کد QR مطلبدریافت لینک صفحه با کد QR

Autostart چیست؟

سايت خبری ايتنا , 10 آبان 1391 ساعت 10:45

ایتنا- چند نکته به ظاهر ساده،‌ اما در اصل بسیار مهم، می‌تواند شما را تاحد ممکن از درگیر شدن با بدافزارها دور نگاه دارد. این مقاله را تا انتها بخوانید.




آزمایشگاه تحلیل بدافزار ایمن  - امروزه بدافزارها برای آلوده‌کردن سیستم‌ها و رسیدن به اهداف خود از روش‌های مختلفی بهره می‌برند می‌توان گفت نحوه اجرا شدن بدافزار بعد از نصب بر روی سیستم مسئله مهمی است که باید مورد توجه کاربران قرار گیرد.

یکی از بنیادی‌ترین این روش‌ها اجرای بدافزار به محض بالا آمدن سیستم عامل است در این روش بدافزار از قابلیت راه‌اندازی خودکار توسط ویندوز استفاده می‌کند. 

به برنامه‌هایی که با بالا آمدن ویندوز بصورت خودکار شروع به کار می‌کنند Autostart می‌گویند. 

ویندوز دارای قابلیت Autostart می‌باشد، اغلب بدافزارها به صورت مخفیانه نصب می‌شوند که با هر بار اجرای ویندوز کاملا خودکار اجرا می‌شوند.
 
بنابراین لازم است به طور منظم مکان‌هایی که جاسوس‌افزارها و برنامه‌های مخرب باعث تغییر آنها می‌شود بررسی گردند. 

نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup، Win.iniو System.ini می‌باشد، ویروس‌ها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.

یک کاربر آگاه می‌تواند در هنگام انجام فعالیت‌های مشکوک موارد زیر را مورد بررسی قرار داده و از اجرا شدن خودکار بد افزارها جلوگیری نمایید. 

درک این کلیدها و چگونگی استفاده از آنها در تجزیه و تحلیل و نحوه به کارگیری آنها در بدافزارها بسیار اهمیت دارد. 

ابتدا به کلیدهایی که در رجیستری این قابلیت را دارند می پردازیم :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticetext

در رجیستری کلیدهای دیگری نیز وجود دارند که با تغییر در مقادیر آنها می‌توان به قابلیتی همانند Autostart دست یافت، برخی از این کلیدها عبارتند از:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\Piffile\shell\open\command
HKEY_CLASSES_ROOT\Comfile\shell\open\command
HKEY_CLASSES_ROOT\Scrfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command

قسمت دوم ویندوز که قابلیت Autostart دارد فولدر Startup است. 

می‌توان گفت راحت‌ترین راه برای اجرای یک برنامه در هنگام شروع ویندوز این است که یک میانبر از آن را در داخل این فولدر قرار دهیم تا ویندوز در هنگام شروع آن را اجرا کند. 

مسیر این فولدر به شرح زیر است:
%All Users%\Start Menu\Startup
%Current User%\Start Menu\Programs\Startup
%Default User%\Start Menu\Programs\Startup

قسمت سوم Autostart فایل Win.ini می‌باشد.
فایل Win.ini برای بارگذاری برنامه‌های کاربردی و پیکربندی تنظیمات در هنگام راه‌اندازی مورد استفاده قرار می‌گیرد. 

این فایل در مسیر %WinDir% قرار گرفته است و دارای بخش‌های مختلفی مانند windows، font، files ، mail ، extensions، MCI Extensions.BAK، SciCalc و ... می‌باشد.
 
برای مثال در بخش Windows از عبارت Run یا load برای اجرا شدن برنامه‌ها در هنگام راه‌اندازی ویندوز استفاده می‌شود. 

در بخش Windows از عبارت Run یا load برای اجرا شدن برنامه‌ها در هنگام راه‌اندازی ویندوز استفاده می‌شود.

[windows]
run=%Windows%\Sample.exe

آخرین قسمت، فایل System.ini می‌باشد.
این فایل نیز همانند Win.ini در مسیر %Windows% قرار دارد و دارای بخش‌هایی همچون Boot، drivers، mci، driver۳۲ و ... می‌باشد.
[Boot]
Shell = Sample.exe

برای دیدن فایل‌های Win.ini و System.ini و کلیدهای رجیستری Run می‌توانید از دستور “MsConfig” در Run استفاده کنید. 

می‌توانید با بررسی متناوب قسمت‌های ذکر شده فوق در هنگام بررسی فعالیت مشکوک سیستم، مانع از اجرای بدافزارهای دارای قابلیت Autostart و بروز خسارت‌های ناشی از اجرای بدافزار شوید. 

عدم آگاهی از این موضوع و عدم بررسی این نقاط در ویندوز می‌تواند آثار مخرب غیر قابل جبرانی برای کاربران در بر داشته باشد.

شاید بررسی این ۴ قسمت بیش از چند دقیقه زمان نیاز نداشته باشد اما در مواقعی که بدافزار به سیستم آسیب می‌زند و راهی جز تعویض سیستم عامل وجود ندارد چندین برابر این زمان باید صرف این موضوع گردد.

توجه داشته باشید که انجام این موارد به ظاهر ساده در امنیت سیستم از اهمیت زیادی برخوردار است.


کد مطلب: 24178

آدرس مطلب: https://www.itna.ir/article/24178/autostart-چیست

ايتنا
  https://www.itna.ir