12. Load Key
-------------------
این کلید امروزه دیگر استفاده نمیشود ولی بهرحال میتوان از آن برای اجرای اتوماتیک برنامه ها بهره برد.
بهر جهت این کلید در آدرس زیر از رجستری قرار دارد:
کد HTML:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
13. کلید Notify
-------------------
از این کلید برای اجرای برنامه ها در وضعیت های مشخص شده ای از قبیل logon, logoff, startup, shutdown بکار
میرود.
زمانیکه در شرایطی از قبیل حالت های بالا ، فایل Winlogon.exe یک وضعیت را گزارش می کند (generates an event )
ویندوز به این کلید مراجعه میکند تا ببیند کدام فایل DLL باعث این وضعیت شده است.
بعضی از بدافزار ها از این خاصیت ویندوز بهره برده و خودشان را در حین لاگ آن اجرا میکنند.
تذکر اینکه اجرا شدن اینگونه قابل جلوگیری کردن نیست.
بهر جهت این کلید در آدرس زیر از رجستری قرار دارد:
کد HTML:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
14. AppInit_DLLs
---------------------
این مورد مربوط به اجرای فایل هائی هست که توسط فایل های DLL اجرا میشوند.
بیشتر فایل user32.dll از اینجا استفاده شده ولی بهر حال تمام فایل های DLL موجود در این محل بار خواهند شد.
این کلید در آدرس زیر از رجستری قرار دارد:
کد HTML:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
15. ShellServiceObjectDelayLoad
-----------------------------------------
این قسمت از رجستری مقادیری شبیه مقادیر گفته شده در مورد کلید Run دارد.
با این تفاوت که برخلاف کلید Run که به خود فایل اشاره میکند ، در اینجا به CLSID's InProcServer اشاره می شود
که مشخصات مربوط به فایل DLL مورد استفاده را دارد.
فایل موجود در زیر این کلید پس از استارت ویندوز بطور اتوماتیک همزمان با اجرای فایل Explorer.exe اجرا خواهد شد.
یعنی میشود گفت که اینگونه فایل ها طوری اجرا خواهند شد که کاربر متوجه نخواهد شد.
این کلید در آدرس زیر از رجستری قرار دارد:
کد HTML:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
16. SharedTaskScheduler
---------------------------------
بیشتر مربوط به ویندوز ایکس پی و بپائین بوده و در مورد کارهائی است که توسط ویندوز تعیین میکنیم که فرضا"
در زمان مشخصی کار مشخصی را انجام دهد.
این کلید در آدرس زیر از رجستری قرار دارد:
کد HTML:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
17. دیگر موارد
-------------------
محل های فراوان دیگری هم وجود دارند که بدافزار ها از آن نقاط اجرا می شوند.
فرضا" تروجان SubSeven 2.2 از محل های زیر خودش را اجرا میکند:
کد HTML:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders
و یا بعضی دیگر از نقاط خطرناک عبارتند از :
کد HTML:
Icq Inet
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
This key specifies that all applications will be executed if ICQNET Detects an Internet Connection.
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"
"NeverShowExt"=""
This key changes your file's specified extension.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute]
This is the first thing that is run.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell]
==========================
مطلب زیاد است و علم بنده کم
من فقط به نقاط اصلی و شناخته شده اشاره کردم ولی نقاط بیشمار شناخته نشده دیگری حتما" وجود دارند
موفق باشید.
علاقه مندی ها (بوک مارک ها)