autorun จาก window registry

**sae** · 03-09-2009, 10:24 AM

โดยปกติเมื่อเปิดเครื่องจนกระทั่ง Window ได้ Run ขึ้นมาแล้วจะเห็นว่ามีโปรแกรมหลาย ๆ โปรแกรมถูกเรียกขึ้นมาทำงานโดยอัตโนมัติ ไม่ว่าจะเป็น Service หรือกระทั่ง Application บางตัว รวมไปถึงพวก virus ต่าง ๆ

การทำให้โปรแกรม ถูกเรียกขึ้นมาเพื่อทำงานโดยอัตโนมัติหลังจากเปิดเครื่อง (หรือ file เช่นอยากให้ขึ้น Message เพื่อเตือนเมื่อเปิดเครื่องก็ทำได้ในแบบเดียวกัน) นั้นสามารถทำได้ง่าย ๆ เพียงแค่ สร้างตัว shotcut ไว้ที่ Start -> All Programs -> Startup หรือ ที่ C:\Documents and Settings\ชื่อ User\Start Menu\Programs\Startup

แต่โปรแกรมหลาย ๆ โปรแกรม ก็ไม่ได้สร้างเป็นลักษณะ shotcut ไว้เพื่อเป็นการซ่อนจาก user ทั่วไป(ป้องกัน user มาลบออกโดยง่าย) โดยใช้การเรียกขึ้นมาทำงานจาก registry ให้ทำงานโดยอัตโนมัติ จำพวก virus ก็เช่นเดียวกัน คือสามารถสร้างเป็นลักษณะโปรแกรมง่าย ๆ ที่ฝังตัวอยู่ที่ใดที่หนึ่งแล้วให้ registry เรียกขึ้นมาทำงาน ดังนั้นหากเรารู้จักที่อยู่ของ virus พวกนั้น ก็สามารถตามไปลบ registry ที่เรียกการใช้งาน virus เหล่านั้น virus ต่าง ๆ เหล่านั้นก็จะทำงานไม่ได้

registry ที่จะเรียกโปรแกรมมาใช้งานโดยอัตโนมัติเมื่อเปิดเครื่อง จะอยู่ใน path ต่อไปนี้

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policise\Exploer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policise\Exploer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\ RunOnce
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
และ
HKEY_CURRENT_USER \Software\Microsoft\Windows NT\CurrentVersion\ Windows ที่ “run” และ “load”

เช่นหากเราแน่ใจว่า registry ใน path ดังกล่าวข้างต้นเป็น virus แน่นอน (ดูจากชื่อแล้วรู้ว่าเป็น virus แน่) ก็สามารถลบ registry file นั้นได้เลย
แต่การจะลบ file registry ที่อยู่ตาม path ต่อไปนี้ต้องระมัดระวังให้แน่ใจว่าไม่ใช่ registry ของ window มิเช่นนั้นอาจจะ run window ไม่ขึ้นเลยก็ได้แถม

Thread: autorun จาก window registry

Thread Tools

Similar Threads

[Delphi] โปรแกรมป้องกันไวรัสจาก AutoRun.inf [AutoRun USB]

โปรแกรมทำไฟล์ Autorun เป็นเมนู ด้วย AutoRun Typhoon Pro v4

CPE17 Autorun Killer v.1.7.0 build 1315 โปรแกรมป้องกันไวรัส autorun อัพเดตใหม่

xX [ ปิด AutoRun ทุกไดร์ฟแบบถาวร - ป้องกันไวรัส AutoRun ได้ด้วย ] Xx

Registry Defender 2007 v3.1.8 - จัดการเรื่อง Registry

Members who have read this thread : 0

Tags for this Thread

Posting Permissions