Центр справки и настройки Windows XP 3.8


Методы автозапуска ( Хакер ) - часть 2


begin

RegSetValueEx(Key, KeyName, 0, REG_SZ, ExeName, lstrlen(ExeName) + 1);

RegCloseKey(Key);

end;

end;

KeyName в этом коде - имя создаваемого ключа, а ExeName - путь к загружаемому файлу. Про этот метод автозагрузки знает даже самый тупой юзер, да и антивирусы давно уже научились мониторить Run в реестре и предупреждать пользователя о новых загружаемых файлах. Конечно, можно не добавлять свой пункт в список, а изменить уже существующий, вероятно это вызовет чуть меньше подозрений у пользователя, но от антивируса, предупреждающего обо всех изменениях, не спасет. Поэтому, если и использовать этот метод, то в прикладных программах – о троянах с ним хакеру лучше забыть.

[запуск из-под Winlogon]

Если начать искать более незаметные методы автозагрузки в реестре, то выясняется, что их превеликое множество. Для начала рассмотрим раздел HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify, в котором хранятся списки DLL, подгружаемых процессом winlogon.exe при наступлении определенных событий в системе. Неплохим методом автозапуска является запись в этот раздел реестра собственной DLL. Один из его плюсов то, что наша DLL может быть запущена от процесса System при старте системы. При этом хакер получает полный доступ к системе, но, правда, лишается доступа к шифрованным файлам пользователя (на NTFS). Обойти это ограничение он может с помощью запуска DLL при входе пользователя в систему (с включенной имперсонацией), либо сделав инжект в пользовательский процесс. Также хакеру, вероятно, будет полезно то, что есть возможность определить несколько функций в одной DLL, которые будут вызываться при разных системных событиях, к примеру, при старте системы и при входе пользователя в систему.

Содержание  Вперед на стр. 2




Начало  Назад  Вперед



Книжный магазин