Главная цель данной статьи состоит в том, чтобы рассказать читателям о том, для чего используются ярлыки объектов. Подойдем к этому понятию плавно. Для начала разъясним сам термин и все его основные характеристики.
Прежде всего ярлыки программ как элементы рабочего стола составляют виртуальное рабочее место пользователя. В нем содержатся главные инструменты, на которые должен ориентироваться любой пользователь. В нижней части экрана находится панель задач. Она имеет вид горизонтальной полоски. Данный элемент имеет сложную структуру и большое функциональное значение. Основное назначение панели задач состоит в отображения приложений, которые пользователь уже запустил. Также панель задач позволяет организовать удобное переключение между окнами.
Панель управления обеспечивает доступ к индикаторам времени, указателю переключения языков, значкам служебных программ. Как правило, на основном пространстве рабочего стола располагаются ярлыки и различные значки. Это и есть основные элементы, с которыми во время работы оперирует пользователь ПК. Ярлыки – это особый способ отображения файлов, стандартных папок, устройств и приложений. Так для чего же используются ярлыки? Сейчас мы узнаем ответ на этот вопрос.
Что такое ярлык?
Ярлыки представляют собой средство для быстрого доступа к тому или иному объекту. Подобные файлы, как правило, имеют разрешение .ink. Ярлык дает прямую ссылку на нужный ресурс: веб-страницу, программу, локальный диск, папку, файл или устройство. Чтобы защитить важную информацию, пользователь может самостоятельно создавать ярлыки для рабочего стола. Программы можно случайно удалить. Однако при использовании ярлыков вы можете обезопасить себя от потери данных.
Разместив ярлык на рабочем столе, вы формируете связь, которая дает возможность сократить объем оперативной памяти. Такой объект довольно легко опознать – его выдает небольшая стрелка, расположенная в левом нижнем углу. При помощи ярлыков вы можете сделать доступными файлы и программы, которые расположены в различных местах. Как вы сами можете убедиться, разобраться в том, для чего используются ярлыки, могут даже совсем неопытные пользователи. Изучить процесс их создания тоже достаточно просто.
Действия с ярлыками
Элемент, который дает возможность получить быстрый доступ к файлам, позволяет осуществлять с собой четыре основных операции: создание, обновление, замену и удаление. Пользователи чаще всего используют операции создания и удаления персонального компьютера. Давайте рассмотрим данные операции.
Как создать ярлык на рабочем столе?
Существует несколько способов создания ярлыков на рабочем столе. Довольно часто при установке сторонних приложений разработчики добавляют возможность автоматического создания ярлыков в меню «Пуск» или на рабочем столе. Что делать, если вам нужно самостоятельно сформировать на рабочем столе программы ссылку, которая будет активно использоваться? Давайте попробуем разобраться. Существует три способа создания ярлыков. Выделите необходимый объект и выберите команды «Файл» — «Создать ярлык».
После этого ярлык можно переименовать или переместить в необходимое место из корневой папки. Чтобы переместить значок файла на рабочий стол, необходимо нажать правую кнопку мыши, вызвать контекстное меню и выбрать в нем «Создать ярлык». Существует также радикальный метод. Его смысл заключается в том, что пользователь получает доступ к каталогу со всеми системными ярлыками. Прямо в нем можно поочередно выполнять команды: «Файл» — «Создать» — «Ярлык», а затем указать адрес актуального документа.
Удаление ярлыка
Теперь, когда вы знаете, для чего используются ярлыки и как их создать, стоит рассмотреть процесс удаления ярлыков. Отметим, что это действие ничем не отличается от других операции с ярлыками. Все довольно просто. Пользователю нужно выбрать интересующий его объект и нажать для вызова контекстного меню правую кнопку мыши и выбрать опцию «Удалить».
Рекомендации
Пользователи сегодня довольно часто используют ярлыки, но далеко не все знают, для чего они нужны. С преимуществами и пользой таких объектов спорить невозможно. Узнав, для чего используются ярлыки не стоит спешить занимать ими весь свой рабочий стол. Такие действия ни к чему хорошему не приведут. На рабочем столе нужно оставить только те ярлыки, которые вы будете регулярно использовать. Это в свою очередь, улучшит эстетическое восприятие материалов и повысит производительность компьютера.
