O que são as Chaves de Execução no Registro?

Muitos programas e ferramentas fazem com que o Windows execute chaves e serviços para inicializar ou carregar automaticamente sempre que o sistema operacional do Windows for inicializado. Embora esse serviço possa ser uma conveniência necessária, ele também pode ser problemático quando acessado por um programa mal-intencionado.

As chaves de execução e os Serviços fazem parte do registro, um banco de dados hierárquico que contém as configurações que executam o sistema operacional do Windows, seus serviços e os aplicativos suportados pelo Windows. Existem sete chaves de execução no total e cinco tipos de serviço.

Lista das chaves de Execução que estão no Registro do Windows da Microsoft:

1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
4. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
5. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
6. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
7. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup

Com base na lista mencionada acima, as chaves de execução do #1 ao #4 são processadas depois de fazer o login ou no estágio de inicialização, as #5 e #6 são processadas ou executadas em segundo plano e a chave de execução #7 é exclusiva da Regulagem ou quando o Assistente do Windows do Adicionar/Remover Programas estiver sendo usado. Por padrão, as Chaves de Execução são ignoradas no Modo de Segurança, embora hajam maneiras de contornar essa configuração.

Então, qual é a diferença entre as Chaves de Execução que inicializam ou carregar programas e os Serviços na inicialização e na pasta de inicialização usada para executar aplicativos automaticamente? O sistema operacional possui uma ordem específica na qual ele procura e executa automaticamente os programas; o Registro do Windows tem prioridade sobre a pasta de inicialização. O Registro do Windows não apenas abriga serviços que iniciam os aplicativos, com também abriga serviços essenciais para a execução do sistema operacional. Portanto, deve-se usar a opção de inicialização padrão ao instalar programas em segundo plano, ou seja, ferramentas de segurança da Internet e anti-vírus, para que as digitalizaçōes possam ser automáticas. Dessa forma, você fica longe do Registro do Windows e evita erros na edição que podem prejudicar o sistema operacional e deixar você olhando para a tela azul da morte (BSOD).

Muitos programas maliciosos usam as Chaves de Execução para executar um loop em seus programas mal-intencionados incorretamente, para que sejam executados sempre que o Windows for iniciado. Normalmente, uma chave de execução mal-intencionada está por trás do ressurgimento de um ataque mal-intencionado em cada nova inicialização, após uma tentativa de remoção manual ou do uso de um anti-vírus subpar ou de uma ferramenta anti-spyware. A complicação é quando o programa malicioso armazena e executa automaticamente o seu executável malicioso da memória. Se uma ferramenta de remoção de malware não conseguir encontrar o programa mal-intencionado e os componentes de suporte, ela simplesmente não poderá encerrar o seu pesadelo, ou seja, remover o ofensor. Como os rootkits ajudam a mascarar e enterrar arquivos no Registro do Windows ou na área listada em branco, é melhor usar uma solução anti-malware profissional e um conjunto para desinfetar o sistema, restaurar os arquivos corrompidos e remover a Chave de Execução e Serviços maliciosos no Registro do Windows.