.png "عصر ایران")
۱۲ خرداد ۱۴۰۳
به روز شده در: ۱۲ خرداد ۱۴۰۳ - ۱۲:۳۴
مصوبه تعطیلی شنبهها در نوبت رسیدگی در شورای نگهبان (فیلم) Autostart چیست؟
نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup، Win.iniو System.ini میباشد، ویروسها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.
آزمایشگاه تحلیل بدافزار ایمن - چند نکته به ظاهر
ساده، اما در اصل بسیار مهم، میتواند شما را تاحد ممکن از درگیر شدن با
بدافزارها دور نگاه دارد. این مقاله را تا انتها بخوانید.
امروزه بدافزارها برای آلودهکردن سیستمها و رسیدن به اهداف خود از روشهای مختلفی بهره میبرند میتوان گفت نحوه اجرا شدن بدافزار بعد از نصب بر روی سیستم مسئله مهمی است که باید مورد توجه کاربران قرار گیرد.
یکی از بنیادیترین این روشها اجرای بدافزار به محض بالا آمدن سیستم عامل است در این روش بدافزار از قابلیت راهاندازی خودکار توسط ویندوز استفاده میکند.
به برنامههایی که با بالا آمدن ویندوز بصورت خودکار شروع به کار میکنند Autostart میگویند.
ویندوز دارای قابلیت Autostart میباشد، اغلب بدافزارها به صورت مخفیانه نصب میشوند که با هر بار اجرای ویندوز کاملا خودکار اجرا میشوند.
بنابراین لازم است به طور منظم مکانهایی که جاسوسافزارها و برنامههای مخرب باعث تغییر آنها میشود بررسی گردند.
نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup، Win.iniو System.ini میباشد، ویروسها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.
یک کاربر آگاه میتواند در هنگام انجام فعالیتهای مشکوک موارد زیر را مورد بررسی قرار داده و از اجرا شدن خودکار بد افزارها جلوگیری نمایید.
درک این کلیدها و چگونگی استفاده از آنها در تجزیه و تحلیل و نحوه به کارگیری آنها در بدافزارها بسیار اهمیت دارد.
ابتدا به کلیدهایی که در رجیستری این قابلیت را دارند می پردازیم :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticetext
در رجیستری کلیدهای دیگری نیز وجود دارند که با تغییر در مقادیر آنها میتوان به قابلیتی همانند Autostart دست یافت، برخی از این کلیدها عبارتند از:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\Piffile\shell\open\command
HKEY_CLASSES_ROOT\Comfile\shell\open\command
HKEY_CLASSES_ROOT\Scrfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
قسمت دوم ویندوز که قابلیت Autostart دارد فولدر Startup است.
میتوان گفت راحتترین راه برای اجرای یک برنامه در هنگام شروع ویندوز این است که یک میانبر از آن را در داخل این فولدر قرار دهیم تا ویندوز در هنگام شروع آن را اجرا کند.
مسیر این فولدر به شرح زیر است:
%All Users%\Start Menu\Startup
%Current User%\Start Menu\Programs\Startup
%Default User%\Start Menu\Programs\Startup
قسمت سوم Autostart فایل Win.ini میباشد.
فایل Win.ini برای بارگذاری برنامههای کاربردی و پیکربندی تنظیمات در هنگام راهاندازی مورد استفاده قرار میگیرد.
این فایل در مسیر %WinDir% قرار گرفته است و دارای بخشهای مختلفی مانند windows، font، files ، mail ، extensions، MCI Extensions.BAK، SciCalc و ... میباشد.
برای مثال در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
[windows]
run=%Windows%\Sample.exe
آخرین قسمت، فایل System.ini میباشد.
این فایل نیز همانند Win.ini در مسیر %Windows% قرار دارد و دارای بخشهایی همچون Boot، drivers، mci، driver۳۲ و ... میباشد.
[Boot]
Shell = Sample.exe
برای دیدن فایلهای Win.ini و System.ini و کلیدهای رجیستری Run میتوانید از دستور "MsConfig” در Run استفاده کنید.
میتوانید با بررسی متناوب قسمتهای ذکر شده فوق در هنگام بررسی فعالیت مشکوک سیستم، مانع از اجرای بدافزارهای دارای قابلیت Autostart و بروز خسارتهای ناشی از اجرای بدافزار شوید.
عدم آگاهی از این موضوع و عدم بررسی این نقاط در ویندوز میتواند آثار مخرب غیر قابل جبرانی برای کاربران در بر داشته باشد.
شاید بررسی این ۴ قسمت بیش از چند دقیقه زمان نیاز نداشته باشد اما در مواقعی که بدافزار به سیستم آسیب میزند و راهی جز تعویض سیستم عامل وجود ندارد چندین برابر این زمان باید صرف این موضوع گردد.
توجه داشته باشید که انجام این موارد به ظاهر ساده در امنیت سیستم از اهمیت زیادی برخوردار است.
امروزه بدافزارها برای آلودهکردن سیستمها و رسیدن به اهداف خود از روشهای مختلفی بهره میبرند میتوان گفت نحوه اجرا شدن بدافزار بعد از نصب بر روی سیستم مسئله مهمی است که باید مورد توجه کاربران قرار گیرد.
یکی از بنیادیترین این روشها اجرای بدافزار به محض بالا آمدن سیستم عامل است در این روش بدافزار از قابلیت راهاندازی خودکار توسط ویندوز استفاده میکند.
