¿Cuáles son las operaciones realizadas por el malware para enganchar los puntos de extensibilidad de inicio automático para poder ejecutarse en el inicio de la computadora que ejecuta el sistema operativo Windows?
¿Cuáles son las operaciones realizadas por el malware para enganchar los puntos de extensibilidad de inicio automático para poder ejecutarse en el inicio de la computadora que ejecuta el sistema operativo Windows?
Hay muchas formas para que el malware se conecte al inicio automático de Windows. Hay casos simples en los que el registro se modifica para cargar módulos al inicio. Aquí está una lista de ubicaciones de inicio automático en el registro. Y un poco más de información sobre las rutas de inicio de Windows.
Hay técnicas más avanzadas, Dirigir un conductor . Los controladores se cargan bastante temprano en el proceso de arranque y se ejecutan con el privilegio del anillo 0 . Microsoft solo tiene 2 anillos de protección, Anillo 0 y Anillo 3. El ejemplo que vinculé con los controladores de destino cargados antes por el Administrador de sesiones (SMSS.exe).
O puede depender de Windows para cargar su módulo. Cuando los procesos cargan bibliotecas que están en su tabla de importación, intentan un orden específico de rutas para encontrar el módulo que están buscando. Si inserta su DLL en una ubicación buscada antes de la DLL normal?
Esto realmente solo araña la superficie, pero entiendes la idea. El malware es creativo, y hay muchas formas de habilitar la persistencia. Muchos procesos del sistema cargarán módulos de forma predeterminada, ¡y todas las necesidades de Malware son una carga!
Lea otras preguntas en las etiquetas malware