит в том, чтобы отфильтровать как-либо образом сторонние службы, написанные третьими лицами и вот уже среди них провести проверку.

Визуально отличить стороннюю службу (коей обычно и является вирус) от системной можно при наличии определенных знаний, но не у всех они имеются, поэтому существует более надежный и простой способ с участием утилиты msconfig (Конфигурация системы). Из командной строки с правами локального администратора запускаем команду:

msconfig

открывается окно утилиты конфигурирования системы. Переходим во вкладку “Службы” – выделяем чекбокс Не отображать службы Microsoft, затем щелкаем по столбцу “Состояние”, дабы отсортировать работающие службы в начало списка. В итоге у нас получится список из служб сторонних разработчиков такого вот примерно вида:

А вот уже среди отфильтрованных (оставшихся) служб можно проводить детальный анализ.

Оставьте комментарий

Adblock
detector