HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Реестр ОС Виндовс – это огромная база данных, содержащая сведения о настройках и параметрах установленного программного обеспечения, предустановках, профилях пользователей, других системных инструментах. Важную роль, связанную с загрузкой операционной системы Виндовс занимает ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, в которой находится ряд ключевых параметров, отвечающих за автоматическую загрузку в системе тех или иных программных компонентов. Ниже перечислим наиболее часто встречающиеся параметры в данной ветке, а также опишем, за активацию каких программ они отвечают.

Какие параметры могут быть в данной ветке

Как известно, в рассматриваемой ветке реестра находится перечень программ, автоматически запускаемых при входе в систему. При этом программы из данной ветке запускаются для учёток всех пользователей, независимо администратор вы или гость.

Обычно в правом окне параметров слева расположение название (имя) запускаемой программы (параметра), а справа в столбике «Значение» – путь к ней на диске и ключ, с которым запускается соответствующий исполняемый файл (к примеру, «C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe» –s).

Столбик с названием «Тип» отвечает за идентификацию типов данных в системном реестре. В рассматриваемой нами ветке мы обычно видим «REG_SZ», означающий обычную строку кодировки «Юникод» любой длины.

Наиболее же часто в рассматриваемой нами ветке встречаются следующие параметры:

Adobe Reader Speed Laucher

Обеспечивает автоматическую активацию и ускоренную загрузку программы Adobe Reader, включая и её обновление.

ATICCC

Автоматически запускает «ATI Catalyst™ Control Center» — комплекс софта и драйверов для видеокарт АТИ Radeon. Ныне данная программа известна под названием «AMD Radeon Software Crimson».

AvastUI

Запускает популярный антивирус Avast, причём в Диспетчере задач можно увидеть сразу несколько одноимённых процессов.

AVGUI.EXE

Рассматриваемый параметр отвечает за автоматический старт антивируса AVG.

Bitdefender Wallet Agent

Запускает менеджер паролей, обеспечивающий конфиденциальность и безопасный серфинг в сети.

CTFMON.EXE

Контролирует языковую панель и альтернативный пользовательский ввод в ряде систем ОС Виндовс.

Daemon Tools Lite

Отвечает за автоматический старт программы «Daemon Tools Lite” — программы-эмулятора CD/DVD-дисководов, позволяющая создавать виртуальные дисководы и работать с образами дисков.

Выполняет автоматический запуск популярного антивируса «ESET NOD32».

Google Chrome

Данный параметр предназначен не столько для запуска браузера Хром, сколько для проверки обновлений для данного браузера.

Google Update

Отвечает за запуск служебного сервиса от компании Гугл, призванного своевременно обновлять программные продукты от Гугл на ПК пользователя.

Guard mail.ru

Нежелательная программа, закидывающая ПК рекламным софтом, удаляющая без вашего желания программы Яндекса, QIP и Рамблера, а также в ряде случаев модифицирующая ваши поисковые настройки. Нежелательный гость на ПК.

HotKeysCmds

Программа для дополнительной настройки драйверов чипсетов Intel.

Igfxtray

Выводит иконку Intel Graphics на панель задач в системном трее. Активно взаимодействует с графическими чипсетами от Интел.

iTunesHelper

Программа, которая отслеживает подключение к вашему ПК с iPhone/iPod. Если подключение будет обнаружено, будет автоматически запущена iTunes.

QuickTime Task

Модуль мультимедийного проигрывателя, способного воспроизводить различные типы видео. Поскольку в большинстве случаев видеофайлы системно привязываются к тому или иному плееру, в автоматическом запуске указанного модуля обычно нет необходимости.

RtHDVCpl.exe

Отвечает за загрузку диспетчера Realtek HD – дополнительного программного инструмента для гибкой настройки звука под звуковые карты Realtek.

Skype

Отвечает за автоматический старт популярной программы «Скайп», позволяющей осуществлять текстовую, голосовую и видеосвязь.

SkyDrive

Обеспечивает запуск служебной программы облачного хранилища SkyDrive, и подключение к последнему.

uTorrent

Обеспечивает автоматический запуск популярного торрент-клиента «uTorrent», работающего в фоне.

Wmagent.exe

Агент системы WebMoney, служит для вывода различных уведомлений (к примеру, о получении перевода) в данной платёжной системе.

