امروزه بدافزارها برای آلودهکردن سیستمها و رسیدن به اهداف خود از روشهای مختلفی بهره میبرند میتوان گفت نحوه اجرا شدن بدافزار بعد از نصب بر روی سیستم مسئله مهمی است که باید مورد توجه کاربران قرار گیرد.
یکی از بنیادیترین این روشها، اجرای بدافزار به محض بالا آمدن سیستم عامل است در این روش بدافزار از قابلیت راهاندازی خودکار توسط ویندوز استفاده میکند.
به برنامههایی که با بالا آمدن ویندوز بصورت خودکار شروع به کار میکنند Autostart میگویند.
ویندوز دارای قابلیت Autostart میباشد، اغلب بدافزارها به صورت مخفیانه نصب میشوند که با هر بار اجرای ویندوز کاملا خودکار اجرا میشوند.
بنابراین لازم است به طور منظم مکانهایی که جاسوسافزارها و برنامههای مخرب باعث تغییر آنها میشود بررسی گردند.
نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup ، Win.ini و System.ini میباشد، ویروسها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.
یک کاربر آگاه میتواند در هنگام انجام فعالیتهای مشکوک موارد زیر را مورد بررسی قرار داده و از اجرا شدن خودکار بدافزارها جلوگیری نماید.
درک این کلیدها و چگونگی استفاده از آنها در تجزیه و تحلیل و نحوه بهکارگیری آنها در بدافزارها بسیار اهمیت دارد.
ابتدا به کلیدهایی که در رجیستری این قابلیت را دارند میپردازیم:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticetext
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\Piffile\shell\open\command
HKEY_CLASSES_ROOT\Comfile\shell\open\command
HKEY_CLASSES_ROOT\Scrfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
قسمت دوم ویندوز که قابلیت Autostart دارد فولدر Startup است.
مسیر این فولدر به شرح زیر است:
%Current User%\Start Menu\Programs\Startup
%Default User%\Start Menu\Programs\Startup
قسمت سوم Autostart فایل Win.ini میباشد.
این فایل در مسیر %WinDir% قرار گرفته است و دارای بخشهای مختلفی مانند windows، font ، files ، mail ، extensions، MCI Extensions.BAK، SciCalc و ... میباشد.
برای مثال در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
run=%Windows%\Sample.exe
آخرین قسمت، فایل System.ini میباشد.
Shell = Sample.exe
برای دیدن فایلهای Win.ini و System.ini و کلیدهای رجیستری میتوانید از دستور "MsConfig” در Run استفاده کنید.
عدم آگاهی از این موضوع و عدم بررسی این نقاط در ویندوز میتواند آثار مخرب غیر قابل جبرانی برای کاربران دربرداشته باشد.
شاید بررسی این 4 قسمت بیش از چند دقیقه زمان نیاز نداشته باشد اما در مواقعی که بدافزار به سیستم آسیب میزند و راهی جز تعویض سیستم عامل وجود ندارد چندین برابر این زمان باید صرف این موضوع گردد.
توجه داشته باشید که انجام این موارد به ظاهر ساده در امنیت سیستم از اهمیت زیادی برخوردار است