Hkcu software microsoft windows currentversion run что это

Уровень сложности
Средний

Время на прочтение
6 мин

Количество просмотров 3.7K

Основной задачей, которую необходимо решить вредоносному файлу сразу после запуска является закрепление в системе, то есть обеспечение возможно постоянной работы данного процесса в системе. То есть, злоумышленнику необходимо, чтобы процесс, с помощью которого он может получить доступ в систему (троян, бэкдор и т. д.) запускался бы автоматически при загрузке системы и работал во время всего сеанса работы системы. Существует несколько методов закрепиться в системе. В этой статье мы рассмотрим наиболее распространенные способы закрепления в ОС Windows, а также посмотрим, как некоторые из этих техник выглядят в отладчике. Будем считать, что для запуска нужного процесса злоумышленнику так или иначе необходимо запустить выполнимый файл.

Ветка Run

Начнем с наиболее известного места, где можно прописать автоматический запуск приложения при старте системы — реестра Windows. И прежде всего приложения, желающие стартовать вместе с ОС прописывают себя в ветки

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Для первого варианта нам необходимы права локального администратора. Для того, чтобы прописать автоматический запуск файла, необходимо добавить новое значение в ветку Run.

Однако, важно понимать, что манипуляции с данными ветками реестра также отслеживают и средства защиты. Так антивирус будет очень внимательно следить за тем, какие приложения собираются прописать свои файлы в эти ветки реестра. И попытка неизвестного ранее приложения прописаться в ветку Run может привести к срабатыванию антивируса.

Также, если вам необходимо один раз выполнить какой-либо файл. Например, вам необходимо прописать в системе сервис, то можно воспользоваться ключом RunOnce.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Если мы хотим выполнить файл один раз для конкретного пользователя, то необходимо прописать файл в ветке:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Однако, этими, наиболее известными ветками реестра возможности спрятаться в автозагрузку не ограничиваются. Так, за автозагрузку в профиле текущего пользователя отвечают ветки реестра показанные ниже.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Shared Tools\Msinfo

Посмотрим, как код, правящий реестр выглядит в отладчике.

Конечно, любой здравомыслящий вредонос постарается максимально скрыть от отладки как разделы памяти в которых указаны ветки реестра и записываемые значения, так и сами вызовы функций для работы с реестром. Но в представленном на скриншоте примере мы видим обращения к реестру: RegOpenKeyEx, RegCreateKey, RegCloseKey. По вызовам этих функций можно понять, что приложение в принципе работает с реестром. В случае, если вносятся правки в представленные выше ветки, то вероятнее всего мы имеем дело с вредоносом.

Сервисы в реестре

Еще одним способом поселиться в автозагрузку является использование системных служб – сервисов. Сервис (служба) – это приложение, автоматически исполняемое системой при запуске операционной системы Windows и выполняющиеся вне зависимости от статуса пользователя.

 Существует несколько режимов для служб:

• запрещён к запуску;

• ручной запуск (по запросу);

• автоматический запуск при загрузке компьютера;

• автоматический (отложенный) запуск;

• обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).

Соответственно, для того, чтобы осуществить автоматический запуск какого-либо выполнимого файла, нам необходимо прописать его как сервис. И здесь кроются некоторые сложности. Дело в том, что сервис – это, не совсем обычный выполнимый файл. Для его запуска недостаточно просто создать exe файл и запустить его. Вместо этого нам необходимо зарегистрировать сервис в системе и только потом его можно запускать.

На скриншоте ниже представлен фрагмент кода, в котором формируется набор значений в стеке (в том числе имя выполняемого файла и самого сервиса) и затем все это передается функции CreateService для создания сервиса.

После того, как сервис зарегистрирован в системе его можно запустить с помощью вызова функции OpenService.

Помимо использования функций ОС предназначенных непосредственно для работы с сервисами, для регистрации и запуска сервиса можно воспользоваться командой sc. В примере ниже мы создаем процесс, который запускает команду sc start NewServ. CreateProcess не единственная функция для запуска процессов. В одной из предыдущих статей по реверсингу мы использовали функцию WinExec для запуска калькулятора при реализации переполнения буфера.