Заключение

Выше мы разобрали ряд часто встречающихся параметров ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Разумеется, данный список далеко не полон, существуют ещё множество программ, автостарт который осуществляется с помощью функционала указанной ветки. Местоположение программ, находящихся в данной ветке, часто зависит от настроек пользователя и особенностей ПК, при этом большинство из указанных параметров в автозагрузке можно легко удалить без какого-либо вреда для пользовательской системы.

10 секретных настроек реестра в Windows 10

От классических функций реестра Windows 7, до новых неизвестных настроек для Windows 10

Внимание! Все описанные процедуры выполняются на свой страх и риск! Перед проведение изменений настоятельно рекомендуется создавать БЭКАП.

Новая «Десятка» от Windows , как сказочный Сезам, наполнена разнообразными опциями. Многие из них, бесспорно, полезны. Но есть и такие, которые нужны в определенных случаях, а еще чаще – без них можно смело обойтись. Мы расскажем о 10 таких опциях, которые можно добавлять или убирать – по необходимости. Сделать это можно по-разному. Один из путей – внесение изменений в редактор реестра .

Внимание: прежде чем приступать к взлому реестра, обязательно создайте его резервную копию, чтобы «откатить» систему к исходным параметрам, если вы где-то сделаете ошибку. НО! Если есть хоть малейшее сомниние, рекомендуем не браться за изменения реестра Виндовс! При ошибке может быть риск потери данных или фатальных ошибок в операционной системе!

1. Функция Последний активный клик на Панели задач

Она позволяет открывать последнее активное окно при клике на значок на Панели задач.

Запуск: WINKEY+R > Run, напечатайте regedit и нажмите Enter. В редакторе реестра введите ключ:

Клик правой кнопкой мыши по правой боковой панели: Новый > DWORD (32-разрядная версия), переименуйте его в LastActiveClick .

Двойной клик по нему для изменения значений параметров: 1 > Ok.

2. Удалить ярлыки приложений в контекстном Меню рабочего стола

Regedit > Редактор реестра > ключ : HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify.

В правой панели появится элемент с именем IconStreams: удалите его через клик правой кнопкой мыши и подтвердив намерение кнопкой Да.

3. Показывать секунды в часах Панели задач

Новинка в Windows 10, которой не было 25 лет – с Windows 95.

Ключ : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Клик по свободному месту вкладки Advanced, выбрать Создать > Параметр DWORD (32 бита). По аналогии с ранее описанными алгоритмами сделать ренейм параметра: ShowSecondsInSystemClock и изменить его параметр (ввести значение 00000001).

Удалите 3D -объекты (и другие папки) с этого компьютера.

4. Папка с трехмерными объектами

Ключ для удаления ( не забываем сделать бэкап ):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace. Удалить папку .

5. OneDrive

Алгоритм удаления для 32-битной системы – ключ : HKEY_CLASSES_ROOT\CLSID\ . Окно System.IsPinnedToNameSpaceTree – через двойной клик введите значение 0 > Ok.

Для 64-битной – ключ: HKEY_CLASSES_ROOT\Wow6432Node\CLSID\ .

Окно System.IsPinnedToNameSpaceTree – через двойной клик введите значение 0 > Ok.

6. Экран блокировки Windows 10

Чтобы отключить, используйте ключ :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization.

Создайте новый DWORD и переименуйте: NoLockScreen . Через двойной клик по иконке введите параметр 1 . Чтобы восстановить опцию блокировки, внесите значение 0 .

7. Удалить интернет-поисковик Bing

Ключ : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search. Правым кликом на папку Search/Поиск выберите новый DWORD (32 бита), назовите BingSearchEnabled и задайте параметр отключения 0 .

8. Избавиться от Кортаны

Процесс аналогичен описанному в пункте 7, новый DORD переименуйте в CortanaConsent и введите 0 . Для включения используйте значение 1 .

9. Отключить функцию «Встряхивание активного окна»

Ключ : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced отключит в реестре функцию DisallowShaking. Для дезактивации введите параметр 1 , изменения должны вступить немедленно.

10. Отключить приложение Фотографии

Не всем нравится его функционал, многие предпочитают более привычные инструменты просмотра. Разработчики позаботились о том, чтобы «гуманными» методами «снести» родное приложение было невозможно. Один из путей: через командную строку PowerShell . Алгоритм после запуска: Get-AppxPackage *photos* | Remove-AppxPackage

Криминалистические Артефакты: доказательства выполнения программы в системах Windows

Во время криминалистического анализа системы Windows часто важно понять, когда и как был запущен конкретный процесс.

