8226d-Kak-zablokirovat-zapusk-lyubyih-program.png

Начнем с самого банального, набираем в командной строке msconfig, открываем вкладку "Автозагрузка" и видим, все то, что автоматически загружается из папки "Автозагрузка" и из следующих ключей в реестре:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

К сожалению, возможности данной утилиты на этом кончаются по той простой причине, что предоставленный список ключей в реестре по автоматической загрузке далеко не полный, поэтому доверять полученным данным не стоит. Единственным плюсом является тот факт, что по умолчанию данная утилита входит в набор утилит Windows.

Советую обратить внимание на утилиту Autoruns из набора SisInternals Suit. Многие представители ИБ отдают предпочтение данной утилите, поскольку она является одним из лучших вариантом, что были сделаны на данный момент. Помимо версии с GUI-интерфейсом, есть и консольный вариант, в лучших традициях старой школы. Утилита покажет множество различных мест автозагрузки, начиная от классических способов перечисленных выше, заканчивая расширениями для InternetExplorer'a. Утилиту не пустили на самотек, а регулярно обновляют, добавляя новые способы автозагрузки.

Единственный недостаток, который можно подметить, это то, что утилита использует стандартные API-функции; если тебе попался очень хитрый представитель малвари, то ему не составит особого труда сделать перехват этих функций, после чего произвести искажение ключей реестра, в результате чего Autoruns покажет неверные данные. Если это так, то необходимо запустить Autoruns из-под WinDbg, убрать перехваты функций при помощи отладчика, после чего, нажав F5, произвести анализ реестра с помощью исправленных API-функций.


Пожалуйста авторизируйтесь, что бы оставлять комментарии