-
добавить в избранное
Быстро, тихо и надежно
4 декабря 2019
Начнем с маленького трюка. Вам наверняка знакомы запросы операционной системы на предмет того, какую программу использовать для запуска тех или иных типов файлов. Ассоциации – удобная вещь: программы по умолчанию можно менять на лету и даже в зависимости от каких-то условий. Но то же самое могут проделать и хакеры!
В реестре операционной системы Windows есть ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Он позволяет назначать программам отладчики, которые будут автоматически запускаться при старте самой программы. Например, если в реестре Windows создать ключ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ххх.exe, а в нем – строковый параметр со значением "Debugger"="C:\yyy.exe", то при попытке запуска файла xxx.exe вместо него будет запущен файл yyy.exe. Ну а yyy.exe, выполнив свою работу, запустит xxx.exe.
Хотите вместо диспетчера задач запустить калькулятор?
Прописываем в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe строковый (REG_SZ) параметр Debugger со значением "C:\Windows\System32\calc.exe"
Так же поступают и вредоносные программы. Беглый поиск сразу выдает пример:
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'
Или так:
Затем перезагружаем систему и на экране входа в Windows пять раз нажимаем клавишу SHIFT, в результате чего запускается окно командной строки, которым мы заменили программу sethc.exe. Вся прелесть в том, что командная строка запускается с правами SYSTEM, тем самым мы получаем полный доступ к компьютеру и можем запустить что угодно, хоть оболочку Explorer!
Антивирусная правДА! рекомендует
Естественно, совершить подобное действие вредоносная программа может только при отключенном антивирусе. Как видите, для внесения изменений в систему нужно совсем немного времени. Вредоносное ПО успеет это сделать, даже если вы отключили антивирус «всего на секундочку». Вот почему антивирус отключать нельзя. Даже на старте системы, когда так хочется все ускорить!
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Геральт
21:56:07 2019-12-05
Шалтай Александр Болтай
22:56:35 2019-12-04
razgen
22:56:15 2019-12-04
anatol
21:32:24 2019-12-04
orw_mikle
20:56:04 2019-12-04
Татьяна
20:12:03 2019-12-04
L1t1um
19:58:10 2019-12-04
matt1954
18:43:02 2019-12-04
admin_29
18:33:19 2019-12-04
vinnetou
18:29:06 2019-12-04
SGES
16:56:29 2019-12-04
Lex
15:47:35 2019-12-04
I46
15:05:32 2019-12-04
kozinka.ru
14:56:09 2019-12-04
Toma
14:07:58 2019-12-04
Lenba
14:07:08 2019-12-04
Toma
14:06:21 2019-12-04
Любитель пляжного футбола
13:22:01 2019-12-04
Lex
13:19:07 2019-12-04
Xamanaptr
12:24:39 2019-12-04
Masha
12:23:19 2019-12-04
Денисенко Павел Андреевич
12:14:17 2019-12-04
Денисенко Павел Андреевич
12:12:21 2019-12-04
gebrakk
12:04:41 2019-12-04
Alexander
11:09:53 2019-12-04
Аналогично и с компьютером. На Microsoft-овский "Защитник Windows" надейся, а Dr.Web Security Space никогда не отключай. Ведь система такая уязвимая... и доверчивая... и отрешённая "от мира сего"... Уткнулась в свой реестр, медитирует и не смотрит по сторонам. А вокруг её всякие опасные цифровые сущности витают. Перемешались в её "голове" ассоциации и фантазии, что можно, а чего делать не следует. Уткнулась в значение "Debugger" и пошла в разнос...
А с Dr.Web Security Space всегда спокойно и надёжно. И в радости, и в печали, пока форс-мажор не разлучит нас...
Dmur
10:46:43 2019-12-04
Zserg
10:18:47 2019-12-04
I23
10:00:03 2019-12-04
Петрашкуль
09:40:45 2019-12-04
Korney
09:40:38 2019-12-04
P.S. Пользовался и тем, и другим, - могу сравнивать.
marisha-san
09:38:40 2019-12-04
DoctorW
09:01:30 2019-12-04
dyadya_Sasha
09:00:51 2019-12-04
НЕ ОТКЛЮЧАТЬ! ОПАСНО ДЛЯ ЖИЗНИ!
для жизни ПК естественно.)
eaglebuk
08:39:47 2019-12-04
sgolden
08:24:59 2019-12-04
Vlad X
08:24:55 2019-12-04
Неуёмный Обыватель
08:23:51 2019-12-04
ClassiC
08:11:21 2019-12-04
В моём случае на психолога и программиста - в уюте и защите с(_)
На качалке и проруби навёрстываю щас : )
Статейка занятная довольно таки - ваще капец как хрупок наш мир и его имущество
Обитатели его ну настолько вредные ....
maestro431
08:05:38 2019-12-04
vkor
08:05:16 2019-12-04
Tanya086
07:27:07 2019-12-04
ka_s
07:20:12 2019-12-04
Пaвeл
07:19:35 2019-12-04
Неуёмный Обыватель
06:42:56 2019-12-04
Sasha50
06:20:54 2019-12-04
Саня
06:07:46 2019-12-04
Sergey
06:01:04 2019-12-04
EvgenyZ
05:49:18 2019-12-04
tigra
05:42:04 2019-12-04
cruise
05:39:09 2019-12-04