Descobrindo o que é executado no boot do windows


Quando ligamos o computador, diversas instruções são executadas (boot da máquina, instrução INT 19, leitura da trilha zero do HD, etc) na máquina até que possamos propriamente ter acesso ao sistema operacional e conseguir  usar o computador.

Nesse momento, vamos analisar quais aplicações ou possíveis scripts poderiam está sendo executados durante o boot do windows, no qual poderemos ter uma noção se algo diferente, como apagar determinados arquvos, estariam sendo realizados antes mesmos do equipamento ser liberado ao usuário / perito.

Uma rápida consulta no registro do windows, poderemos ter a informação desejada. Basta seguir os seguintes passos:

1 – Executar o regedit.exe em Iniciar -> Executar, e entre no registro do windows;

2 – Localize a chave “Session Manager” que pode ser encontrada no seguinte caminho:

HKEY_LOCAL_MACHINE -> System -> ControlSet001 -> Control -> Session Manager

Dentro dessa chave, no lado direito, procure a chave “BootExecute” e visualize o que está sendo executado durante o boot do windows.

Por exemplo, pode aparecer a seguinte informação:

BootExecute

autocheck xmnt2002 /bat=”C:\WINDOWS\TEMP\PQ_BATCH.PQB”

/win=”C:\WINDOWS” /dbg=”C:\WINDOWS\TEMP\PQ_DEBUG.TXT”

/ver=262144 /prd=”PartitionMagic”
autocheck autochk *

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s