Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (83)
  • добавить в избранное
    Добавить в закладки

Быстро, тихо и надежно

Прочитали: 2144 Комментариев: 54 Рейтинг: 71

Начнем с маленького трюка. Вам наверняка знакомы запросы операционной системы на предмет того, какую программу использовать для запуска тех или иных типов файлов. Ассоциации – удобная вещь: программы по умолчанию можно менять на лету и даже в зависимости от каких-то условий. Но то же самое могут проделать и хакеры!

В реестре операционной системы Windows есть ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Он позволяет назначать программам отладчики, которые будут автоматически запускаться при старте самой программы. Например, если в реестре Windows создать ключ HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ххх.exe, а в нем – строковый параметр со значением "Debugger"="C:\yyy.exe", то при попытке запуска файла xxx.exe вместо него будет запущен файл yyy.exe. Ну а yyy.exe, выполнив свою работу, запустит xxx.exe.

Хотите вместо диспетчера задач запустить калькулятор?

Прописываем в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe строковый (REG_SZ) параметр Debugger со значением "C:\Windows\System32\calc.exe"

Так же поступают и вредоносные программы. Беглый поиск сразу выдает пример:

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра

  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'

Источник

Или так:

Затем перезагружаем систему и на экране входа в Windows пять раз нажимаем клавишу SHIFT, в результате чего запускается окно командной строки, которым мы заменили программу sethc.exe. Вся прелесть в том, что командная строка запускается с правами SYSTEM, тем самым мы получаем полный доступ к компьютеру и можем запустить что угодно, хоть оболочку Explorer!

#drweb

Источник

#Windows #антивирус #безопасность

Dr.Web рекомендует

Естественно, совершить подобное действие вредоносная программа может только при отключенном антивирусе. Как видите, для внесения изменений в систему нужно совсем немного времени. Вредоносное ПО успеет это сделать, даже если вы отключили антивирус «всего на секундочку». Вот почему антивирус отключать нельзя. Даже на старте системы, когда так хочется все ускорить!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: