Внедрение программ через реестр

Системный реестр операционной системы — это сложный механизм, для надлежащего функционирования которого требуются постоянное диагностирование и грамотное управление. С момента выпуска компанией Microsoft первой операционной системы Windows 3.11 системный реестр претерпел значительные изменения, превратившись из простого набора текстовой информации (файлы *.ini) в полноценную иерархическую базу данных с полным контролем над операционной системой. Во время работы с Windows XP Professional или с Windows XP Home Edition часто приходится оптимизировать настройки, изменение параметров которых возможно только путем ручного редактирования системного реестра.

Для начала имеет смысл объяснить, что представляет собой системный реестр. Все настройки операционной системы вместе с конфигурацией персонального компьютера собраны в единой базе данных, именуемой системным реестром. С момента запуска компьютера и вплоть до его отключения операционная система непрерывно использует эту базу данных, контролируя настройки профилей всех пользователей, параметры программ, типы документов, сетевые настройки и т.д. В отличие от предыдущих версий ОС Microsoft Windows, в семействе Windows XP системный реестр не имеет ограничений по объему. Для работы с системным реестром в операционной системе Microsoft Windows XP пользователю предлагается использовать встроенную утилиту Regedit. Для ее вызова перейдите в Пуск ->Выполнить и впишите имя утилиты (regedit).

Основываясь на иерархической системе, реестр предоставляет для работы максимально удобную форму, состоящую из разделов, подразделов, и параметров (ключей реестра).

Реестр Windows XP состоит из пяти главных разделов (рис.69):

· HKEY_CLASSES_ROOT (HKCR) — является подразделом HKEY_LOCAL_MACHINE\Software, параметры которого хранят информацию соответствия между приложениями и типами файлов, обеспечивая запуск необходимой программы во время открытия файлов с помощью проводника;

· HKEY_CURRENT_USER (HKCU) — является подразделом HKEY_USERS, настройки параметров которого соответствуют потребностям активного пользователя, выполнившего вход в систему;

· HKEY_LOCAL_MACHINE (HKLM) — хранит настройки персонального компьютера для всех пользователей; помимо этого в данной папке содержится информация об аппаратной конфигурации и программном обеспечении;

· HKEY_USERS (HKU) — содержит настройки профилей для всех пользователей Windows XP на персональном компьютере;

· HKEY_CURRENT_CONFIG (HKCC) — заключает в себе ссылки на подраздел HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Hardware Profiles\Current и содержит информацию о текущей конфигурации оборудования.

Рис. 69. Окно «Редактор реестра»

Значения ключей реестра (параметров) соответствуют определенному типу:

· REG_BINARY — двоичные данные (информация хранится в двоичном виде и отображается в шестнадцатеричном формате).

· REG_DWORD представляет собой целые числа размером в четыре байта и отображается в двоичном, шестнадцатеричном или десятичном форматах.

· REG_EXPAND_SZпредставляет собой строку данных переменной длины. REG_MULTI_SZ — многострочный текст, удобный для чтения.

· REG_SZ — текстовая строка фиксированной длины. REG_FULL_RESOURCE_DESCRIPTOR представляет собой последовательность вложенных массивов, с помощью которой хранятся списки ресурсов оборудования или драйверов.

Существует, по крайней мере, 8 способов внедрения программ через реестр:

1. HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN(рис.70)

Рис. 70. Первый способ внедрения программы через реестр

2. HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN(рис.71)

Рис. 71. Второй способ внедрения программы через реестр

3. HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RunOnce (рис.72)

Рис. 72. Третий способ внедрения программы через реестр

4. HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSIONMANAGER

  BootExecute = троян (рис.73)

Рис. 73. Четвертый способ внедрения программы через реестр

5. HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON\SHELL

(рис.74)

Рис. 74. Пятый способ внедрения программы через реестр

6. HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORE\USERSHELLFOLDERS\STARTUP = каталог с вирусом (рис.75)

Рис. 75. Шестой способ внедрения программы через реестр

7. HKCU\CONTROL\PANEL\DESKTOP\SCREENSAVEACTIVE = 1

SCRNSAVE = ТРОЯН

SCREENSAVETIMEOUT = 60(рис.76)

Рис. 76. Седьмой способ внедрения программы через реестр

8. HKLM\SOFTWARE\MICROSOT\WINDOWSNT\CURRENTVERSION\

WINDOWS\APPINT_DLL = ТРОЯН.DLL (рис.77)

Рис. 77. Восьмой способ внедрения программы через реестр

Закрытая программная среда

Администраторы могут использовать политику ограничения использования программ для установки разрешений и запрещений на выполнение программ пользователями. Используя эту политику, администратор может предотвратить выполнение нежелательных программ, в том числе и вредоносного программного обеспечения.