Tweet
Ola amigos, desenvolvi uma lista com as principais chaves de inicializacao para voces, para quem esta comecando a mexer com rats e kls e uma boa =)
Run - Estes são os locais de inicialização mais comuns. Em HKEY_LOCAL_MACHINE,o Windows carregara o aplicativo para todos os usuarios. Em HKEY_CURRENT_USER, ele irá iniciar somente com o usuario que esta logado. Estas chaves nao sao carregadas em modo de seguranca.
DICA: para fazelas carregar seu programa em modo de seguranca coloque um * na frente do nome, assim mesmo que o computador seja executado em modo de seguranca seu aplicativo sera carregado.
Chaves
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
RunOnce Local Machine Key – Estas chaves foram projetadas com o objetivo de serem usadas por programas de instalacao, pois executao um arquivo uma vez so. Assim que o aplicativo for carregado a chave é excluida. Para que nao seja excluida, basta colocar um ponto de exclamação no inicio do nome da chave.
chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnceEx
RunOnce Current User Key
chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
RunServicesOnce - estas chaves foram projetadas para executar servicos durante o logon do sistema somente uma vez, elas sao carregadas antes das chaves RUN,RUNONCE e RUNONCEX do Local Machine e do Current User.
chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce
RunServices – estas chaves foram projetadas para iniciar servicos sempre que o sistema for iniciado, tambem sao carregadas antes das chaves RUN,RUNONCE e RUNONCEEX, Por isso as vezes quando a inicializacao de um programa por esta chave falha o sistema nao prossegue com o processo de boot.
Chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices
Explorer Run - Esta chave foi projetada para executar programas na leitura do Explorer.exe
Chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run
UserInit Key - Esta chave foi projetada para iniciar o Userinit.exe quando um usuario faz logon no sistema, mas tambem pode ser usada para carregar outros programas, basta separalos por virgula. Exemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\troja n.exe.
Esta chave é usada pela maioria dos malwares para serem carregados pelo sistema por ser uma chave pouco conhecida pelos usuarios.
Chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Load Key – Esta chave tambem é muito usada por softwares maliciosos por praticamente nao ser usada e ser muito pouco conhecida.
Chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Notify - Esta chave é usada para carregar um programa durante um evento especifico como Logon,Logoff,Descanso de tela,desligar,etc... quando o Winlogon recebe algum desses comandos listados ele procura nessa chave uma dll especifica para lidar com este evento. Muito usada por malwares que precisam ser iniciados no logon do sistema e porque esta e uma chave muito desconhecida e dificil de se rastrear.
chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Run - Estes são os locais de inicialização mais comuns. Em HKEY_LOCAL_MACHINE,o Windows carregara o aplicativo para todos os usuarios. Em HKEY_CURRENT_USER, ele irá iniciar somente com o usuario que esta logado. Estas chaves nao sao carregadas em modo de seguranca.
DICA: para fazelas carregar seu programa em modo de seguranca coloque um * na frente do nome, assim mesmo que o computador seja executado em modo de seguranca seu aplicativo sera carregado.
Chaves
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
RunOnce Local Machine Key – Estas chaves foram projetadas com o objetivo de serem usadas por programas de instalacao, pois executao um arquivo uma vez so. Assim que o aplicativo for carregado a chave é excluida. Para que nao seja excluida, basta colocar um ponto de exclamação no inicio do nome da chave.
chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnceEx
RunOnce Current User Key
chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
RunServicesOnce - estas chaves foram projetadas para executar servicos durante o logon do sistema somente uma vez, elas sao carregadas antes das chaves RUN,RUNONCE e RUNONCEX do Local Machine e do Current User.
chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce
RunServices – estas chaves foram projetadas para iniciar servicos sempre que o sistema for iniciado, tambem sao carregadas antes das chaves RUN,RUNONCE e RUNONCEEX, Por isso as vezes quando a inicializacao de um programa por esta chave falha o sistema nao prossegue com o processo de boot.
Chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices
Explorer Run - Esta chave foi projetada para executar programas na leitura do Explorer.exe
Chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run
UserInit Key - Esta chave foi projetada para iniciar o Userinit.exe quando um usuario faz logon no sistema, mas tambem pode ser usada para carregar outros programas, basta separalos por virgula. Exemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\troja n.exe.
Esta chave é usada pela maioria dos malwares para serem carregados pelo sistema por ser uma chave pouco conhecida pelos usuarios.
Chave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Load Key – Esta chave tambem é muito usada por softwares maliciosos por praticamente nao ser usada e ser muito pouco conhecida.
Chave:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Notify - Esta chave é usada para carregar um programa durante um evento especifico como Logon,Logoff,Descanso de tela,desligar,etc... quando o Winlogon recebe algum desses comandos listados ele procura nessa chave uma dll especifica para lidar com este evento. Muito usada por malwares que precisam ser iniciados no logon do sistema e porque esta e uma chave muito desconhecida e dificil de se rastrear.
chave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Comment