Запись опубликована 27.10.2015 автором katrinas11 в рубрике Моя жизнь. Отблагодари меня, поделись ссылкой с друзьями в социальных сетях:
Какие бывают ярлыки в Windows и как включить показ их расширений
С понятием ярлыка хорошо знакомы все пользователи Windows. Ярлык — это небольшой графический объект файловой системы, содержащий ссылку на некий файл или папку. Также ярлык может содержать различную служебную информацию — тип, аргументы, горячие клавиши, путь к целевому объекту и значку, начальное состояние окна и тому подобное. В Windows ярлыки обычно используются для запуска программ с рабочего стола.
Также ярлыки могут создавать сами пользователи путем перетаскивания целевого объекта в нужное расположение с зажатой Alt или указанием пути либо команды в окошке мастера создания ярлыка.
LNK-ярлыки
Если вы внимательно читали первый абзац, то, наверное, обратили внимание на упомянутом нами некоем типе. Да, в Windows существует несколько типов ярлыков. Ярлыки, традиционно расположенные на рабочем столе и используемые для запуска установленных программ, являются самыми распространенными. Они имеют расширение LNK и используют интерфейс IShellLink — особый механизм для работы с данным типом объектов файловой системы. Область применения -ярлыков обычно ограничивается созданием ссылок на файлы, каталоги, реже апплеты классической панели управления.
URL-ярлыки
Данный тип ярлыков используется для открытия определенных веб-ресурсов в интернете. -ярлыки имеют простую структуру, а их содержимое обычно ограничивается определяющим тегом и полным адресом ресурса. Дополнительно -ярлыки могут содержать путь к иконке или содержащему иконку файлу, горячие клавиши и метаинформацию. Расширение ярлыки интернета имеют , гораздо реже встречаются ярлыки с расширением . Двойной клик по таким объектам запускает браузер по умолчанию.
PIF-ярлыки
Ярлык, используемый для запуска программ MS-DOS. По назначению -ярлыки близки к ярлыкам , но в отличие от последних не нуждаются в посредниках вроде интерфейса , а запускаются напрямую. Их содержимое представлено путем к исполняемому файлу, инструкциями для исполнения -приложения в среде Windows и различными метаданными — сведениями об используемых шрифтах, дату создания и модификации и прочее. -ярлыки пользовались популярностью в ранних версиях Windows, сегодня встречаются редко, иногда под ярлыки маскируются вирусы, так что будьте осторожны, если встретите такой файл в интернете.
Ярлыки APPREF-MS
Шанс столкнуться с ярлыком, имеющим расширение APPREF-MS , у рядового пользователя весьма невелик. Создаются такие ярлыки для приложений ClickOnce и служат для подключения к серверу, на котором располагается приложение. Содержат адрес сервера и токен для запуска удаленной программы.
SHB-ярлыки
Так называемый ярлык документа, разработанный Microsoft и используемый для открытия файлов документов в Windows с помощью библиотеки . По структуре и назначению близок к , но встречается намного реже. Содержимое представлено путем к целевому объекту и метаданными.
XNK-ярлыки
Этот тип ярлыков используется для быстрого открытия каталога или другого элемента в программе Microsoft Outlook. Создаются -ярлыки путем перетаскивания объекта из почтового клиента на рабочий стол. Использовались -ярлыки в старых версиях , шанс встретить их сегодня невелик.
Как включить отображение расширений ярлыков
В Windows, даже если вы включите отображение расширений файлов, расширения ярлыков останутся скрытыми. Это сделано для вашего удобства пользования ярлыками, но это же является потенциальной угрозой безопасности, поскольку под вполне невинным текстовым файлом может скрываться вредонос с расширением ярлыка.
Есть, однако, способ, позволяющий включить показ расширений ярлыков, хотя и не столь очевидный.
За скрытие расширений ярлыков в реестре отвечает текстовый параметр NeverShowExt с пустым значением. Если его удалить, соответствующее расширение станет видным. Единственная трудность в том, что вам придется найти экземпляры вручную и удалить их.
Откройте редактор реестра, выделите мышкой раздел HKEY_CLASSES_ROOT и нажмите F3 , чтобы вызвать окошко поиска. Поскольку другие элементы нам не нужны, отмечаем галочкой только пункт «Имена параметров» и запускаем процедуру поиска.
