سلسلة "ما ﻻ يريد الهاكر منك أن تعرفه"
تعريف ببعض المصطلحات :
الإقـﻻع أوStartup : هو جعل أي برنامج يشتغل
مباشرة وتلقائيا مباشرة عند تسجيل الدخول الى الويندوز
عبر اسم المستخدم الخاص بك
_______________
صـﻻحيات الـAdmin ميزة جديدة تم إضافتها الى
ويندوز vista فما فوق ...
و تسمى أيضا (UAC) يمكن تشغيلها و تعطيلها
الأمر إختياري و لكن إذا تم تشغيل الخاصية فإن المستخدم يتلقى إشعارا
من حين لآخر عندما يكون برنامج ما على وشك استعمال
صـﻻحيات للتغيير على ملفات النظام أو إضافة أشياء جديدة
...
نرجع الآن الى موضوعنا :
مهما كان نوع التروجان أوالدودة أوباكدوور أومالوير
أوتوولبار أوفيروس أو أي ملف آخر ضار ... فإنه يحتاج الى
الإقـﻻع مع الويندوز (startup) لكي يعمل بصفة دائمة
إذن الآن عرفنا الصفةالمشتركة بين جميع الملفات الخبيثة
وهي التثبيت في مسارات الإقـﻻع ... و لإضافة أي ملف الى مسار الإقـﻻع
هناك مسارات معينةو هي كالتالي :
StartupDir و هو مجلد في النظام ويندوز يقوم بفتح أي
ملف مُضاف الى هذا المسار مرة واحد عند تسجيل الدخول الى اسم المستخدم
و مسار هذا الملف كالتالي :
بالنسبة لويندوز xp& vista:
C:\Documents and Settings\(user)\Start Menu\Programs\Startup
(user) هي اسم المستخدم الخاص بك
بالنسبة لويندوز 7 فما فوق هناك مسارين :
C:\Users\(user)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
المسار الثاني :
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
أشير إلى أن إضافة ملف أو إختصارالى هذه المسارات
ﻻ تحتاج الى صـﻻحياتAdmin
_____________________________________________
المجلدات ليس الطريقة الوحيدة
لجعل برنامج يشتغل مع إقـﻻع الويندوز
بل هناك طريقة إضافة مفاتيح
في الريجيستري (regedit) مسارها كالتالي :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\\Windows\CurrentVersion\RunOnce
______________________
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
Ex يمكن استبدالها بأي إسم آخر
هذه المسارات المعروفة و المشهورة و المستعملة بكثرة
لأن إضافة قيمة الى هذه المسارات
ﻻ يحتاج الى صـﻻحياتAdmin
________________________
المسارات الأخرى : (تحتاج لصـﻻحياتAdmin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
____________________________
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
Ex يمكن استبدالها بأي إسم آخر
____________________________
أريد الإشارة الى أن أي قيمة أو مفتاح تُضاف
الى هذه المسارات أو المجلدات المذكروة
أعﻻه فإنها تظهر في قائمة msconfig => startup
أو بالنسبة لويندوز8 فما فوق taskmgr => startup
لكن هناك مسارين في الريجيستري (regedit)
إذا أضفنا اليهما قيمة ﻻ تظهر في msconfig
وﻻ في taskmgr ... هذين لمسارين :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
مـﻻحظة : إضافة قيمة في هذين المسارين
يحتاجان الى صﻻحيات الـAdmin
سيقول أحدكم ماهو الفرق بينLOCAL_MACHINE وCURRENT_USER
LOCAL_MACHINE تعني جميع المستخدمين
CURRENT_USER تعني المستخدم الحالي مثﻻ لو الويندوز الخاص بك فيه عدة مستخدمين
مثﻻ omar و naji وكان الحساب الشغال هو omar إذا أضفنا قيمة لتشغيل الفيروس الى
CURRENT_USERسيشتغل الفيروس فقط عند تسجيل الدخول باسم المستخدم omar
أما إذا أضفناه الىLOCAL_MACHINE سيشتغل في جميع المستخدمين ... هذا هو الفرق
موضوع من طرف HabiBiGBosS / startimes
إرسال تعليق