Центр справки и настройки Windows XP 3.8


Методы автозапуска


Также хакеру могут пригодиться параметры UIHost и VmApplet. Первый хранит имя приложения отображающего заставку входа в Windows (только в XP), второй - имя библиотеки ActiveX Control запускаемой при открытии панели управления. Логично, что и эти параметры можно вполне безболезненно подменить.

[Explorer Shell Extentions]

Как тебе известно, некоторые программы добавляют свой пункт в контекстное меню оболочки. Ты никогда не задумывался, как они это делают? На самом деле все довольно просто, в Windows есть механизм Explorer Shell Extentions, который позволяет расширять практически любое меню оболочки. Для этого нужно создать свою DLL и прописать ее в специальном месте реестре. При вызове соответствующего контекстного меню эта DLL будет загружена и ей будет передано управление. Ничто не помешает хакеру прописать туда троянскую DLL, причем, даже не создавая новые пункты в меню – это, оказывается, не обязательно. Список таких DLL храниться в разделе реестра HKCR\Directory\shellex\ContextMenuHandlers. Для каждой DLL там создается свой подраздел, в котором параметром по умолчанию является некоторый уникальный CLSID. Сама DLL приписывается в разделе реестра HKCR\CLSID. Допустим, CLSID хакерской DLL будет EBDF1F20-C829-9999-8233-0020AF3E97A9, тогда для ее автозапуска надо создать раздел HKCR\CLSID\{EBDF1F20-C829-9999-8233-0020AF3E97A9}\InprocServer32. Параметром по умолчанию должен являться путь к DLL. Также потребуется создать параметр ThreadingModel и установить его в значение Apartment. Следующий раздел, где хакеру необходимо будет прописать свою DLL - HKCR\*\shellex\ContextMenuHandlers. Он определяет Shell Extention, выполняемый при выпадении контекстного меню на любом файле.

В итоге, для установки своего расширения контекстного меню, вернее, автозагрузки трояна с его помощью хакеру нужно выполнить REG-файл следующего содержания:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EBDF1F20-C829-9999-8233-0020AF3E97A9}\InprocServer32]

@="trojan.dll"




Начало  Назад  Вперед