Удаляем параметры NeverShowExt в найденных ключах.
Предварительно создав резервную копию ключа (экспортировать).
А если что не удаляется, то и не трогаем.
Какой экземпляр за какой тип ярлыка отвечает, догадаетесь по названию. Например, параметр в ключе HKCR/lnkfile отключает показ расширений LNK -ярлыков, а тот же параметр в ключе HKEY_CLASSES_ROOT/piffile — за показ расширения ярлыков типа PIF .
Новые настройки должны вступить в силу после перезапуска Проводника, но может понадобится и перезагрузка компьютера.
Ярлыки Windows и операции с ярлыками
Операции с ярлыками в Windows
Описывая целый ряд приколов и шуток, которые можно использовать против своих друзей и коллег, с удивлением обнаружил, что не все из вас, дорогие мои, могут исполнять элементарные, казалось бы, вещи, что усложняет реализацию идей воспалённого мозга автора и читателя статей о том, как пошутить над коллегой. Постоянный читатель этого блога заметил, наверное, что мне приходится не раз описывать некоторые действия из раза в раз. Первый, кто от этого устал, я сам. И потому пришло на ум создать целый ряд заметок для тех, кому в диковинку некоторые простейшие операции, которые многим могут показаться детскими заданиями. Но Москва не сразу строилась, и потому начнём со статьи главные операции с ярлыками.
Что же действительно можно сделать с ярлыками программ и обычных папок? Какие операции с ярлыками возможны? Они, ярлычки, не статичны, и существует целый ряд способов их создания и изменения. Мне приходилось, кстати говоря, видеть даже платные программы для тюнинга Рабочего стола Windows. Я покажу, как частично эту работу провести бесплатно.
Расположение ярлыков по Рабочему столу
Щёлкните правой мышкой по свободному месту Рабочего стола. Появится меню дополнительных действий. Выставляя галочки по Имени, Размеру, Типу, вы можете группировать ярлыки по этим характеристикам, начиная с верхней левой части экрана.
Другое дело, удобно ли это? Наверное, да. Для тех, у кого много ярлыков на Рабочем столе. Но лично я не терплю хлам даже виртуальный, так что такая структура для ярлыков для меня лишняя. Но вы теперь знаете о возможностях вашего Рабочего стола.
Операции с ярлыками . Как сменить рисунок или изображение ярлыка?
А вот эта операция используется нередко. Порой она очень удобна и полезна. Например, выделим только что созданную папку с важным содержимым, и которую хочется выделить средь других, дабы та не потерялась. Иногда смену значка можно применять и во «враждебных» целях, когда хочется подсунуть жертве компьютерные приколы вместо обычно используемой им или ей программы. Итак, чтобы сменить рисунок ярлыка, нужно:
Щёлкнуть правой мышкой по ярлыку папки или самой папке правой мышкой, вызвав контекстное меню и нажмите в самом низу меню
Если это папка, то перейдите во вкладку и нажмите кнопку
Появится целый список значков на любой вкус из корневой папки Windows. Он очень обширный. Но существуют целые программы, которые могут значительно расширить и этот список. Если интересно, поищите в сети. Кроме того, можно поискать другие значки в папках установленных в Windows программ. Здесь определённый путь к этим значкам назвать, как сами понимаете, трудно. Просто при появлении окна как на фото выше, нажмите кнопку …, затем справа найдите , выберите локальный диск С, папку и ищите в папках программ подходящие ярлыки.
Если имеете дело с ярлыком спрятанного файла, программы или папки, то также щёлкните по значку ярлыка и увидите окно Свойства. Пройдите во вкладку
Нажмите и попадёте в похожее меню, если папка с программой уже содержит значки или, пропустив ошибку, Windows перенаправит вас в свою директорию со значками. Выбирайте.
Как убрать символ ярлыка со значка?
Не понимаю, кому он мешает. Но если так хочется, воспользуйтесь программами сторонних разработчиков, это самый безопасный способ. Рекламировать не буду, их много. Наберите в поисковой строке вашего любимого поисковика вопрос «как убрать значок ярлыка». Не хочется ничего качать? Давайте научу, как это сделать самому. Для этого придётся сбегать в реестр. Наберём
Пройдём по ветке:
И удалите параметр . Перезагрузитесь.
