کلیدهای Run رجیستری / پوشه Startup
Registry Run Keys / Startup Folderتوضیحات
مهاجمان کلیدهای Run رجیستری یا پوشه Startup ویندوز را تغییر میدهند تا برنامههای مخرب در هنگام ورود کاربر اجرا شوند. کلیدهای رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run و HKLM\Software\Microsoft\Windows\CurrentVersion\Run اهداف رایج هستند.
روشهای شناسایی
نظارت بر تغییرات کلیدهای Run رجیستری. بررسی پوشه Startup. شناسایی ورودیهای جدید در مکانهای autostart. تحلیل فایلهای اجرایی در Startup.
روشهای مقابله
نظارت بر کلیدهای Run رجیستری. محدود کردن دسترسی به رجیستری. بررسی منظم ورودیهای Startup. استفاده از Application Whitelisting. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
اجرای خودکار در بوت یا ورود
مهاجمان برنامهها یا دستوراتی را پیکربندی میکنند که به طور خودکار در هنگام بوت سیستم یا ورود کاربر اجرا میشوند. این تکنیک برای ایجاد پایداری استفاده میشود تا کد مخرب پس از راهاندازی مجدد سیستم نیز اجرا شود. روشهای متعددی در ویندوز، لینوکس و macOS برای این منظور وجود دارد.