Администриране при стартиране на Windows - начини за управление на стартиращи подобни програми
Въпреки това, познаването на местата, където може да стартира този или онзи код, работещ както в потребителски режим, така и в режим на ядро, може да бъде полезно не само за премахване на зловреден софтуер, но и за изключване на драйвери и услуги на трети страни от зареждане както на ранните, така и на късните етапи на зареждане на системата.
В системния регистър автоматичното зареждане е представено в секции:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - програми, които се изпълняват, когато потребител влезе в системата (за текущия потребител). (Windows 98, 2000, XP)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - Програми, които се изпълняват само веднъж, когато потребителят влезе. След това ключовете на програмата автоматично се премахват от този ключ на системния регистър. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Програми, които се изпълняват при влизане. Този раздел отговаря за стартирането на програми за всички потребители на системата. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - Програми, които се изпълняват само веднъж, когато потребителят влезе. След това настройките на програмата автоматично се премахват от този раздел. Този раздел отговаря за стартирането на програми за всички потребители на системата. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - програми, които се стартират само веднъж, при зареждане на системата. След това ключовете на програмата автоматично се премахват от този ключ на системния регистър. Този раздел отговаря за стартирането на програми за всички потребители на системата. (Windows 98, 2000, XP)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices - Услуги, които се зареждат, когато потребител влезе в Windows. (Windows 98)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServicesOnce - Услуги, които се зареждат веднъж при зареждане на системата. (Windows 98)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services - разделът съдържа подсекции с имената на драйвери и услуги, които могат да бъдат заредени на всеки етап от стартирането на Windows 2000, XP. На какъв етап от зареждането на операционната система драйверът или услугата ще бъдат заредени се определя от параметъра Start DWORD. Параметърът Start може да приема следните стойности:
0x0 - драйвери от ниско ниво, например дискови драйвери, които се зареждат в най-ранния етап на зареждане - зареждане на ядрото, имат тази стойност. Ако някой драйвер с тази стойност не е зареден, системата автоматично се рестартира. Зареждането на ОС е отговорно за зареждането на драйвери, които имат тази стойност.
0x1 - тази стойност има драйвери, които се зареждат и инициализират след инициализация на ядрото на ОС. За разлика от драйверите с начална стойност 0x0, драйверите на устройства със стойност 0x1 не се зареждат от извиквания на BIOS, а от драйвери на устройства, заредени по време на етапа на зареждане на ядрото и прясно инициализирани на този етап.
0x2 - Тази стойност има драйвери или услуги, които трябва да бъдат заредени от SCM (Service Control Manager).
0x3 – Тази стойност има драйвери или услуги, които се стартират от Service Control Manager само ако получат изрична инструкция за зареждане.
0x4 - това е стойността на драйвери или услуги, които не са заредени. Windows 2000,XP настройва драйверите на устройства в този режим, ако не могат да бъдат заредени от SCM. Единствените изключения са драйверите на файловата система, които се зареждат дори ако Start е настроен на 0x4.
Познаването на описаните по-горе раздели е необходимо, ако системата се срине и е невъзможно да се стартира в нормален режим, тъй като в този случай операционната система може да бъде заредена в безопасен режим и да редактирате съответните секции на системния регистър или да стартирате помощната програма за конфигуриране на системата MSConfig, включена в операционната система. Но какво ще стане, ако операционната система не се стартира и с минимален жизненоважен набор от драйвери и услуги, т.е. в безопасен режим? Ако това започне да се случва след инсталиране на драйвер или програма, тогава трябва да погледнете списъка с драйвери и услуги, заредени в безопасен режим, и да проверите дали има драйвери на трети страни там. Тази информация може да бъде намерена в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Така че можете да стартирате от стартираща дискета на MS-DOS, да копирате файловете, отговорни за системния регистър и да редактирате този раздел на друг компютър.
На системи с Windows 9x друго място за изпълнение на код може да бъде в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD. Както подсказва името, виртуалните драйвери се зареждат от този раздел. В Windows 2000/XP програмите могат да стартират диспечера на сесии, когато се стартират. Съответстващ ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager, параметър: BootExecute.
Но горните методи не са единствените за управление на стартирането. В Windows 2000 можете да използвате конзолата за управление на Microsoft (MMC), за да добавяте програми за стартиране. По-специално, чрез MMC можете да деактивирате автоматично зареждане на програми илисвържете необходимите програми. За да направите това: отворете модула "Групова политика" в Windows 2000, отидете на раздела "Конфигурация на компютъра - Административни шаблони - Система". От дясната страна на конзолната добавка отидете на елемента „Стартиране на посочените програми при влизане“. По подразбиране тази политика не е зададена, но можете да добавите програмата там по следния начин: активирайте политиката, щракнете върху бутона "Покажи - Добави", посочете пътя до програмата и ако стартираната програма се намира в папката ..WINDOWS\System32\, тогава можете да посочите само името на програмата, в противен случай ще трябва да посочите пълния път до програмата. В същото време в системния регистър в раздела
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies подключът \Explorer\Run ще бъде създаден с ключовете на добавените програми.
За да укажете стартиращи програми само за текущия потребител, създайте ключовете Explorer\Run в
В същото време програмите от този списък не се показват в списъка с програми, налични за деактивиране в MSConfig.exe, и също не се откриват от всички мениджъри за стартиране. Друг вид автоматично зареждане е автоматично зареждане от специален списък -
load="program" - програми, които се изпълняват преди потребителят да влезе в системата:
run="program" - програми, които се изпълняват, след като потребителят влезе в системата.
Тези параметри са аналогични на автоматичното зареждане от Win.ini в Windows 98.
За да игнорирате списъците за стартиране на програми, които се изпълняват веднъж, направете следното: групова политика: „Конфигурация на компютъра – Административни шаблони – Система – Не обработвайте списъка с автоматично стартирани програми, които се изпълняват веднъж“, ако активирате тази политика, програмите, стартирани от списъка, няма да стартират
Ако тази политика е активирана, в системния регистър се създава следнотопараметър:
DisableLocalMachineRunOnce стойност 1, тип DWORD.
За да деактивирате автоматичното зареждане, отворете записа „Деактивиране на автоматичното стартиране“ и деактивирайте автоматичното зареждане.
По подобен начин е конфигурирана политиката за текущите потребители: „Конфигурация на потребителя – Административни шаблони – Система – Не обработвай списъка за автоматично стартиране на програми, които се изпълняват веднъж.“ Настройки на регистъра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ policies\Explorer DisableLocalUserRunOnce стойност 1, тип DWORD.
Един от най-стандартните начини за управление на стартирането е папката "Startup", която съхранява преки пътища към програми, които се изпълняват, след като потребителят успешно влезе в системата. Преките пътища към тази папка могат да се добавят от програми по време на тяхното инсталиране или от самия потребител. Има две папки: публична - за всички потребители и индивидуална - за текущия потребител. По подразбиране тези папки се намират в следните директории:
ROOT\Documents and Settings\All Users\Main Menu\Programs\Startup - папка, от която ще се стартират програми за всички потребители на ОС.
ROOT\Documents and Settings\Username\Main Menu\Programs\Startup е папка, от която ще се стартират програми за текущия потребител (Потребителското име е текущият потребител). По този начин, за да стартирате автоматично програмата след успешна регистрация на потребителя в системата, трябва да създадете пряк път към програмата и да го поставите в една от горните папки. Трябва също да се отбележи, че ако потребителят натисне клавиша Shift при влизане, програмите от папките за стартиране няма да бъдат заредени.