Существует ещё несколько интересных трюков, с помощью которых можно усовершенствовать операции с ярлыками . Например, добавить комментарий к ярлыку, который будет высвечиваться при наведении мыши или установить сочетание клавиш, нажатием на которые можно быстро получить доступ к программе или папке, куда этот ярлык ссылается. То есть тот же эффект, что и после двойного щелчка левой мышкой. Все эти функции доступны в том же контекстном меню. Итак, правой клавишей мыши по ярлыку – …
Окно, которое будет выскакивать при наведении мыши, так и называется – Комментарий… Пишите, что хотите.
Для каждой программы – своя клавиша
А клавиши быстрого вызова можно установить, нажав в поле Быстрый вызов любую из клавиш буквенно-символьную клавишу. Теперь вы можете вызывать программу сочетанием Ctrl + Alt + ваша_клавиша. Функция будет доступна, если ярлык будет находиться в папке, которая в данный момент открыта. То есть после удаления ярлыка, сочетание для него не сработает. Если же не хотите, чтобы ярлык постоянно мозолил глаза, сделайте его невидимым. Откройте меню дополнительных функций правой мышкой, нажмите . Теперь пройдите во вкладку . Установите галочку напротив . Применить – ОК. Ярлык стал невидимым.
Если захотите посмотреть на все скрытые папки и файлы, которые по умолчанию скрыты от ваших глаз, настройте вид папок в свойствах. Для этого откройте любое окно Windows Explorer, например, Мой компьютер. В шапке выберите
В вкладке активируйте функцию Показывать скрытые файлы и папки. Жмите ОК. Только теперь будьте вдвойне аккуратнее, ибо все скрытые системные файлы Windows прячет от вас не зря. В Windows Vista и Windows 7 проделываем тоже самое.
Создаём рисунок к ярлыку самостоятельно
Наконец, . Для этого нам не придётся устанавливать никаких программ, а просто предлагаю воспользоваться специальным сервисом в сети FavIco.com. Пользоваться сервисом просто. В поле под надписью
Select File From Your Computer
нужно ввести путь к рисунку, который станет иконкой. Для этого воспользуйтесь кнопкой Browse и просто указать на файл. Выберите размеры 16х16 или 32х32 и жмите на кнопку .
У сервиса есть, понятно, некоторые требования. Так, с изображениями больших объёмов он работать не хочет, так что сожмите рисунок как следует. Это можно сделать через встроенный редактор MS Office. Откройте рисунок утилитой Диспетчер рисунков MS Office, выберите и в поле справа установите галочку на Сжимать для сообщений электронной почты. Сохраните изменения. Нажмите ОК и Ctrl + S. Всё готово. Теперь сервис его скушает.
После нажатия кнопки Create изображение должно появиться прямо на сайте. Нам остаётся нажать на кнопку с изображением стрелочки, направленной вниз, и найти скачанную иконку в папке загрузок.
Как сменить значок, вы уже, наверное, выучили. Правой мышкой щёлкаем по значку и выберем . Ищем во вкладках кнопку Указываем путь через кнопку Находим и жмём ОК.
Ярлыки для быстрого вызова приложений
А вот эта функция является недокументированной, однако может оказаться полезной для создания ярлыков для быстрого вызова некоторых функций Windows. Не думаю, что вы будете использовать команды Rundll32 ежедневно, но пригодиться некоторые могут.
Суть такова: каждая из описываемых команд указывает проводнику Windows на ту или иную функцию системы. Создав ярлык с такой командой и дважды по нему щёлкнув мышкой, вы избавляете себя от порой бесчисленных переходов и поисков в дебрях системы.
