Создание приложения AutoRun-Enabled
Создание приложения с поддержкой автозапуска — это простая процедура. В этом разделе в качестве примера используется компакт-диск (это был первый носитель, реализующий эту технологию), но на сегодняшний день существует множество различных типов носителей, которые могут использовать его.
Чтобы включить автозапуск в приложении, необходимо просто включить два основных файла:
- Файл Autorun.inf
- Запускаемое приложение
Когда пользователь вставляет диск в дисковод компакт-дисков на компьютере, совместимом с автозапуском, система немедленно проверяет, есть ли на диске файловая система персонального компьютера. Если это так, система ищет файл с именем Autorun.inf. В этом файле указывается приложение установки, которое будет выполняться, а также различные необязательные параметры. Запускающее приложение обычно устанавливает, удаляет, настраивает и, возможно, запускает приложение.
- Создание файла Autorun.inf
- Раздел [DeviceInstall]
- Связанные темы
Создание файла Autorun.inf
Autorun.inf — это текстовый файл, расположенный в корневом каталоге компакт-диска, содержащего приложение. Его основная функция — предоставить системе имя и расположение программы запуска приложения, которая будет запускаться при вставке диска.
Файлы Autorun.inf не поддерживаются в Windows XP для дисков, возвращающих DRIVE_REMOVABLE из GetDriveType.
Файл Autorun.inf также может содержать необязательные сведения, в том числе:
- Имя файла, содержащего значок, который будет представлять дисковод компакт-дисков приложения. Этот значок будет отображаться windows Обозреватель вместо значка стандартного диска.
- Дополнительные команды для контекстного меню, которое отображается, когда пользователь щелкает правой кнопкой мыши значок компакт-диска. Можно также указать команду по умолчанию, которая выполняется, когда пользователь дважды щелкает значок.
Файлы Autorun.inf похожи на файлы .ini. Они состоят из одного или нескольких разделов, каждый из которых возглавляется именем, заключенным в квадратные скобки. Каждый раздел содержит ряд команд, которые будут выполняться оболочкой при вставке диска. В настоящее время для файлов Autorun.inf определены два раздела.
- Раздел [autorun] содержит команды автозапуска по умолчанию. Все файлы Autorun.inf должны иметь раздел [autorun] .
- Необязательный раздел [autorun.alpha] можно включить для систем, работающих на компьютерах с RISC. Когда диск вставляется в дисковод компакт-дисков в системе на основе RISC, оболочка будет выполнять команды в этом разделе, а не в разделе [autorun] .
Сначала оболочка проверяет наличие раздела, относяющегося к конкретной архитектуре. Если он не находит его, используется информация из раздела [autorun] . После того как оболочка находит раздел, она игнорирует все остальные, поэтому каждый раздел должен быть автономным.
Каждый раздел содержит ряд команд, определяющих, как выполняется операция автозапуска. Доступно пять команд.
Get-Help | Описание |
---|---|
defaulticon | Указывает значок по умолчанию для приложения. |
значок | Указывает путь и имя файла значка конкретного приложения для дисковода компакт-дисков. |
open | Указывает путь и имя файла запускаемого приложения. |
useautorun | Указывает, что при поддержке должны использоваться функции автозапуска версии 2. |
Оболочки | Определяет команду по умолчанию в контекстном меню компакт-диска. |
shell_verb | Добавляет команды в контекстное меню компакт-диска. |
Ниже приведен пример простого файла Autorun.inf. Он указывает Filename.exe в качестве запускаемого приложения. Второй значок в Filename.exe будет представлять дисковод компакт-дисков вместо значка стандартного диска.
[autorun] open=Filename.exe icon=Filename.exe,1
Этот пример Autorun.inf запускает различные приложения запуска в зависимости от типа компьютера.
[autorun] open=Filename_x86.exe icon=IconFile.ico [autorun.alpha] open=Filename_RISC.exe icon=IconFile.ico
Раздел [DeviceInstall]
Раздел [DeviceInstall] можно использовать на любом съемном носителе. Поддерживается только в Windows XP. DriverPath используется для указания пути к каталогу, в котором Windows XP ищет файлы драйверов, что предотвращает длительный поиск по всему содержимому.
Используйте раздел [DeviceInstall] с установкой драйвера, чтобы указать каталоги, в которых Windows XP должна искать файлы драйверов на носителе. В Windows XP поиск на всех носителях больше не выполняется по умолчанию, поэтому для [DeviceInstall] требуется указать расположения поиска. Ниже приведены единственные съемные носители, на которых Windows XP полностью выполняет поиск без раздела [DeviceInstall] в файле Autorun.inf.
