frangando.free.fr



Toutes les méthodes connues (et peu connues) de démarrage d'applications Windows (10/03/2001)



  1. Répertoire Démarrage (Autostart)

    Par défaut, le répertoire Démarrage est situé dans le dossier suivant:

    • C:\windows\start menu\programs\startup {Anglais}
    • C:\windows\Menu Démarrer\Programmes\Démarrage {Français}
    • C:\windows\All Users\Menu Iniciar\Programas\Iniciar {Portugais, Brésilien}

    Et le nom exact du répertoire Autostart est inscrit dans les clés suivantes:

    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
      Startup="C:\windows\start menu\programs\startup"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
      Startup="C:\windows\start menu\programs\startup"
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders]
      "Common Startup"="C:\windows\start menu\programs\startup"
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders]
      "Common Startup"="C:\windows\start menu\programs\startup"

    En remplaçant "C:\windows\start menu\programs\startup" par quelque chose autre, celà conduira à l'éxécution de tous les exécutable dans ce répertoire.
    Addendum : au 10/03/2001 Subseven 2.2 utilise cette méthode.

  2. Win.ini

    [windows]
    load=file.exe
    run=file.exe

  3. System.ini

    [boot]
    Shell=Explorer.exe file.exe

  4. c:\windows\winstart.bat

    Utilisé pour copier et effacer des fichiers spécifiques. Démarre à chaque fois.

  5. Registre "Run"
     
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "Unedescription"="c:\runfolder\program.exe"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
      "Unedescription"="c:\runfolder\program.exe"
     
  6. c:\windows\wininit.ini

    Souvent utilisé par des programmes d'installation. Quand ce fichier existe, il est executé une fois puis effacé par Windows.

    Exemple de contenu de wininit.ini :
    [Rename]
    NUL=c:\windows\picture.exe

    Cet exemple envoie c:\windows\picture.exe vers le peripherique "NUL". Celà signifie qu'il sera effacé.
    Cela ne nécessite aucune interactivité de la part de l'utilisateur et fonctionne de manière completement silencieuse.

  7. Autoexec.bat

    Démarre toujours, au niveau DOS.

  8. Initiation par l'entrée du Registre "Shell Open"

    [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
    [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"

    La clé doit avoir la valeur "%1 %*", Si on la change en "serveur.exe %1 %*", le programme serveur.exe est executé CHAQUE FOIS qu'un exe/pif/com/bat/hta est executé.
    Ceci est reconnu comme une méthode de démarrage non usuelle et est utilisée par SubSeven.

  9. Icq Inet

    [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
    "Path"="test.exe"
    "Startup"="c:\\test"
    "Parameters"=""
    "Enable"="Yes"
    [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

    Cette clé doit inclure toutes les applications qui doivent être executées si ICQNET detecte une Connection Internet.

  10. Démarrage de Explorer.exe

    • Windows 95,98,ME

      Explorer.exe est démarré par une entrée dans le system.ini, l'entrée ne contient aucune indication du chemin de recherche. Ainsi si c:\explorer.exe existe il sera lancé à la place de c:\$winpath\explorer.exe.

    • Windows NT/2000/XP

      L'interface graphique de Windows est le bureau qui est utilisé pour interagir avec Windows.
      Durant le démarrage du système, Windows NT 4.0, Windows 2000 et Windows XP consultent l'entrée "Shell" de la table de registre appellée HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell pour determiner le nom de l'éxécutable qui doit être démarré en tant qu'interface graphique. Par defaut, cette valeur désigne Explorer.exe.
      Le problème relève de l'ordre de la recherche lors du démarrage du système.
      Lorsque l'entrée du registre specifie le nom d'un programme, la specification du chemin est relative. Windows initie un processus de recherche pour trouver le programmee. L'ordre de recherche est le suivant:

      • Recherche dans le repertoire courant.
      • Si le programme n'est pas trouvé, des recherches sont faîtes dans les dossiers spécifiés dans la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path, dans l'ordre spécifié dans la clé.
      • Si le programme n'est pas trouvé, des recherches sont faîtes dans les dossiers spécifiés dans la clé HKEY_CURRENT_USER\Environment\Path, dans l'ordre spécifié dans la clé.

    Plus d'infos : http://www.microsoft.com/technet/security/bulletin/fq00-052.mspx (anglais)
    Patch : http://support.microsoft.com/default.aspx?scid=kb;fr;269049&sd=tech (en français)

    Généralement : Si un cheval de Troie s'installe avec le nom explorer.exe aucune méthode de démarrage n'est alors necessaire.

    Si explorer.exe est un fichier corrompu l'utilisateur ne pourra pas du tout utiliser le système.

  11. Composant Active-X

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName]
    StubPath=C:\chemin\action.exe

    Croyez le ou non, le programme c:\chemin\action.exe s'éxécutera AVANT l'interface graphique (explorer.exe) et tout autre programme normalement démarré par les méthodes classiques.

  12. À titre d'information

    [HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object"
    "NeverShowExt"=""

    La clé NeverShowExt a comme fonction de CACHER la vraie extension du fichier... exemple:SHS
    Cela veut dire que si l'on renomme un fichier en "Girl.jpg.shs" il sera affiché de cette façon:"Girl.jpg" dans tous les programmes incluant Explorer.
    La table de Registre peut être pleine de clé NeverShowExt, detruisez cette clé pour permettre de voir la vraie extension.

© 2006-2008  frangando.free.fr

Valid XHTML 1.0! Valid CSS!