В общем, не стоит забывать про такой простой способ работы с сервисами, как консольные команды.

И еще с сервисами можно работать через реестр. Для этого предназначена ветка

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\

В ней находятся разделы, описывающие работу каждого из сервисов, зарегистрированных в операционной системе.

На скриншоте показаны параметры сервиса DHCP. Как видно, в этой ветке имеются параметры, отвечающие за параметры запуска сервиса, аккаунт, от которого он запускается и собственно сам путь к выполнимому файлу. Таким образом, работу с сервисами можно организовать с помощью манипуляций с реестром.

Скрытый отладчик

Представленные выше способы регистрации в автозагрузке в большей или меньшей степени видны пользователю системы. Так запущенные сервисы можно легко увидеть в соответствующей оснастке, а ветки Run хорошо всем известны, и можно без труда проверить их содержимое.

Однако, в реестре есть менее известные ветки, в которые тоже можно подселить выполнимый файл. В данном случае речь пойдет не совсем об автозагрузке как таковой, но при желании здесь тоже можно организовать автозапуск.

Разработчики из Майкрософт очень любят оставлять себе лазейки в виде недокументированных возможностей. В частности, они предусмотрели функционал по автоматическому запуску отладчика для заданного приложения. Работает это следующим образом: в ветке реестра

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\

Мы создаем раздел с именем запускаемого приложения, а в этом разделе создаем параметр Debug в котором уже указываем выполнимый файл, запускаемый в реальности.

То есть, в примере на скриншоте при попытке запуска калькулятора у нас запустится некий prog.exe. Таким образом можно под видом одного приложения запустить другое. Можно к примеру подменить экранную клавиатуру (osk.exe) на командную строку (cmd.exe). В результате можно будет на заблокированном компьютере вызывать клавиатуру и получать командную строку, причем с правами System!

Небезопасные обновления

Продолжая тему реестра и размещения приложений в нем, мы можем поправить команды, которые выполняются при обновлении тех или иных компонентов. В ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

Указаны GUID установленных компонентов и для многих из них можно найти параметры StubPath и Version. Далее процитируем официальную документацию Майкрософт:

При входе пользователя система сравнивает содержимое разделов HKLM\Software\Microsoft\Active Setup\Installed Components и HKCU\Software\Microsoft\Active Setup\Installed Components. Для каждого раздела в HKLM должна быть копия с тем же GUID в HKCU. Дальше есть три варианта развития событий:

1.  Если копии нет, то выполняется команда, указанная в StubPath, после чего в HKCU создается раздел с тем же GUID и прочими параметрами.

2. Если копия есть, то сравнивается значение параметра Version. Если версия в HKCU младше, чем в HKLM, то задание отрабатывает повторно, после чего номер версии в HKCU обновляется.

3. Если же раздел с одинаковым GUID есть и в HKLM и в HKCU и номер версии у них совпадает, то значит компонент уже отработал для данного пользователя и запускать его не требуется.

Таким образом мы можем поиграться со значением StubPath и версиями для того, чтобы в итоге выполнить то, что нам нужно. По сути, здесь тоже можно реализовать автозагрузку.

Переселяем папки

Также с помощью реестра можно “перепрятать” разделы из меню Пуск. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Размещаются пути к различным компонентам, включая меню Автозагрузка. Соответственно, здесь мы тоже можем поменять значения параметров для того, чтобы запускать файлы из другого каталога.

Планировщик задач

Помимо реестра мы можем попробовать прописать свое приложение в XML файлы с описанием задач. В каталоге %WINDIR%\System32\Tasks находятся XML файлы в которых прописано выполнение тех или иных действий и расписание, по которому эти действия выполняются.

Помимо прочего, в них можно найти и те команды, которые должны выполняться в рамках этой задачи.

Таким образом мы получаем еще один вектор для закрепления в системе.

Заключение

В этой статье мы рассмотрели основные методы размещения выполнимых файлов в системе для автозагрузки. Знание этих методов может помочь в выявлении подозрительных активностей злоумышленников в системе.

