Comments 7
Не хватает указания прав, необходимых для того или иного метода. Я почти уверен, что чтобы залезть в файлы планировщика или в ветку обновлений, нужно уже иметь права NT/System. А ветки Run/RunOnce, при всей своей очевидности, требуют только прав пользователя.
TaskScheduler - старый трюк. Но многие его до сих пор используют для обхода запроса прав администратора. Дыра, конечно, знатная, вообще-то. Один раз разрешил - всё. Можно делать от имени этой задачи, что хочешь.
Не надо сидеть за компьютером от админа. В линукс это почему-то логично и нормально лет 25. А в винде так и не научили людей.
Ну я то сисадмин, в безоблачном детстве, был. :) Очень редко (игрушки как правило, да) если какая-то софтина требует админских прав для инсталла и не подписана, но софтина нужна, ставлю её в сандбоксе и копипастом переношу в хост. А если требует админских прав на запуске, то... Не нужна мне такая софтина. Ну и умею я мониторить сервисы, логи, автозапуски и всякое такое. Ну и опять-же ключ - подпись. Если какому-то условному калькулятору нужны админские права для запуска и он не подписан. В топку.
Ни разу не ловил вирусов, троянов, "шифровальщиков" и так далее...
А вообще в 99% процентов случаев админские права, для софтины, нужны в случае криворукости программеров. Которым прямо обязательно в HKEY_LOCAL_MACHINE что-то писать надо или, кушать не могут, как требуется в корень диска С что-то положить.
RunOnceEx забыли, да вообще, описаны только самые очевидные. Странно что https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns не упомянули.
Истории из жизни вредоносов: прячемся в автозагрузку ОС Windows