Чтобы идентифицировать это действие, мы можем извлечь из целевой системы набор артефактов, полезных для сбора доказательств выполнения программы.

UserAssist

В системе Windows все программы на основе графического интерфейса, запускаемые с рабочего стола, отслеживаются в следующем разделе реестра:

Записи содержат два подраздела GUID ( Выполнение исполняемого файла CEBFF5CD, Выполнение файла ярлыка F4E57C4B ): каждый подраздел поддерживает список системных объектов, таких как программы, ярлыки и апплеты панели управления, к которым обратился пользователь.

Значения реестра в этих подразделах зашифрованы с использованием алгоритма ROT-13, который в основном заменяет символ с позицией другого символа 13 от него в таблице ASCII.

Читайте также:  Стриминг с mac os

Все значения имеют кодировку ROT-13, например:

Background Activity Moderator (BAM)

BAM — это служба Windows, которая контролирует активность фоновых приложений.

Этот сервис появился в Windows 10 только после обновления Fall Creators — версия 1709

Он предоставляет полный путь к исполняемому файлу, который был запущен в системе, а также дату / время последнего выполнения и расположен в этом пути реестра:

Ветки содержат список путей и исполняемых файлов, а значением каждого из них является время последнего выполнения в формате Filetime (64-битный метод с прямым порядком байтов) в UTC:

RecentApps

!Актуально до версии Windows 10 сборки 1803 (не включительно)

Выполнение программы, запущенной в системе Win10, отслеживается в ключе RecentApps:

Каждый ключ GUID указывает на недавно запущенное приложение:

AppID = Имя приложения
LastAccessTime = Время последнего выполнения в UTC.
LaunchCount = Количество запусков

ShimCache

База данных совместимости приложений Windows используется для выявления возможных проблем совместимости приложений с исполняемыми файлами и отслеживает имя файла исполняемого файла, размер файла, время последнего изменения.

Записи о последних 1024 выполненных программ в ОС хранятся в параметре CacheMainSdb :

Вы можете использовать этот ключ для идентификации систем, на которых было запущено определенное вредоносное ПО, с помощью специального инструмента, такого как ShimCacheParser.py , от Mandiant ( https://github.com/mandiant/ShimCacheParser )

Заметки по параметру CacheMainSdb

• Для Windows 7/8/10 параметр содержит не более 1024 записей
• LastUpdateTime не существует в системах Win 7/ 8/10

Amcache

ProgramDataUpdater (задача, связанная со службой Application Experience ) использует файл Amcache.hve для хранения данных о первом выполнении программы (даже портабельной со съемного носителя). Файл расположен:

Файл можно проанализировать с помощью плагина amcache для программы RegRipper ( https://github.com/keydet89/RegRipper2.8 )

Для получения дополнительной информации об Amcache и Shimcache в криминалистическом анализе, пожалуйста, обратитесь к этой статье: Amcache и Shimcache в криминалистическом анализе

Jump Lists (список прыжков)

Панель задач Windows 7-10 (список переходов) разработана для того, чтобы пользователи могли «переходить» или получать доступ к элементам, которые они часто или недавно использовали.

Данные находятся в папке:

Каждая запись это уникальный файл с добавлением AppID соответствующего приложения.

Файлы списков переходов AutomaticDestinations представляют собой OLE Compound Files , содержащие несколько потоков, из которых:

• шестнадцатеричный номер, например, «1а»
• список

Каждый из шестнадцатеричных пронумерованных файлов содержит данные, аналогичные данным ярлыка Windows.

Данные могут быть извлечены и проанализированы с помощью синтаксического анализатора LNK , например lnk-parse ( https://github.com/lcorbasson/lnk-parse ).

Prefetch

Файлы предварительной загрузки Windows предназначены для ускорения процесса запуска приложения. Файлы Prefetch хранятся в папке

и содержит имя исполняемого файла, список Unicode библиотек DLL, используемых этим исполняемым файлом, счетчик количества выполнений исполняемого файла и отметку времени, указывающую время последнего запуска программы.

В этой папке хранятся данные о последних 128 исполняемых файлах на Win7 и последних 1024 на Win8-10.