Сейчас нас будет интересовать вопрос, как обнаружить троянских коней, которые проникли в систему. Как мы уже говорили, троянские кони должны запускать себя каждый раз при загрузке машины. Следовательно, у нас есть возможность отследить их, т. к. информация об автоматически загружающихся приложениях в системе четко документируется. Первое место, где следует искать изменения при возникновении подозрения на заражение — это группа Автозагрузка. Однако она слишком известна, и только начинающие вирусописатели будут помещать ярлык для запуска своего троянского коня в эту группу. Чаще всего используется другой способ автоматической загрузки.
В операционных системах семейства Windows есть еще один список приложений, загружаемых при старте операционной системы. Этот список отображается в системном реестре, точнее в его ветви HKEY_LOCAL_ MACHIN E\Software\Microsoft\Windows\CurrentVersion\Run. Пример этою списка показан на рис. 21.4.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run в системном реестре
Обычный пользователь с трудом расшифрует эти наименования. Поэтому следует при первичной установке операционной системы записать состав этой ветви реестра и регулярно анализировать его изменения. Далеко не все появившиеся записи свидетельствуют о появлении троянского коня в системе, но "добропорядочные" приложения предупреждают о том, что они будут запускаться каждый раз при старте системы, и их можно будет отличить от маскирующихся собратьев.
При использовании операционных систем Windows NT, Windows 2000 и старше стоит также обращать внимание на ветвь системного реестра HKEY_ LOCAL_MACHINE\Software\Microsoft\Wmdows\CurrentVersion\RimServices.
