Начальная загрузка Выполняется

Вкладка Boot Execute показывает Вам исполнимые программы режима работы в собственной системе команд Windows, которые запускаются сеансовым администратором (Smss.exe) во время системной начальной загрузки. BootExecute обычно включает задачи, такие как проверка жесткого диска и восстановление (Autochk.exe), которое не может быть выполнено, в то время как Windows работает. Выполнение, SOInitialCommand, и записи SetupExecute никогда не должны ­заполняться после того, как Windows был установлен. Следующие списки ключи, которые выводятся на экран на вкладке Boot Execute.

Налеты изображения

Налеты изображения - термин, который я использую для ASEPs, которые выполняют различную программу от того, который Вы определяете и ожидаете работать. Вкладка Image Hijacks выводит на экран три типа этих перенаправлений:

■                exefile. Изменения к ассоциации.exe или.cmd типов файла с исполнимой командой. Пользовательские интерфейсы ассоциации файла в Windows никогда не представляли способ изменить ассоциацию.exe или.cmd типов файла, но они могут быть изменены в реестре. Отметьте, что есть и версии в масштабе всей системы этих ASEPs.

■                Команда Processor\Autorun. Командная строка, которая выполняется всякий раз, когда новое Cmd.exe экземпляр запускается. Команда работает в пределах контекста нового экземпляра Cmd. exe. Есть разновидность в масштабе всей системы и в расчёте на пользователя, так же как отдельная версия для 32-разрядного Cmd.exe на 64-разрядном Windows.

■                Опции Выполнения Файла изображения (IFEO). Подключи этого расположения реестра (и его эхо в 64-разрядных версиях Windows) используются во многих внутренних и недокументированных целях. Одна цель для подключей IFEO, которая была задокументирована, является возможностью определить альтернативную программу, чтобы запуститься всякий раз, когда определенное приложение запускается. Создавая подключ, названный по имени имени файла исходной программы и "Отладчика", оценивают в пределах того ключа, который определяет исполнимый путь к альтернативной программе, альтернативная программа запускается вместо этого и получает исходный путь программы и ­командную строку на ее командной строке. Исходная цель этого механизма была для альтернативной программы, чтобы быть отладчиком и для нового процесса, который будет запущен тем отладчиком, вместо того, чтобы будет иметь присоединение отладчика к процессу позже, после того, как его код запуска уже работал. Однако, нет никакого требования, что альтернативная программа фактически быть отладчиком, ни что она даже смотрит на командную строку, которую передают к этому. Фактически, этот механизм - то, как Проводник Процесса (описал в Главе 3, "Проводник Процесса") заменяет Диспетчер задач.

Следующий список показывает регистрационные ключи, соответствующие этим ASEPS, которые показывают на вкладке Image Hijacks.

AppInit

Идея позади DLL AppInit, на которые, конечно, походят хорошая идея разработчикам программного обеспечения, которые включили это в Windows NT 3.1. Определите один или более DLL в регистрационном ключе Appinit_Dlls, и те DLL будут загружены в каждый процесс, который загружается User32.dll (то есть, фактически все процессы Windows пользовательского режима). Ну, что могло пойти не так, как надо с этим?

■                DLL AppInit загружаются в процесс во время инициализации User32's — то есть, в то время как ее функция DllMain выполняется. Разработчикам явно говорят не загрузить другие DLL в пределах DllMain. Это может привести к тупикам и не в порядке загружается, который может привести к катастрофическим отказам приложения. И все же здесь, DLL AppInit "функция" делает точно это. И да, который вел, чтобы зайти в тупик и катастрофические отказы приложения.

■                DLL, который автоматически загружается в каждый процесс на компьютере, походит на победителя, если Вы пишете вредоносное программное обеспечение. Хотя AppInit использовался в законном (но дезинформирован), программное обеспечение, он часто используется вредоносным программным обеспечением.

Из-за этих проблем DLL AppInit осуждаются и отключаются по умолчанию в Windows Vista и более новые. В целях обратной совместимости возможно повторно включить функциональности DLL AppInit, но это не рекомендуется.

KnownDLLs

KnownDLLs помогает улучшить производительность системы, гарантируя, что все процессы Windows используют ту же самую версию определенных DLL, вместо того, чтобы выбрать их собственное из различных расположений файла. Во время запуска сеансовый администратор отображает DLL, перечисленные в HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls в память как названные объектами раздела. Когда новый процесс загружается и должен отобразить эти DLL, он использует существующие разделы вместо того, чтобы искать файловую систему другую версию DLL.

