Hier sind 9 Möglichkeiten, wie man automatisch beim Aufstarten von Windows Programme ausführen kann.
1. Autostart-Ordner
Alles in diesem Ordner wird beim Aufstarten ausgeführt.2. win.iniDeutsch: c:\windows\Startmenü\Programme\Autostart
Englisch: c:\windows\start menu\programs\startup
Französisch: c:\windows\Menu Démarrer\Programmes\DémarrageDer Autostart-Ordner wird folgend in der Registry gespeichert:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"
Er kann somit einfach von Hand oder von einem Programm modifiziert werden.
[windows]3. system.ini [boot]
load=datei.exe
run=datei.exeShell=Explorer.exe file.exe4. c:\windows\winstart.batFunktioniert wie eine normale Stapelverarbeitungs-Datei und wird nach Abarbeitung der autoexec.bat und vor dem Einstieg in den eigentlichen Win32-Modus abgearbeitet.5. Registry-Einträge[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]6. c:\windows\wininit.ini
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]Wird oft von Installations-Routinen verwendet, um einmalige Aktionen nach dem Neustart durchzuführen. In diesem Beispiel wird c:\windows\picture.exe an NUL gesendet, was einem Löschen gleichkommt. Diese Aktion benötigt keine Eingabe des Benutzers und wird vollkommen im Hintergrund abgearbeitet.7. Autoexec.batBeispiel:(Inhalt von wininit.ini)
[Rename]
NUL=c:\windows\explorer32.exeDiese Stapelverarbeitungsdatei ist ein Überbleibsel aus der alten MS DOS-Zeit. Sie wird jeweils beim Eintritt in den DOS-Modus abgearbeitet.8. Registry Shell Spawning[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\"%*"9. ICQNet
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\"%*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\"%*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\"%*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"Der Schlüssel sollte mit einem Wert von "%1 %*" versehen werden, damit die server-exe bei jedem Aufruf einer exe-, pif-, com-, bat- oder hta-Datei ausgeführt wird. Diese Methode wird ab und an bei gewieften mit SubSeven bestückten Angreifern gesichtet.
Dieser Eintrag beinhaltet alle Applikationen, die beim Feststellen einer bestehenden Internet-Verbindung durch das Tool ICQNet ausgeführt werden sollen:[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="explorer32.exe"
"Startup"="c:\\explorer32"
"Parameters"=""
"Enable"="Yes"[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
9. Datei-Endungen vortäuschen bzw. manipulieren[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=""Durch diesen Eintrag kann die Wahre Dateiendung, in diesem Beispiel SHS, versteckt werden. Eine Datei mit dem wahren Namen marc.jpg.shs wird alsdann nur noch als marc.jpg angezeigt werden (In allen Datei-Explorern für DOS und Windows!). Die Registry weist schon von Haus aus einige solcher interessanter Einträge auf, die ohne weiteres nach Gutdünken gelöscht werden können, um einen Tick mehr Transparenz zu erreichen.