- Гибкие диски, найденные на дисках A или B.
- Компакт-диск или DVD-носитель размером менее 1 гигабайта (ГБ).
Все остальные носители должны содержать раздел [DeviceInstall] для Windows XP, чтобы обнаруживать все драйверы, хранящиеся на этом носителе.
Как и в случае с разделом [AutoRun] , раздел [DeviceInstall] может быть связан с конкретной архитектурой.
Автоматическое выполнение для Windows версии 14.1
Скачивание автозапусков и autorunsc(2.8 МБ)
Запустите сейчас из Sysinternals Live.
Создание с помощью ZoomIt
Введение
Эта программа, которая имеет самые полные знания о автоматических начальных расположениях любого монитора запуска, показывает, какие программы настроены для запуска во время загрузки системы или входа, а также при запуске различных встроенных приложений Windows, таких как Интернет Обозреватель, Обозреватель и проигрыватели мультимедиа. Эти программы и драйверы включают их в папку запуска, Run, RunOnce и другие разделы реестра. Автоматически запускает отчеты Обозреватель расширения оболочки, панели инструментов, вспомогательные объекты браузера, уведомления Winlogon, службы автозапуска и многое другое. Автозапуск выходит за рамки других служебных программ автозапуска.
Параметр автозапуска «Скрыть подписанные записи Майкрософт» помогает увеличить масштаб сторонних образов автоматического запуска, добавленных в систему, и он поддерживает поиск образов автозапуска, настроенных для других учетных записей, настроенных в системе. Кроме того, в пакет скачивания входит эквивалент командной строки, который может выводить данные в формате CSV, Autorunsc.
Вероятно, вы будете удивлены тем, сколько исполняемых файлов запускаются автоматически!
Использование
Просто запустите автозапуск и отображает настроенные в настоящее время приложения автоматического запуска, а также полный список расположений реестра и файловой системы, доступных для настройки автоматического запуска. Расположения автозапуска, отображаемые автозапуском, включают записи входа в систему, Обозреватель надстройки, интернет-Обозреватель надстройки, включая вспомогательные объекты браузера (BHOs), библиотеки DLL Appinit, перехваты изображений, загрузочные образы, библиотеки DLL уведомлений Winlogon, службы Windows и поставщики служб Winsock layered, кодеки мультимедиа и многое другое. Переключение вкладок для просмотра автозапусков из разных категорий.
Чтобы просмотреть свойства исполняемого файла, настроенного для автоматического запуска, выберите его и нажмите кнопку меню «Свойства » или кнопку панели инструментов. Если выполняется Обозреватель процесса и выполняется активный процесс, выполняющий выбранный исполняемый файл, элемент меню process Обозреватель в меню «Запись» откроет диалоговое окно свойств процесса для процесса, выполняющего выбранное изображение.
Перейдите к расположению реестра или файловой системы, отображаемой или конфигурации элемента автозапуска, выбрав элемент и нажав кнопку «Перейтик записи» или кнопку панели инструментов и перейдите к расположению образа автозапуска.
Чтобы отключить запись автоматического запуска проверка поле проверка. Чтобы удалить запись конфигурации автозапуска, нажмите кнопку «Удалить» или «Панель инструментов».
Меню «Параметры» включает несколько параметров фильтрации отображения, таких как только отображение записей, отличных от Windows, а также доступ к диалогу параметров сканирования, из которого можно включить проверку подписи и хэш и отправку файлов.
Выберите записи в меню «Пользователь» , чтобы просмотреть изображения автозапуска для разных учетных записей пользователей.
Дополнительные сведения о параметрах отображения и дополнительных сведениях см. в справке по электронной строке.