Например. Создайте на Рабочем столе новый ярлык:
и в поле наименования укажите команду:
Теперь по нажатии на ярлык система сразу перекинет вас в менеджер сохранения имён и паролей:
Операции с ярлыками : список команд для вызова приложений
Установка и удаление программ Windows:
Менеджер установки Ограничений доступа в учётных записях:
Панель управления системы (все её элементы):
Удаление временных интернет файлов:
Удаление кукисов, полученных с сайтов:
Удаление истории обзора обозревателя Windows:
Удаление данных формы:
Удаление введённых паролей:
Удаление журнала обозревателя вчистую:
Тоже самое плюсом к этому стираются файлы и настройки, сохраняемые расширениями и дополнениями:
Настройки экрана (монитора):
Параметры папок – Общие:
Параметры папок – Поиск:
RunDll32.exe shell32.dll,Options_RunDLL 2
Параметры папок – Вид:
Мастер забытых паролей:
Диалоговое окно настроек IE:
Смена назначения клавиш мыши (левая становится правой и наоборот):
Окно настроек мыши:
Подключение сетевых дисков:
Диалоговое окно для файла Имя-Файла.Расширение
Пользовательский интерфейс принтера:
Языковые и региональные настройки:
Сохраняемые имена и пароли:
Свойства системы – Удалённый доступ:
Свойства Панели задач и меню Пуск:
Учётные записи пользователей:
Безопасное извлечение устройства:
Центр безопасности Windows:
Про вашу копию Windows:
Теперь про операции с ярлыками вы знаете больше. Успехов
Урок 23. Ярлыки на рабочем столе компьютера. Что это такое?
Ярлыки на рабочем столе компьютера. Что это такое? Чем они отличаются от папок и файлов? Как создать ярлык на рабочем столе, и что будет, если его удалить? Можно ли изменить значок ярлыка? На все эти вопросы вы найдете ответы в этом уроке.
Работая в операционной системе Windows 10, вы наверняка заметили, что тратите слишком много времени на то, чтобы открыть меню Пуск, найти необходимую папку или программу, открыть эту папку или запустить программу, и вернуться обратно на рабочий стол. А ведь всё это можно делать гораздо быстрее и проще. Достаточно создать ярлык и поместить его на рабочий стол.
Ярлыки на рабочем столе компьютера
Что такое ярлык
Ярлык – это всего лишь значок, ссылающийся на программу или файл, поэтому он не забирает ресурсы системы и не влияет на производительность компьютера. Ярлык, в отличие от папки или файла, очень мало «весит». Поэтому гораздо безопаснее и удобнее держать ярлыки на рабочем столе, а не папки.
Чем ярлык отличается от файла и папки
У ярлыка в левом нижнем углу есть маленькая стрелочка. Если этой стрелки нет, значит, вы работаете с исходником.
Если вы скопируете на флешку ярлык, то на другом компьютере он не откроется, т.к. это не файл, а всего лишь ярлык. Многие начинающие пользователи компьютера не знают разницу между ярлыком и файлом, и не понимают, почему это происходит.
Для того, чтобы не открывать без конца меню Пуск и не искать в нем необходимую папку или программу, можно создать ярлыки на рабочем столе. Для этого необходимо сделать следующее:
- Папки и документы. Открыть Проводник, кликнуть правой кнопкой мыши по папке или документу, доступ к которому вам необходим, и выбрать в контекстном меню команду Отправить, а затем опцию Рабочий стол (создать ярлык). И на вашем Рабочем столе появится ярлык этой папки или файла.
Можно просто выделить левой кнопкой мыши любой значок папки или диска, и не отпуская кнопки мыши, перетащить его на Рабочий стол.
- Веб-сайты. Откройте браузер, с которого вы выходите в интернет. Сверните окно так, чтобы было видно Рабочий стол. Выделите ссылку в адресной строке, кликните по ней левой кнопкой мыши, и не отпуская кнопку мыши, перетащите эту ссылку на рабочий стол, и отпустите. Теперь у вас есть ярлык этого сайта. Достаточно кликнуть два раза по нему мышкой, как запустится браузер и откроется страница этого сайта.
Можно ли ярлык перемещать и удалять
- Ярлык можно перенести в другое место. Он все равно будет работать. А вот, если вы перенесете в другое место объект, на который он ссылается, то надо будет создать новый ярлык, а старый удалить.
- Если вы удалите ярлык, то ничего страшного не произойдет. Удалиться только сам ярлык, а все файлы, на которые он ссылается, останутся целые и не вредимые.
