Quali sono le operazioni eseguite dal malware per agganciare i punti di estensibilità di avvio automatico per poter essere eseguito all'avvio del computer che esegue il sistema operativo Windows?
Quali sono le operazioni eseguite dal malware per agganciare i punti di estensibilità di avvio automatico per poter essere eseguito all'avvio del computer che esegue il sistema operativo Windows?
Ci sono molti modi in cui il malware può collegarsi all'avvio automatico di Windows. Ci sono casi semplici in cui il registro viene modificato per caricare i moduli all'avvio. Ecco un elenco di posizioni di avvio automatico nel registro. E un po 'più di informazioni sui percorsi di avvio di Windows.
Esistono tecniche più avanzate, Indirizzare un autista . I driver vengono caricati abbastanza presto nel processo di avvio e vengono eseguiti con privilegio Ring 0 . Microsoft ha solo 2 anelli di protezione, Ring 0 e Ring 3. L'esempio che ho collegato ai driver target caricati prima dal Session Manager (SMSS.exe).
Oppure potresti dipendere da Windows stesso per caricare il tuo modulo. Quando elabora le librerie di carico che sono nella loro tabella di importazione provano uno specifico ordine di percorsi per trovare il modulo che stanno cercando. Se inserisci la tua DLL in una posizione cercata prima della normale DLL?
Questo in realtà graffia la superficie, ma tu hai l'idea. Il malware è creativo e ci sono molti modi per abilitare la persistenza. Molti processi di sistema caricheranno i moduli di default, e tutto ciò di cui Malware ha bisogno è un carico!
Leggi altre domande sui tag malware