| Издательский дом ООО "Гейм Лэнд" | СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #40, МАРТ 2004 г. |
Государственный реестр
Федор (5p1k3) Галков
Спецвыпуск Xakep, номер #040, стр. 040-060-5
1. Самая стандартная фишка реестра. Запуск программ из реестра, минуя автозагрузку – любимое место троянцев. Смотри ветку HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ - из этого ключа проги будут грузиться каждый раз после входа пользователя. Или ...\RunOnce\ и …\RunOnceEx\ - отсюда программа загружается всего один раз, затем параметр удаляется. Или …\RunServices\ и …\RunServicesOnce\ - прога грузится еще до входа пользователя в систему. Также есть аналогичные параметры только для текущего пользователя, а не для всех: HKCU\Software\Microsoft\Windows\CurrentVersion\Run или …\RunOnce\. Теперь добавляй или удаляй проги на автозапуск. Для задания пути запускаемого файла используется тип данных REG_SZ или REG_EXPAND_SZ.
2. Запрет на доступ к реестру (на запуск regedit.exe). Заходи в раздел HKCU\Software\Microsoft\ Windows\CurrentVersion\Policies\System\ и создай параметр DisableRegistryTools типа REG_DWORD со значением 1. Хотя реестр все равно можно будет править другими программами. Также можно настроить разрешение на доступ к отдельным ветвям каждому пользователю персонально: кликай правой клавишей по ключу и выбирай пункт «разрешения…», в появившейся менюшке можешь настроить для каждого пользователя права на чтение и редактирование данного ключа реестра.
3. Отрубаем автозапуск CD. Заходи HKLM\System\CurrentControlSet\Services\Cdrom\ и меняй AutoRun с 1 на 0. Если хочешь наоборот – включить, то ставь 1.
4. Автоматически выгружать из памяти неиспользуемые библиотеки (увеличивает количество свободной памяти, что заметно ускоряет работу). Если полезут лаги, то придется включить снова. Залезай в HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ и делай новый параметр AlwaysUnloadDLL типа REG_DWORD со значением 1.
5. Очистка файла подкачки pagefile.sys перед выходом из системы. Если очень паришься по поводу безопасности, то включай эту опцию: файл подкачки, в котором могут остаться, например, пароли, перед выходом будет очищаться, но комп будет выключаться несколько дольше. HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\ и ставь 1 напротив ClearPageFileAtShutdown.
6. В ХР есть встроенная прога Dr.Watson для диагностики ошибок – польза от нее крайне сомнительна. Я думаю, она так и висит у тебя мертвым грузом, отжирая память. Перекроем ей кислород: HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\ ставь 0 параметру Auto.
7. Отключить надоедливое сообщение о нехватке свободного места на харде. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\. Если нет, то создавай там новый параметр NoLowDiskSpaceChecks и ставь ему значение dword равное 1.
8. Запретить бесполезные окошки с предложением отослать в MS сообщение об ошибке. Заползай в HKLM\Software\Microsoft\PCHealth\ErrorReporting и присвой 0 параметру DoReport.