Использование Autorunsc
Autorunsc — это версия командной строки автозапусков. Синтаксис использования:
Использование: autorunsc [-a <*|bdeghiklmoprsw>] [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [-vt] [[-z] | [пользователь]]
Параметр | Описание |
---|---|
-a | Выбор записи автозапуска: |
* | Все. |
b | Выполнение загрузки. |
дн. | Библиотеки DLL Appinit. |
e | Обозреватель надстройки. |
g | Устройства боковой панели (Vista и более поздние версии) |
ч | Захваты изображений. |
i | Надстройки Обозреватель в Интернете. |
k | Известные библиотеки DLL. |
l | Запуски входа (это по умолчанию). |
m | Записи WMI. |
n | Протокол Winsock и сетевые поставщики. |
o | Кодеки. |
p | Библиотеки DLL монитора принтера. |
r | Поставщики безопасности LSA. |
s | Службы автозапуска и не отключенные драйверы. |
с | Запланированные задачи. |
w | Записи Winlogon. |
-c | Вывод выходных данных в формате CSV. |
-Ct | Вывод выходных данных в виде значений с разделителями табуляции. |
-h | Показать хэши файлов. |
-m | Скрытие записей Майкрософт (подписанные записи при использовании с -v). |
-s | Проверьте цифровые подписи. |
-t | Отображение меток времени в нормализованном формате UTC (ГГГГММДД-hhmmss). |
-u | Если включена проверка VirusTotal, покажите файлы, неизвестные вирусомTotal или ненулевым обнаружением, в противном случае отображаются только неподписанные файлы. |
-x | Вывод выходных данных в формате XML. |
-v[rs] | Запрос VirusTotal для вредоносных программ на основе хэша файлов. Добавьте «r», чтобы открыть отчеты для файлов с ненулевым обнаружением. Файлы, указанные не ранее, будут отправлены в VirusTotal, если указан параметр s. Результаты проверки заметок могут быть недоступны в течение пяти или более минут. |
-Vt | Перед использованием функций VirusTotal необходимо принять условия обслуживания VirusTotal. Если вы не приняли условия, и вы опустите этот параметр, вы будете интерактивным запросом. |
-Z | Указывает автономную систему Windows для сканирования. |
user | Указывает имя учетной записи пользователя, для которой будут отображаться элементы автоматического запуска. Укажите «*» для сканирования всех профилей пользователей. |
Связанные ссылки
- Windows Internals Book The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.
- Справочник по Windows Sysinternals Администратор istrator. Официальное руководство по служебным программам Mark RussinovichAaron MargosisSysinternals и, включая описания всех средств, их функции, способы их использования для устранения неполадок и примеры реальных вариантов их использования.
Загрузка
Скачивание автозапусков и autorunsc(2.8 МБ)
Запустите сейчас из Sysinternals Live.
Что такое autorun.exe и autorun.inf? Что это такое и отличаются ли они чем-то?
Первый — исполняемый файл, второй — стандартный скрипт автозапуска, при вставке диска система выполняет записанные в нём команды.
Источник: http://ru.wikipedia.org/wiki/Autorun.inf
exe- исполняемый файл, а inf- информационный файл о вашей системе.
раньше на оптических дисках — программа для автозапуска, когда вставляешь диск
.exe — исполняемый файл
.inf — обычный текстовый файл, внутри — имя программы, которую нужно запустить
если такие файлы на флешке, то с вероятностью 100% можно сказать, что это вирус 🙂
Авторан. инф — файл, используемый для автозапуска или установки приложений и программ на носителях информации в среде ОС Микрософт Виндоувс (начиная с версии 95). Этот файл должен находиться в корневом каталоге файловой системы устройства, для которого осуществляется автозапуск. Файл делится на структурные элементы — блоки. Название блоков пишется в квадратных скобках. Описание блоков содержит пары параметр — значение. Авторан. экзэ — это исполняемый файл (программа) для Виндоувс. Расширение имени имени этого файла — это аббревиатура для исполняемых файлов. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру.
Как использовать AutoRuns для обнаружения и удаления вредоносных программ в Windows
Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.
Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.
Что такое AutoRuns?
AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.
Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.
AutoRuns: основы
На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.
Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.
Во вкладке Explorer (проводник) отображается информация о следующих элементах:
- Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).
- Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.
- Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.
- Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.
Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.
Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).
Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.
Драйверы позволяют оборудованию взаимодействовать с операционной системой устройства. Во вкладке Drivers в AutoRuns отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.
Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.
В AppInit DLL показаны библиотеки DLL, зарегистрированные как DLL инициализации приложений.
Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).
Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.
Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.
Во вкладке Winsock Providers (провайдеры Winsock) показываются зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как провайдера Winsock, чтобы его было сложно удалить. AutoRuns может отключить провайдера, но не удалить его.
Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.
Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.
Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
- Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
- Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
- Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
- Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.
Как использовать AutoRuns для удаления вредоносных программ
Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».
После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.
Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).
После этого в проводнике Windows будет открыта папка с данным файлом.
Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.
Bf48a5558c8d2b44a37e66390494d08e
Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.
Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».
После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.
Теперь вирус можно удалить из проводника Windows.
Советы по использованию AutoRuns от Sysinternals
Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:
Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.
Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.
Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).
Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn’AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.
Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).
В примере ниже мы выбираем результаты, сохраненные в файле clean.
После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.
Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.
Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.
Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.
- autoruns
- вредоносное по
- вредоносное программное обеспечение
- Блог компании Varonis Systems
- Информационная безопасность
- Системное администрирование