Потенциально опасные ветви и параметры реестра

Потенциально опасные ветви и параметры реестра

Данным разделом заканчивается знакомство с реестром Windows XP и параметрами, которые в нем могут находиться, поэтому сейчас хотелось бы перечислить некоторые из ветвей реестра и параметров, которые если еще не используются, то скоро могут быть использованы вирусами, троянскими конями или просто различными программами-шутками для своей работы. В этом разделе будут также перечислены некоторые ветви реестра, создание или удаление которых может вызвать проблемы в работе операционной системы.

? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlMiniNT — раздел не предназначен для операционной системы Windows XP, поэтому если он будет присутствовать в системе, то при каждой загрузке система будет выводить сообщение о нехватке размера файла подкачки pagefile.sys и создавать новый файл.

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace{e17d4fc0-5564-11d1-83f2-00a0c90dc849} — об этом разделе уже упоминалось — если он окажется удаленным, то диалоговое окно Поиск работать не будет.

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace{1f4de370-d627-11d1-ba4f-00a0c91eedba} — это еще один раздел, без которого не будет работать диалоговое окно Поиск.

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon — эта ветвь реестра может включать в себя множество параметров, за содержимым которых необходимо следить. Например, к ним можно отнести следующие параметры строкового типа.

 • System — определяет программы, которые будут запускаться с правами системы процессом WINLOGON.EXE при инициализации. Программы пишутся через запятую, то есть параметр может содержать вызов сразу нескольких программ. По умолчанию он ничему не равен.

 • Userinit — указывает программы, которые будут запускаться с правами пользователя при его регистрации процессом WINLOGON.EXE. Программы пишутся через запятую, это опять-таки означает, что в данной ветви могут находиться сразу несколько вызовов программ. По умолчанию значение данного параметра равно %systemroot%system32userinit.exe.

 • VmApplet — определяет программы, которые будут запускаться для настройки параметров виртуальной памяти процессом WINLOGON.EXE. Программы пишутся через запятую. По умолчанию значение данного параметра равно rundll32 shell32, Control_RunDLL "sysdm.cpl".

 • Shell — указывает файлы оболочки, которые будут запускаться при входе пользователя. Он как раз и определяет, что вы используете стандартную оболочку Windows explorer.exe — именно эта строка является значением параметра Shell по умолчанию. Но если вы измените значение этого параметра, например, на explorer.exe, notepad.exe, то наряду с оболочкой Windows при вашем входе в систему будет запускаться и Блокнот. Этот параметр может находиться как в корневом разделе HKEY_CURRENT_USER, так и в разделе HKEY_LOCAL_MACHINE.

 • GinaDLL — определяет путь к библиотеке msgina.dll, которая запускается вместе с системой по умолчанию и необходима для взаимодействия с оболочкой Windows. Если изменить значение этого параметра на вызов какой-нибудь программы, а не библиотеки, то при инициализации процесса WINLOGON.EXE будет выдано сообщение об ошибке и вы не сможете войти в систему.

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows — может содержать несколько потенциально опасных параметров, среди которых можно выделить следующие параметры строкового типа.

 • Run — определяет программы, которые будут запускаться с правами пользователя при его входе. Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую. Параметр может находиться как в корневом разделе реестра HKEY_CURRENT_USER, так и в корневом разделе HKEY_LOCAL_MACHINE.

 • Load — указывает программы, которые будут запускаться с правами системы при входе любого пользователя. Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую.

 • AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким-нибудь оборудованием или программой. Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects — определяет все CLSID-номера ActiveX-объектов (в виде разделов, названных в честь CLSID-номера ActiveX-объекта), которые будут запускаться при каждом запуске браузера Internet Explorer.

? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager — содержит REG_MULTI_SZ-параметр BootExecute, его значением являются команды, которые будут запускаться при каждой перезагрузке компьютера. Он используется системой для запуска таких системных программ работы с дисками, как автопроверка диска (значение этого параметра autocheck autochk *) или преобразование файловой системы диска FAT в NTFS (значение данного параметра autoconv DosDevicex: /FS:NTFS).

? HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options — используется для возможности определения программ, при выполнении которых происходит утечка памяти. Но можно воспользоваться этой ветвью и для других целей. Например, если создать в ней раздел explorer.exe, а в нем создать DWORD-параметр ShutdownFlags и присвоить ему значение 3, то после выгрузки оболочки Windows существует вероятность, хотя и малая, что вы не сможете ее загрузить. Система может не дать вам этого сделать. Но даже если вы и сможете загрузить оболочку, то, скорее всего, увеличится количество ошибок неправильной адресации к памяти, выдаваемых различными программами.

? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootoption — определяет, в каком режиме будет загружаться операционная система — обычном или безопасном. Именно поэтому возможна такая шутка — создайте в этой ветви реестра DWORD-параметр OptionValue и присвойте ему значение, равное 1. Теперь вы всегда будете загружаться в режиме, в чем-то подобном безопасному, — будет загружаться лишь минимальный набор сервисов, но драйверы устройств, таких как видеокарта, будут использоваться обычные, устанавливаемые вместе с устройством (а не стандартные, как при полноценном безопасном режиме). При этом, даже если вы являетесь администратором компьютера, вам будет запрещено запускать такие службы, как, например, Windows Audio, которые нельзя запускать в безопасном режиме. Раздел option создается только в безопасном режиме.

? HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints«значок диск» и HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2«значок диск» — хранят настройки контекстного меню, значков дисков, а также описание файла autorun.inf, применявшегося ранее для запуска содержимого компакт-диска. В практике автора книги был такой случай, когда записи данных ветвей реестра постоянно приводили к отказу в доступе к приводу DVD. Другими словами, при попытке открытия содержимого диска, установленного в приводе DVD, отображался отказ в доступе к диску. При этом проблема решалась именно удалением раздела, названного в честь буквы диска, доступк которому был отклонен (решалась до следующей попытки доступа к приводу). Поэтому, если у вас возникли подобные проблемы, просто попробуйте удалить соответствующие ветви реестра, а потом установить для них только доступ на чтение.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Совет 21: Опасные друзья

Из книги автора

Совет 21: Опасные друзья Если взрослый способен сам оградить себя от не очень умных людей из интер нета, то ребенок, увы, может быть не очень разборчивым. Общение с неизвестными пользователями может быть не просто неприятным, а очень опасным, ведь ребенку неоткуда знать, что


Совет 55: Опасные sms-сообщения

Из книги автора

Совет 55: Опасные sms-сообщения Часто ли вы отправляете друзьям SMS со ссылкой на что-то интересное? Вряд ли. Зато злоумышленники просто обожают рассылать сообщения, содержащие вредо носную ссылку и текст, мотивирующий кликнуть по ней. Более того, они могут сделать так, что


Совет 67: Опасные флешки

Из книги автора

Совет 67: Опасные флешки Мы учим собак ничего не подбирать с земли, чтобы они не отравились или не подавились чем-то неподходящим. Примерно то же самое владелец компьютера должен сделать для своего электронного питомца. Функция автоматического запуска файлов,


Параметры реестра, влияющие на политику безопасности для WSH

Из книги автора

Параметры реестра, влияющие на политику безопасности для WSH Режим выполнения сценариев WSH зависит от нескольких параметров системного реестра, которые могут быть записаны в двух разделах:HKLMSoftwareMicrosoftWindows Script HostSettings (А)илиHKCUSoftwareMicrosoftWindows Script HostSettings (Б)В разделе (А) хранятся


Опасные аналогии

Из книги автора

Опасные аналогии Но, может быть, не стоит игнорировать опыт холодной войны? Ведь она окончилась сравнительно недавно и еще жива в памяти многих из тех, кто сражается сейчас за свободу интернета. Многие аспекты холодной войны, связанные с информацией (например,


Опасные посредники

Из книги автора

Опасные посредники Что это – тайный заговор крупнейших мировых ИТ-компаний против свободы слова во всемирном масштабе? Маловероятно. Гигантский объем контента на всех этих сайтах просто не позволяет управлять ими, не совершая ошибок. Разница между видеороликами,


Разделы ветви идентификатора

Из книги автора

Разделы ветви идентификатора Раздел идентификатора, кроме параметров, может включать в себя и другие разделы — они определяют значок, используемый для файлов с данным расширением, текущую версию идентификатора, а также сами команды контекстного меню файла. Рассмотрим


Подразделы ветви ActiveX-объекта

Из книги автора

Подразделы ветви ActiveX-объекта Подразделы, описывающие ActiveX-объекты, кроме параметров, могут содержать множество дочерних подразделов. Среди них могут присутствовать и уже рассмотренные shell и shellex, а также некоторые из следующих подразделов.? DefaultIcon — параметр (По


Другие параметры реестра

Из книги автора

Другие параметры реестра В конце рассказа о параметрах реестра для браузера Internet Explorer рассмотрим некоторые параметры ветви реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings. Как уже было сказано, она содержит конфигурационные настройки браузера для текущего


Ветви реестра, используемые оснасткой

Из книги автора

Ветви реестра, используемые оснасткой Теперь вкратце рассмотрим структуру ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog, содержащей настройки службы Журнал событий, используемой в работе оснастки Просмотр событий. Как уже говорилось, данная ветвь реестра включает в


Параллельные ветви на переменном токе

Из книги автора

Параллельные ветви на переменном токе Рассмотрим теперь процессы в параллельной RL-цепи при питании ее от источника переменного тока (рис. 2.5). Рис. 2.5. Схема с параллельной RL-цепьюПараметры компонентов: I=100?0° мА; R=8,33333 Ом; L=6,36 мГн. Для этой цепи необходимо найти напряжение


Глава 6 Потенциально опасные программы

Из книги автора

Глава 6 Потенциально опасные программы Терминология и теорияБорьба с потенциально опасными программамиДо этой главы речь шла в основном о программах, наносящих компьютеру явный вред. Однако в последнее время в прессе все чаще появляется информация не о вирусах и


6.2. Борьба с потенциально опасными программами

Из книги автора

6.2. Борьба с потенциально опасными программами Скорость распространения Spyware стремительно увеличивается. В последнем докладе компании по обеспечению безопасности McAfee говорится, что только три из ста пользователей Интернета могут определить, насколько безопасным