به برنامههایی که با بالا آمدن ویندوز بصورت خودکار شروع به کار میکنند Autostart میگویند.
ویندوز دارای قابلیت Autostart میباشد، اغلب بدافزارها به صورت مخفیانه نصب میشوند که با هر بار اجرای ویندوز کاملا خودکار اجرا میشوند.
بنابراین لازم است به طور منظم مکانهایی که جاسوسافزارها و برنامههای مخرب باعث تغییر آنها میشود بررسی گردند.
نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup، Win.iniو System.ini میباشد، ویروسها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.
یک کاربر آگاه میتواند در هنگام انجام فعالیتهای مشکوک موارد زیر را مورد بررسی قرار داده و از اجرا شدن خودکار بد افزارها جلوگیری نمایید.
درک این کلیدها و چگونگی استفاده از آنها در تجزیه و تحلیل و نحوه به کارگیری آنها در بدافزارها بسیار اهمیت دارد.
ابتدا به کلیدهایی که در رجیستری این قابلیت را دارند می پردازیم :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticetext
در رجیستری کلیدهای دیگری نیز وجود دارند که با تغییر در مقادیر آنها میتوان به قابلیتی همانند Autostart دست یافت، برخی از این کلیدها عبارتند از:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\Piffile\shell\open\command
HKEY_CLASSES_ROOT\Comfile\shell\open\command
HKEY_CLASSES_ROOT\Scrfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
قسمت دوم ویندوز که قابلیت Autostart دارد فولدر Startup است.
میتوان گفت راحتترین راه برای اجرای یک برنامه در هنگام شروع ویندوز این است که یک میانبر از آن را در داخل این فولدر قرار دهیم تا ویندوز در هنگام شروع آن را اجرا کند.
مسیر این فولدر به شرح زیر است:
%All Users%\Start Menu\Startup
%Current User%\Start Menu\Programs\Startup
%Default User%\Start Menu\Programs\Startup
قسمت سوم Autostart فایل Win.ini میباشد.
فایل Win.ini برای بارگذاری برنامههای کاربردی و پیکربندی تنظیمات در هنگام راهاندازی مورد استفاده قرار میگیرد.
این فایل در مسیر %WinDir% قرار گرفته است و دارای بخشهای مختلفی مانند windows، font، files ، mail ، extensions، MCI Extensions.BAK، SciCalc و ... میباشد.
برای مثال در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
[windows]
run=%Windows%\Sample.exe
آخرین قسمت، فایل System.ini میباشد.
این فایل نیز همانند Win.ini در مسیر %Windows% قرار دارد و دارای بخشهایی همچون Boot، drivers، mci، driver۳۲ و ... میباشد.
[Boot]
Shell = Sample.exe
برای دیدن فایلهای Win.ini و System.ini و کلیدهای رجیستری Run میتوانید از دستور "MsConfig” در Run استفاده کنید.
میتوانید با بررسی متناوب قسمتهای ذکر شده فوق در هنگام بررسی فعالیت مشکوک سیستم، مانع از اجرای بدافزارهای دارای قابلیت Autostart و بروز خسارتهای ناشی از اجرای بدافزار شوید.
عدم آگاهی از این موضوع و عدم بررسی این نقاط در ویندوز میتواند آثار مخرب غیر قابل جبرانی برای کاربران در بر داشته باشد.
شاید بررسی این ۴ قسمت بیش از چند دقیقه زمان نیاز نداشته باشد اما در مواقعی که بدافزار به سیستم آسیب میزند و راهی جز تعویض سیستم عامل وجود ندارد چندین برابر این زمان باید صرف این موضوع گردد.
توجه داشته باشید که انجام این موارد به ظاهر ساده در امنیت سیستم از اهمیت زیادی برخوردار است.
نظرات کاربران
لینک کوتاه: کپی لینک
تکامل و آینده کلاهخودهای جنگی؛ ابزارهای محافظت از سر سربازان چه تغییری کرده اند؟ (+عکس) کیک شیره انگور، یک عصرانه سالم و خوشمزه کشف ۵ جسد با دست و پاهای قطع شده در قرارگاه آدولف هیتلر در لهستان (+عکس) تلگرام در آستانه تغییری بزرگ است 5 تکه بهشت در منطقهای بیابانی؛ زیباترین روستاهای کرمان برای سفر (+عکس) شارژ سریع سیمی یا شارژ بی سیم؛ کدامیک برای سلامت گوشی بهتر است؟ بهترین فیلمهای تابستان سال ۲۰۲۴ که باید ببینید (+عکس) نامههای 1900 سالهای که در «قبرستان حیوانات» کشف شدند (+عکس) رژه آلمانیها در نازیآباد؛ مهندسان آلمانی در نازیآباد چه میکردند؟ کار در «جهنم» به روایت عکسهای تکاندهنده (+عکس) اولین باستان شناس تاریخ، خودش پادشاه بزرگی بوده است! (+عکس) رازآمیزترین «هرم» مصر باستان که 14 سال قبل کشف شد(+عکس) نام و نام خانوادگی واقعی حضرت عیسی چه بود؟ ۱۳ بنای باستانی که رازی خارق العاده در ساخت آن ها نهفته است (+عکس) این ۱۳ موجود زنده در بدن انسان زندگی میکنند! چهره آنها را ببینید
وبگردی