HLEDAT

Háveď a databáza Registry

Lukáš Kosno, 8.1.2009 00:25 | Přečtěno: 2599x | Rubrika: Články | Kategorie:

Na začiatok je potrebné vedieť, čo je to Registry a na čo slúži.

Registry slúži na ukladanie nastavení (aký typ súboru v ktorom programe otvoriť, čo spustiť pri štarte OS, ale aj nastavenia jednotlivých programov – zapnutie detekcie spyware/adware pri antivíruse; atď.). Kedysi pri starých OS Windows sa nastavenia ukladali v tzv. INI súboroch. Každý jeden program mal takýto INI súbor a do neho si zapisoval vlastné nastavenia. Postupom času, keď softvéru a nastavení pribúdalo, logicky pribúdalo aj INI súborov. Tvorcovia OS sa teda rozhodli zbaliť všetky INI súbory do jednej veľkej databázy, ktorú nazvali Registry.

Čo má háveď spoločné s Registry?

Čo by to bola za háveď, keby sa spustila len raz alebo nezasiahla do chodu počítača? Pravdaže, sú aj také kúsky, ktoré majú za účel len prísť a zničiť (napr. Win32/KillWin.NAG). Väčšina sa však zapíše do kľúčov Registry a tak zabezpečí svoje opätovné spúšťanie.

Sú tri možnosti, ako môžeme modifikovať Registry:

  1. zmazanie kľúča alebo hodnoty

Pri tejto možnosti nie je o čom diskutovať. Spustí sa škodlivá aplikácia, ktorá má v sebe zadefinované výlučne len zmazanie hodnôt/kľúčov v Registry (aj keď sa väčšinou tento spôsob nevyužíva).

  1. pridanie kľúča (key) alebo hodnoty (value)

Práve táto možnosť umožní hávedí spúšťať sa. Treba len vedieť, ktoré kľúče sú tie, ktoré sú čítané na to, aby spustili v nich zapísané programy.

Prehľad najvyúžívanejších „startup“ kľúčov

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Je najbežnejším kľúčom pre automatické spúšťanie programov. Štandardne nie sú čítané v núdzovom režime. Ak zadáme pred hodnotu hviezdičku, hodnota je čítaná aj v núdzovom režime.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

Zahŕňa programy spustené pri určitých udalostiach (prihlásenie, odhlásenie, vypnutie, štart, šetrič). Pri niektorej zo zmienených udalostí sa Windows „pozrie“ do tejto vetvy a načíta potrebné DLL knižnice.

[HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\\RunServicesOnce]

Tieto kľúče sú určené na priame spúšťanie služieb po bootovaní operačného systému. Môžu bežať aj po prihlásení užívateľa, ale ich činnosť musí byť ukončená pred začatím čítania programov z vetvy HKEY_LOCAL_MAC­HINE\\…\\RunOn­ce.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

Tieto kľúče slúžia na priame spustenie služieb. Ich činnosť môže dokonca pokračovať aj po prihlásení užívateľa, ale musí byť dokončená pred čítaním kľúča HKEY_LOCAL_MAC­HINE\…\Run.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

Tieto kľúče sú určené pre použitie Setup aplikáciami. Položky z tohto kľúča sa spustia raz a potom sa z kľúča zmažú. Ak je v hodnote zadaný výkričník, položka nebude zmazaná až do dokončenia činnosti programu, inak je zmazaná pred spustením programu. Ide o dôležitú vec, pretože ak výkričník nie je použitý a program odkazuje na túto položku, nedokončí úspešne svoju úlohu, viac sa už nespustí, ak už je hodnota zmazaná. Všetky položky v tomto kľúči sa spúšťajú súčasne v nedefinovanom poradí. Nevýhodou je, že všetky programy zapísané v tomto kľúči musia byť ukončené predtým, ako všetky položky v kľúčoch HKEY_LOCAL_MAC­HINE\\…\\Run, HKEY_CURRENT_U­SER\\…\\Run, HKEY_CURRENT_U­SER\\…\\RunOn­ce a Startup Folders môžu byť načítané. Kľúče RunOnce sú ignorované v núdzovom režime operačných systémov 2000, XP a Vista. Nie sú podporované v operačnom systéme Windows NT 3.51

Startup adresáre

Windows XP
C:\Documents and Settings\All Users\Start Menu\Programs\Star­tup
Windows NT
C:\wont\Profi­les\All Users\Start Menu\Programs\Star­tup
Windows 2000
C:\Documents and Settings\All Users\\Start Menu\Programs\Star­tup

Tieto adresáre slúžia pre automatický štart programov. Platia pre všetkých užívateľov.

Win 9X, ME C:\windows\start menu\programs\star­tup\
Windows XP C:\\Documents and Settings\Login­Name\Start Menu\Programs\Star­tup

Platia len pre určité užívateľské konto.

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"

Nie je zvyčajne využívaný korektnými programami, ale po zapísaní hodnoty je možné ho využiť na automatické spustenie.

  1. editovanie hodnoty

Háveď hodnoty nezmaže, ale upraví ich na preddefinovanú podobu.

Veľa ľudom sa stáva, že majú problém so správcom úloh. Jeho voľba je po kliknutí pravým tlačítkom na hlavný panel neaktívna a po stlačení kombinácie Ctrl + Alt + Delete/Del operačný systém vypíše „Správca tohoto systému zakázal Správcu úloh“.

Riešenie spočíva len v dvoch malých neuveriteľných čísielkách – jednotke a nule (v šesťnástkovej číselnej sústave) a dvoch hodnotách v Registry typu DWORD.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="1"**

Ak je aspoň jedna hodnota nastavená na „1“, správca sa nespustí. Ak dáta oboch hodnôt zmeníte na „0“, správcu bez problémov spustíte.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"

Táto hodnota špecifikuje programy spustené práve po prihlásení užívateľa. Štandardne obsahuje hodnotu nastavenú pre spustenie súbora userinit.exe, ktorý načíta nastavenie užívateľského konta.\r\n\r\nŠtan­dardne je nastavená takto:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Často som sa stretol s pridaním odkazov najmä na súbor ntos.exe.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\Winlogon]
**"Shell"

Hodnota špecifikuje spustenie explorer.exe – pracovné prostredie Windows. Zraniteľnosť spočíva v tom, že je jednoduché pridať aj ďalšie súbory.

Štandardne je nastavená takto:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"

V AppInit_DLLs sú zapísané DLL knižnice, ktoré sú načítané spolu s knižnicou user32.dll. Veľa programov túto knižnicu používa, preto sú k nim načítané aj DLL-ky zapísané v tejto hodnote. Sú načítané veľmi skoro po štarte operačného systému.

Upozornenie: Mazaním/editáciou kľúčov/hodnôt v Registry môžete poškodiť svoj operačný systém až tak, že ho už nespustíte.


Podělte se s ostaními:


Podobné články:

Komentáře

komentar

mupfbgsf

16.4.2014 10:13

20

Jméno
Email nepovinné
Web nepovinné
Zpráva

Software, windows, hry.

Přejít na Security-Portal.cz