О других инструментах для обеспечения безопасности можно узнать у экспертов в области ИБ, например на онлайн-курсах. Перед стартом обучения проходят открытые уроки от преподавателей курсов, на которых можно узнать об актуальных технологиях и задать интересующие вопросы экспертам.

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов — мочить гадов!

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

и

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Знание, где найти ветку реестра hkcu software microsoft windows currentversion run на компьютере, может быть полезным для пользователей, сталкивающихся с проблемами в работе системы или желающих настроить автозагрузку программ при старте Windows. В этой ветке реестра хранятся записи о программах, которые запускаются автоматически при включении компьютера.

Для того чтобы найти эту ветку, нужно выполнить несколько простых действий. В начале необходимо открыть Редактор реестра, нажав на клавишу Win+R и введя команду regedit. После этого откроется окно Редактора реестра.

В Редакторе реестра нужно перейти в следующую ветку: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Для этого нужно раскрыть папки и выбрать соответствующие ветки.

Важно помнить, что при работе с реестром нужно быть осторожным и быть уверенным в том, что вы знаете, что делаете. Неправильное редактирование реестра может привести к непредсказуемым последствиям и проблемам с компьютером. Поэтому перед любыми действиями с реестром рекомендуется сделать его резервную копию.

Найдя ветку hkcu software microsoft windows currentversion run, вы сможете просмотреть список программ, которые запускаются при старте Windows, и, при необходимости, отключить или удалить ненужные записи. Помимо стандартных программ, в эту ветку реестра могут быть добавлены и вредоносные программы, поэтому важно быть внимательным и следить за наличием подозрительных записей.

Раздел 1: Как найти ветку реестра hkcu software microsoft windows currentversion run на компьютере?

Ветка реестра hkcu software microsoft windows currentversion run содержит информацию о программных приложениях, которые запускаются автоматически при загрузке операционной системы Windows. Найти эту ветку можно следующим образом:

1. Откройте редактор реестра, нажав комбинацию клавиш Win + R и введя команду regedit.
2. В редакторе реестра перейдите к следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

В данной ветке содержатся записи со значениями, указывающими на исполняемые файлы программ, которые запускаются при загрузке операционной системы. В списках значений могут присутствовать названия программ, сокращенные имена или значения реестра, которые указывают на расположение исполняемого файла в системе.

Можно отключить запуск программ автоматически при загрузке системы, удалив или просто переименовав соответствующие значения реестра, или изменить значения, чтобы изменить параметры запуска программ. Однако перед внесением каких-либо изменений в реестр рекомендуется создать резервную копию реестра или экспортировать ветку, чтобы при необходимости можно было восстановить значения реестра.

Изменение значений в ветке реестра hkcu software microsoft windows currentversion run может быть полезным для управления запуском программ и повышения производительности системы, убрав ненужные и тормозящие автозагрузку приложения.

Раздел 2: Где можно найти информацию о программе, запущенной через hkcu software microsoft windows currentversion run?

Если вы хотите найти информацию о программе, запущенной через hkcu software microsoft windows currentversion run на вашем компьютере, вам понадобится выполнить несколько простых шагов. Вот где искать эту информацию:

• Откройте редактор реестра, нажав сочетание клавиш Win + R и введя команду regedit. Нажмите Enter, чтобы открыть редактор реестра.
• В редакторе реестра перейдите к следующему пути: HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
• В разделе Run вы найдете список всех программ, которые запускаются при загрузке операционной системы. Каждая программа представлена в виде записи с именем и значением.
• Прокрутите список, чтобы найти программу, которую вы ищете. Здесь вы можете найти информацию о пути к исполняемому файлу и другие связанные с ней параметры.

Имена и значения программ могут отличаться, поэтому обратите внимание на описания значений, чтобы определить, какую программу они представляют. Если вы не уверены, можете воспользоваться поиском в Интернете или обратиться к поддержке разработчика программы.

Раздел 3: Как удалить ненужную программу из hkcu software microsoft windows currentversion run?