 

Вкладка Autoruns KnownDLLs должна содержать только DLL Windows поддающиеся проверке. На 64-разрядных версиях Windows вкладка KnownDLLs перечисляет один ASEP, но записи файла дублируются и для 32-разрядных и для 64-разрядных версий DLL в папках, определенных значениями DllDirectory и DllDirectory32 в регистрационном ключе.

Проверять, что вредоносное программное обеспечение не удалило запись из этого ключа так, чтобы это могло загрузить свою собственную версию системного DLL, сохранить автовыполнения, следует из подозрительной системы, и сравните это со следствиями известного - хороший экземпляр той же самой операционной системы. См., что "Сохранение и Сравнение Результатов" разделяют позже в этой главе для получения дополнительной информации.

Winlogon

Вкладка Winlogon выводит на экран записи, которые сцепляются в Winlogon.exe, который управляет пользовательским интерфейсом входа в систему Windows. На Windows XP и Windows Server 2003, они могут включать интерфейс DLL ДЖИНЫ и пакеты уведомления Winlogon. Те интерфейсы были удалены в Windows Vista, который представлял Учетный интерфейс Провайдера.

Вкладка Winlogon также включает сконфигурированную экранную заставку пользователя, которая запускается Winlogon.exe после неактивности.

Следующий список определяет регистрационные ключи, которые показывают на вкладке Winlogon.

Провайдеры Winsock

Windows Sockets (Winsock) является расширяемым API на Windows, потому что третьи стороны могут добавить провайдера транспортной службы, который соединяет интерфейсом с Winsock с другими протоколами или уровнями сверху существующих протоколов, чтобы обеспечить функциональность, такую как проксирование. Третьи стороны могут также добавить поставщика услуг пространства имен, чтобы увеличить средства разрешения имени Винсока. ­Поставщики услуг включают Winsock при использовании интерфейса поставщика услуг ­Winsock (SPI). Когда провайдер транспортной службы регистрируется в Winsock, Винсок использует провайдера транспортной службы, чтобы реализовать функции сокета, такие как подключение и принять, для типов адреса, что провайдер указывает, что это реализует. Нет никаких ограничений на то, как провайдер транспортной службы реализует функции, но реализация обычно включает передачу с транспортным драйвером в режиме ядра.

Вкладка Winsock перечисляет провайдеров, зарегистрированных на системе, включая тех, которые встраиваются в Windows. Можно скрыть последнюю группу, включая Записям Windows Hide и Проверить Подписи Кода, чтобы сосредоточиться на записях, которые, более вероятно, будут вызывать проблемы.

 

Мониторы печати

Записи, перечисленные на вкладке Print Monitors, являются DLL, которые конфигурируются в подключах HKLM\System\CurrentControlSet\Control\Print\Monitors. Эти DLL загружаются в службу Spooler, которая работает как Локальная Система.

Отметьте Одну из наиболее распространенных проблем, которая влияет на печать spooler, неправильно себя ведет или плохо кодировал сторонние мониторы порта. Хороший первый шаг в поиске и устранении неисправностей печати spooler проблемы должен отключить сторонние мониторы порта, чтобы видеть, сохраняется ли проблема.

Провайдеры LSA

Эта категория автоматических запусков включает пакеты, которые определяют или расширяют пользовательскую аутентификацию для Windows через Власти Локальной защиты (LSA). Если Вы не установили сторонние пакеты аутентификации, этот список должен содержать только Windows записи поддающиеся проверке. DLL, перечисленные в этих записях, загружаются Lsass.exe или Winlogon.exe и выполняются как Локальная Система.

SecurityProviders ASEP, который также показывают на этой вкладке списки, зарегистрировал криптографических ­провайдеров. DLL, перечисленные в этом ASEP, загружаются во многие привилегированные и стандартные пользовательские процессы, таким образом, этот ASEP был предназначен как вектор персистентности вредоносного программного обеспечения. (Этот ASEP действительно не связывается с LSA, за исключением того, что, как LSA, это представляет связанную с безопасностью функциональность.)

 

 

 

Сетевые Провайдеры

Вкладка Network Providers перечисляет установленных провайдеров, обрабатывающих сетевые коммуникации, которые конфигурируются в HKLM\System\CurrentControlSet\Control\NetworkProvider\Order. На настольной операционной системе Windows, например, эта вкладка включает провайдеров по умолчанию, которые обеспечивают доступ к SMB (файл и печать) серверы, Microsoft RDP (Терминальные Службы/Удаленный рабочий стол) серверы, и доступ к серверам WebDAV. Дополнительные провайдеры часто видимы в этом списке, если у Вас есть более неоднородные сетевые или дополнительные типы серверов, с которыми должен соединиться Windows. Все записи в этом списке должны быть поддающимися проверке.