Основные контрмеры против атак, направленных на расширение привилегий
Параметры системного реестра, управляющие запуском программ в процессе загрузки
Основываясь на своем опыте, можем отметить, что практически все взломщики помещают параметры своих программ в стандартную группу параметров системного реестра, управляющих запуском приложений при загрузке Windows. Поэтому на предмет наличия вредоносных или подозрительных параметров нужно регулярно проверять соответствующие области системного реестра, перечисленные ниже.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, а также RunOnce, RunOnceEx, RunServices.
Кроме того, необходимо как можно жестче ограничить доступ пользователей к этим группам параметров. По умолчанию группа EVERYONE имеет разрешения Set value к группе параметров HKLM\.. \.. \Run. Для того чтобы отменить эти привилегии, воспользуйтесь командой Security › Permissions в редакторе системного реестра regedt32.
Рассмотрим небольшой пример. На приведенном ниже рисунке показано окно редактора системного реестра, в котором отображается информация о программе netcat, запускающейся при каждой загрузке Windows (группа параметров HKLM\.. \.. \Run) для прослушивания порта 8080.
В данном случае взломщик в любой момент может скрытно подключиться к системе, по крайней мере до тех пор, пока администратор, взявшись за ум, не проверит системный реестр и не удалит из него соответствующий параметр.
Кроме того, не забудьте проверить также каталоги %systemroot%\profiles\ %sername%\Start Menu\programs\startupV Любые помещенные в них исполняемые файлы будут автоматически запускаться при каждой загрузке!