Если вы обнаружили ненужную программу в разделе hkcu software microsoft windows currentversion run и хотите удалить ее, следуйте этим шагам:

Шаг 1: Откройте редактор реестра, нажав комбинацию клавиш Win + R, введите «regedit» и нажмите Enter.

Шаг 2: В редакторе реестра пройдите по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Шаг 3: В разделе Run вы увидите список программ, которые запускаются при каждом включении компьютера. Найдите ненужную программу, которую вы хотите удалить.

Шаг 4: Щелкните правой кнопкой мыши на выбранной программе и выберите «Удалить».

Шаг 5: Подтвердите удаление программы, нажав «Да».

Обратите внимание, что удаление программы из раздела hkcu software microsoft windows currentversion run может привести к некорректной работе системы или другим проблемам, если вы не уверены в безопасности удаления программы, лучше проконсультируйтесь с опытным пользователем или специалистом.

Раздел 4: Как определить, является ли программный ключ ветки hkcu software microsoft windows currentversion run вирусом?

Если вы заметили указанные признаки в местоположении программного ключа ветки hkcu software microsoft windows currentversion run, рекомендуется просканировать компьютер с помощью антивирусного программного обеспечения. Также рекомендуется обратиться к специалисту по компьютерной безопасности для дальнейшего анализа и удаления вредоносной программы, если она обнаружена.

Раздел 5: Как перезагрузить компьютер после изменения ветки hkcu software microsoft windows currentversion run?

После внесения изменений в ветку hkcu software microsoft windows currentversion run, вам может потребоваться перезагрузить компьютер, чтобы изменения вступили в силу. В этом разделе мы расскажем вам, как это сделать.

Существует несколько различных способов перезагрузки компьютера, и мы рассмотрим два из них:

После перезагрузки компьютера внесенные в ветку hkcu software microsoft windows currentversion run изменения должны вступить в силу. Если вы все правильно сделали, то после загрузки операционной системы вы должны увидеть результаты своих изменений.

Раздел 6: Как создать резервную копию ветки hkcu software microsoft windows currentversion run перед изменениями?

Прежде чем вносить изменения в ветку hkcu software microsoft windows currentversion run на своем компьютере, рекомендуется создать резервную копию этой ветки. Это позволит вам восстановить предыдущую версию реестра в случае нежелательных изменений или ошибок в процессе изменения ключей.

Для создания резервной копии ветки hkcu software microsoft windows currentversion run вы можете воспользоваться утилитой реестра Windows — «Редактором реестра». Вот пошаговая инструкция, как это сделать:

1. Нажмите комбинацию клавиш Win + R на клавиатуре, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в поле «Открыть» и нажмите клавишу «ОК». Откроется Редактор реестра.
3. Перейдите к ветке hkcu software microsoft windows currentversion run. Вы можете использовать левую панель Редактора реестра для навигации по структуре реестра.
4. Щелкните правой кнопкой мыши на ветку «run» и выберите «Экспорт».
5. Укажите место для сохранения резервной копии и задайте ей понятное имя файл
   

   Раздел 7: Где можно найти дополнительную информацию о ветке hkcu software microsoft windows currentversion run?

   Если вам требуется получить дополнительную информацию о ветке hkcu software microsoft windows currentversion run на вашем компьютере, вы можете обратиться к документации от Microsoft. На официальном веб-сайте компании Microsoft вы найдете подробное описание реестра Windows и его различных веток.

   Кроме того, вы можете найти множество статей и руководств, созданных сообществом пользователей Windows, которые делятся своими знаниями и опытом в области работы с реестром. Многие такие ресурсы доступны онлайн и содержат полезные советы, инструкции и примеры кода для работы с веткой hkcu software microsoft windows currentversion run.

   Еще одним источником информации может быть форумы и группы пользователей Windows. Здесь вы можете задать вопросы и обратиться за помощью к опытным пользователям, которые могут поделиться своими знаниями о ветке hkcu software microsoft windows currentversion run и помочь вам решить возникающие проблемы.

   • Официальный веб-сайт компании Microsoft;
   • Статьи и руководства сообщества пользователей;
   • Форумы и группы пользователей Windows.