Как узнать, как называется программа, на которую ссылается ярлык, и где она находится
- Для того, чтобы узнать, какую программу запускает этот ярлык, и где она находится, необходимо кликнуть правой кнопкой мыши по этому ярлыку, и выбрать в контекстном меню команду Свойства. Откроется окно в котором в поле Объект будет прописан путь к нему и его название.
Как можно изменить значок ярлыка
Вы можете изменить значок ярлыка. Для этого необходимо кликнуть по нему правой кнопкой мыши, выбрать в выпадающем меню пункт Свойства, перейти на вкладку Ярлык, и нажать ниже кнопку Сменить значок.
Выбираете любой значок и сохраняете всё.
Вот таким образом можно создать ярлыки на рабочем столе всех необходимых вам папок и программ.
Что такое ярлык и значок
Что такое значок? Значком принято называть графический элемент интерфейса операционной системы, запускающий или разворачивающий при щелчке на нем мышью какую-либо программу или инициирующий открытие файла. В частности, значки содержатся в панелях инструментов, интегрированных в панель задач Windows, в главном меню системы; запущенные приложения сворачиваются при выборе соответствующей команды в панель задач . Кроме того, значком называется графическое изображение, обозначающее в Microsoft Windows какой-либо файловый объект: например папку, программу, документ или аудиоклип. Другими словами, все элементы, которые вы можете увидеть в рабочем окне проводника Windows, отображаются в форме значков.
Ярлык для браузера опера выглядит как показано на картинке (слева). Справа на картинке расположен ярлык программы, делающий скриншоты всего экрана или его части.
Что такое ярлык? Ярлык является графическим элементом интерфейса Windows, связанным с какой-либо программой или файловым объектом посредством динамической ссылки. Фактически ярлык представляет собой пусковой элемент программы, при щелчке на котором мышью операционная система выполняет команду запуска соответствующего приложения. Например, в случае если программа физически расположена в какой-либо папке на одном из дисков вашего компьютера, вы можете запустить ее на исполнение из любой другой папки, поместив в ней ярлык этой программы. Самый распространенный вариант использования пусковых ярлыков программ — это размещение их на Рабочем столе Windows. Основное отличие ярлыка от значка заключается прежде всего в том, что значок хранится в самом запускаемом файле приложения, ярлык же представляет собой отдельный файл, содержащий системную команду. Ярлыки отображаются в Microsoft Windows в форме небольшого графического элемента с изображением стрелки в левом нижнем углу.
Упрощая, можно сказать, что в виде значка в интерфейсе Windows отображается сама программа или документ, в то время как ярлык — это просто системная команда, для наглядности представленная на экране в виде небольшого графического изображения. При двойном щелчке мышью на значке система запускает обозначаемую данным значком программу, при двойном щелчке на ярлыке Windows обращается к «спрятанной» под ярлыком команде, ищет программу, на которую ссылается эта команда, и запускает ее. При этом сама программа может храниться где угодно — на жестком диске, на ком-пакт-диске на дискете и даже в Интернете. Данное различие следует учитывать при выполнении различных операций с файлами: если, например, вместо документа вы случайно скопируете на дискету его ярлык, открыть этот документ на другом компьютере будет невозможно.
Классификация ярлыков Windows и виды их заражения
Dragokas
Very kind Developer
В современном мире угроз для эффективного выявления следов вредоносного ПО консультант должен представлять себе, какими бывают способы заражения, связанные с эксплуатацией ярлыков Windows, а также разновидности самих ярлыков.
Часть 1. Файлы LNK.
Наиболее популярным в данное время форматом ярлыков является MS ShellLink (*.LNK). Злоумышленники используют их в таких целях:
1) Для распространения рекламного ПО (Adware):
1.1. Добавление аргумента
Сканируются все папки профилей пользователей на соответствие с распространенными именами браузеров, после чего добавляется дописка в виде рекламного сайта (часто с реферальной ссылкой), например:
где iexplore.exe – цель ярлыка, hxxp://virus.com – аргумент.
Во время запуска такого ярлыка стартует браузер Internet Explorer и открывается страница по адресу hxxp://virus.com.
Пример детектирования VirusTotal — Opera.lnk
1.2. Установка ярлыку атрибута «Только чтение»
Это делается с целью затруднить возможность пользователю вручную удалить из ярлыка дописку аргумента.
