گرداب- امروزه بدافزارها برای آلودهکردن سیستمها و رسیدن به اهداف خود از روشهای مختلفی بهره میبرند میتوان گفت نحوه اجرا شدن بدافزار بعد از نصب بر روی سیستم مسئله مهمی است که باید مورد توجه کاربران قرار گیرد.
یکی از بنیادیترین این روشها، اجرای بدافزار به محض بالا آمدن سیستم عامل است در این روش بدافزار از قابلیت راهاندازی خودکار توسط ویندوز استفاده میکند.
به برنامههایی که با بالا آمدن ویندوز بصورت خودکار شروع به کار میکنند Autostart میگویند.
ویندوز دارای قابلیت Autostart میباشد، اغلب بدافزارها به صورت مخفیانه نصب میشوند که با هر بار اجرای ویندوز کاملا خودکار اجرا میشوند.
بنابراین لازم است به طور منظم مکانهایی که جاسوسافزارها و برنامههای مخرب باعث تغییر آنها میشود بررسی گردند.
نقاط ورود Autostart در ویندوز شامل رجیستری، فولدر Startup ، Win.ini و System.ini میباشد، ویروسها در تلاش هستند که با استفاده از این نقاط سیستم قربانی را آلوده سازند.
یک کاربر آگاه میتواند در هنگام انجام فعالیتهای مشکوک موارد زیر را مورد بررسی قرار داده و از اجرا شدن خودکار بدافزارها جلوگیری نماید.
درک این کلیدها و چگونگی استفاده از آنها در تجزیه و تحلیل و نحوه بهکارگیری آنها در بدافزارها بسیار اهمیت دارد.
ابتدا به کلیدهایی که در رجیستری این قابلیت را دارند میپردازیم:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\legalnoticetext
در رجیستری کلیدهای دیگری نیز وجود دارند که با تغییر در مقادیر آنها میتوان به قابلیتی همانند Autostart دست یافت، برخی از این کلیدها عبارتند از:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\Piffile\shell\open\command
HKEY_CLASSES_ROOT\Comfile\shell\open\command
HKEY_CLASSES_ROOT\Scrfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
قسمت دوم ویندوز که قابلیت Autostart دارد فولدر Startup است.
میتوان گفت راحتترین راه برای اجرای یک برنامه در هنگام شروع ویندوز این است که یک میانبر از آن را در داخل این فولدر قرار دهیم تا ویندوز در هنگام شروع آن را اجرا کند.
مسیر این فولدر به شرح زیر است:
%All Users%\Start Menu\Startup
%Current User%\Start Menu\Programs\Startup
%Default User%\Start Menu\Programs\Startup
قسمت سوم Autostart فایل Win.ini میباشد.
فایل Win.ini برای بارگذاری برنامههای کاربردی و پیکربندی تنظیمات در هنگام راهاندازی مورد استفاده قرار میگیرد.
این فایل در مسیر %WinDir% قرار گرفته است و دارای بخشهای مختلفی مانند windows، font ، files ، mail ، extensions، MCI Extensions.BAK، SciCalc و ... میباشد.
برای مثال در بخش Windows از عبارت Run یا load برای اجرا شدن برنامهها در هنگام راهاندازی ویندوز استفاده میشود.
[windows]
run=%Windows%\Sample.exe
آخرین قسمت، فایل System.ini میباشد.
این فایل نیز همانند Win.ini در مسیر %Windows% قرار دارد و دارای بخشهایی همچون Boot ، drivers ، mci ، driver۳۲ و ... میباشد.
[Boot]
Shell = Sample.exe
برای دیدن فایلهای Win.ini و System.ini و کلیدهای رجیستری میتوانید از دستور "MsConfig” در Run استفاده کنید.
میتوانید با بررسی متناوب قسمتهای ذکر شده فوق در هنگام بررسی فعالیت مشکوک سیستم، مانع از اجرای بدافزارهای دارای قابلیت Autostart و بروز خسارتهای ناشی از اجرای بدافزار شوید.
عدم آگاهی از این موضوع و عدم بررسی این نقاط در ویندوز میتواند آثار مخرب غیر قابل جبرانی برای کاربران دربرداشته باشد.
شاید بررسی این ۴ قسمت بیش از چند دقیقه زمان نیاز نداشته باشد اما در مواقعی که بدافزار به سیستم آسیب میزند و راهی جز تعویض سیستم عامل وجود ندارد چندین برابر این زمان باید صرف این موضوع گردد.
توجه داشته باشید که انجام این موارد به ظاهر ساده در امنیت سیستم از اهمیت زیادی برخوردار است.
منبع: ایتنا