Mécanismes de démarrage d'applications • Méthodes – Utilisation de clés de démarrage – Utilisation des fichiers et répertoires de démarrage. – Détournement du shell • Mesures de protections: – restriction de permission d’accès (ACL) – surveillance particulière (audit, host IDS)

	•Clés
		– HKLM\windows\ccs\policies\explorer\run q270035
		–HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion
	Vérifier que les sous-clés
	Run, RunOnce, Uninstall (et ses sous-clés)
		Disposent des permissions suivantes:Administrators, System: Full Control et Interactive: Read Only
	•Fichiers de démarrage
		–%SystemDrive%\Autoexec.bat à la racine (par défaut c: )
		–%SystemDrive%\Config.sys
		–%SYSTEMROOT%\wininit.ini
		–%SYSTEMROOT%\winstart.bat
		–%SYSTEMROOT%\Win.ini
		–%SYSTEMROOT%\System.ini
		–%WinDir%\System32\ AUTOEXEC.NT
		–%WinDir%\System32\ CONFIG.NT
	possèdent les permissions suivantes:
	Administrators, System: Full Control
	Authenticated User: Read Only
	•Détournement du shell
		–HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion\Explorer\
		Les sous-clés: User Shell Folders et Shell Folders
	possède les permissions suivantes:
	Administrators, System: Full Control
	Authenticated User: Read Only
		–HKEY_USER\<EVERYONE>\Software\Microsoft\Windows\CurrentVersion
		\Explorer\Shell Folders et User Shell Folders
		La valeur : Startup = "%systemdrive%\Documents and Settings\Default User\Start Menu\Programs\Startup " pour .DEFAULT
		Et Startup = "%userprofile%\Start Menu\Programs\Startup " pour les administrateurs.
		–Vérifier (touches ctrl + F) qu'il n'y a aucune valeur NeverShowExt dans la base de registre.
		–HKEY_LOCAL_MACHINE\Software\CLASSES\<EXT>\shell\open\command @="\"%1\" %*"
		où <EXT>  prend les valeurs: batfile, comfile, exefile, htafile, piffile