[article]
Для запутывания следов, ухода от распознавания инфицированных ярлыков антивирусными движками, используются приемы промежуточного запуска через скрипты, а также изменение хешей и обфускация самих скриптов, так например:
[/article]
1.3. Цель ярлыка заменяется на путь к батнику (.BAT или .CMD-файл).
В природе были замечены подмены только на .BAT.
Батник – это обычный текстовый файл, в котором последовательно выполняются указанные в нем программы или команды.
Вирусописатели подставляют в него путь к браузеру и аргумент, аналогично п. 1.1.
1.4. Запись командной строки прямо в аргументы ярлыка
Аналогично батникам, только содержимое батника находится целиком в аргументах ярлыка и запускается через интерпретатор cmd.exe
1.6. Маскировка.
// Вырезано. Авт. — информация доступна только для членов ассоциации VirusNet //
1.7. Установка атрибутов «Скрытый / системный»
Для чего это делается доподлинно неизвестно. Возможно, с целью обхода проактивной защиты, т.к. операция удаления/переименования файлов может считается подозрительной.
Оригинальные ярлыки браузеров скрываются. А на том же месте создаются похожие на них, но зараженные.
1.8. Подмена путей расположения иконки LNK.
Есть и такой неприятный момент: для части ярлыков (причем не только браузерных) путь иконок переназначается в другую папку, где заодно создаются копии легальных EXE-файлов браузеров.
Обнаружив подозрительную папку с недавней датой создания, консультант удаляет ее. В результате этого действия ярлыки становятся «белыми» (без иконки), на что иногда возникают жалобы у пользователей.
Программа «ClearLNK by Dragokas» способна распознавать некоторые видны подмен иконок и исправлять их на иконку по-умолчанию, о чем указывается в итоговом отчете.
где «.», index=1 – означает замену на иконку по-умолчанию (ту, что находится в цели (объекте) ярлыка).
1.9. Новые техники
Следует не забывать, что злоумышленники постоянно ищут возможности глубже спрятать следы присутствия Adware. Формат LNK дает им такой шанс. Вас не всегда смогут спасти заточенные под аналитика программы проверки. Например, существует такая секция LNK, когда http-адрес сразу указывается в объекте запуска. Из всех известных мне программ анализа только Universal Virus Sniffer от Дмитрия Кузнецова и FixerBro by glax24 умеют распознавать такой ярлык. Мы работаем над данной проблемой перед выпуском 2-го поколения Check Browsers’ LNK by Dragokas & regist.
2) Запуск BITCOIN-майнеров:
Майнер криптовалюты – это программа, которая запускается на стороне пользователя и служит для создания (добычи) электронной валюты (биткоинов / лайткоинов и др. форков… ), используя мощность центрального процессора и/или видеокарты для математических рассчетов.
Данная сеть чрезвычайно анонимна, так как не использует привычную адресацию.
Рассчитываются специальные блоки данных для нахождения хешей. Блоки получают от других программ-клиентов (нечто похожее на P2P), но как правило, их раздают сервера (они называются – пулами, от слова «пул») (так, награда за мощности распределяется более равномерно между участниками и можно наглядно следить за статистикой он-лайн на сайте пула).
Все, что Вам нужно о них знать, это:
— запуск майнера сопровождается, обычно*, близкой к 100% нагрузке на центральный процессор или видеокарту.
* если только процесс не запущен в режиме пониженного приоритета.
— могут работать в фоновом (скрытом) режиме;
— чаще всего запускаются через ярлык или батник, так как требуют обязательной предварительной настройки с указанием адреса сервера (пула), например:
«K7x32_liteguardian.com.lnk» -> [«H:_BitCoinpoolsliteguardian.comstart_K7x32.cmd«] -> start «» «%
dp0x64cudaminer.exe» —no-autotune -d 0 -i 0 -l K7x32 -C 1 -m 1 -o stratum+tcp://eu-2.liteguardian.com:3333 -O Diskretor.1:x
Где eu-2.liteguardian.com – адрес пула для майнинга.
Часто новички оставляют в такой командной строке и пароль доступа к учетке. По вышеприведенному примеру:
1) Имя пользователя: Diskretor.1
2) Пароль: x
Существуют и так называемые BURST-майнеры, которые добывают валюту через мощностя жесткого диска (например, pocminer.exe). Иными словами – Вашему винчестеру осталось меньше жить . Но таковые особого распространения не получили (для профита нужен минимум 1 ТБ свободного места).
Под заражением BITCOIN-майнером подразумевается его установка без ведома и разрешения владельца ПК.
В целом, на данный момент число такого вида заражений можно считать несущестенным. Тем не менее, в сети все еще гуляют исполняемые файлы (дропперы) этого вида угрозы.
Причиной понижения числа заражений можно считать существенное ухудшение эффективности добычи криптовалюты за счет одиночных компьютеров (особенность механизма распространения монет) в пользу так называемых ASIC-майнеров (специальных ПК).
Речь идет об уязвимости CVE-2010-2568, обнаруженной в ходе изучения червя Stuxnet.
При открытии в проводнике папки с ярлыком отрисовывается его иконка. Иконка ссылается на ресурс в библиотеке DLL, путь к которой указан злоумышленником. Загрузка ресурса приводит к запуску кода инициализации этой библиотеки, где и прописаны дальнейшие вредоносные действия.
Как говорится в исследовании, сделанном год назад, эта уязвимость все еще весьма актуальна и затрагивает большинство версий ОС.
Между слов, исправление уязвимости появилось только спустя 5 лет – 10.03.2015. Собственно: страница с самим исправлением.
Часть 2. Файлы PIF.
Этот формат представляет из себя ярлыки для программ MS-DOS.
В отличие от LNK, они запускаются напрямую, а не через интерфейс IShellLink.
Это позволяет делать некоторые махинации с форматами.
Так, содержимое файла PIF может быть начинено форматом исполняемого файла PE EXE (.EXE) либо (.COM).
Встречалась также подмена на формат архива.
Это легко распознать, если открыть файл в HEX-редакторе и посмотреть на первые буквы.
— PE EXE (.EXE) файл – сигнатура MZ (0x4D5A) (Mark Zbikowski).
— .COM файл – сигнатура бывает разная (первые 2 байта – одно из чисел перечисления MachineTypes) или вообще любое другое (для 16-битных COM), кроме MZ и ZM.
— ZIP-архив – сигнатура PK (0x504B)
Обратите внимание, что исполняемый файл в виде .PIF не всегда означает подмену во вредоносных целях. Так, например, защищают программы от файловых вирусов, а также для обхода политик блокировки запуска исполняемых файлов. Например, полиморфная версия AVZ или AutoLogger-а (в целях безопасности, приведены ссылки на обычные версии).
Поскольку, кол-во людей, которые до сих пор работают с программами MS-DOS, можно сосчитать по пальцам (+ они не запускаются на x64-битных ОС, не учитывая эмуляторов вроде DosBox), будьте уверены, что 80% файлов .PIF, которые Вы увидите в логах, не являются ярлыками.
Часть 3. Файлы URL, WEBSITE.
Оба варианта расширений имеют идентичную структуру формата UniformResourceLocator.
Минимальный пример содержимого:
При запуске этих типов файлов, как правило, открывается браузер по-умолчанию со страницей, адрес которой указан в ярлыке.
Ассоциация задана в реестре.
Значения по-умолчанию:
Часть 4. Файлы APPREF-MS (ClickOnce).
Наиболее загадочные и наименее документированные.
Часть информации можно подчерпнуть в статье от Remko Weijnen.
Ярлыки с расширением .appref-ms создаются для приложений ClickOnce и запускаются такой командой:
После запуска такого ярлыка происходит подключение к серверу, на котором опубликовано это приложение.
Идет попытка обновить/установить программу. Только после этого происходит запуск.
Определить, куда установлена программа не запуская ярлык, стандартными средствами невозможно, зато можно узнать адрес ресурса, открыв ярлык обычным блокнотом:
В целом, все исполняемые файлы программ ClickOnce хранятся в папке:
(XP) %userprofile%Local SettingsApps
(Vista и выше) %LocalAppData%Apps
Данные о заражениях: не было или неизвестно.
____________________________
Теперь, когда Вы вооружены знаниями о видах заражения ярлыков, логи для Вас окажутся более дружелюбными
Надеюсь, что этот материал окажется Вам полезным.
Спасибо за внимание.
Источник: