¿Sabes cómo generar persistencia desde el startup o arranque en Windows? El arranque o startup alude a los programas y servicios que se inician automáticamente cuando se enciende o reinicia el sistema operativo. Estos van desde aplicaciones de terceros hasta servicios del sistema operativo que se ejecutan en segundo plano.
Generar persistencia desde el startup
El arranque de Windows es el proceso en el que se cargan y ejecutan estos programas y servicios al inicio del sistema. Algunos ejemplos comunes de programas de arranque en Windows son antivirus, software de controladores de hardware, herramientas de utilidad, programas de mensajería instantánea o reproductores multimedia, entre otros.
Mediante la modificación del registro de Windows es posible establecer el binario que debe iniciarse durante el arranque del sistema, para así generar persistencia desde el startup.
Creación de una regla
- Lo primero que podemos hacer para generar persistencia desde el startup es crear una regla para la ejecución en el arranque:
//Persistencia desde el startup
C:\> reg add HKCU \Software \Microsoft \Windows \CurrentVersion \Run /v <nombre> /t REG_SZ /d "<binario>" /f
Este es un comando utilizado en Windows para agregar una entrada al Registro del usuario actual (HKCU, HKEY_CURRENT_USER). El Registro es una base de datos donde se almacenan configuraciones y opciones del sistema operativo y las aplicaciones.
El comando en sí es una forma de modificar una clave en el Registro para agregar una entrada que se ejecutará al iniciar sesión en el sistema. Veamos el código línea por línea:
C:\>
: indica la unidad en la que te encuentras en el símbolo del sistema de Windows. En este caso, estás en la unidad C.reg add
: es el comando que se utiliza para agregar una entrada al Registro.HKCU
: abreviatura de HKEY_CURRENT_USER. Es una de las secciones principales del Registro de Windows, que almacena las configuraciones específicas del usuario actual.\Software \Microsoft \Windows \CurrentVersion \Run
: es la ruta de la clave en el Registro donde se agrega la entrada. La ruta completa es HKCU\Software\Microsoft\Windows\CurrentVersion\Run. La subclave “Run” se utiliza para especificar programas o comandos que se ejecutarán automáticamente al iniciar sesión en el sistema./v <nombre>
: aquí debes reemplazar<nombre>
por el nombre que deseas darle a la entrada que estás agregando. Es el nombre que identificará la entrada en la clave “Run”./t REG_SZ
: especifica el tipo de valor de la entrada que estás agregando. En este caso, REG_SZ indica que el valor es una cadena de texto./d "<binario>"
: aquí debes reemplazar<binario>
por la ruta o el nombre del archivo ejecutable que deseas que se ejecute al iniciar sesión. Puedes proporcionar la ruta completa del archivo ejecutable o, simplemente, el nombre si está en una ubicación que se encuentra en la variable de entorno PATH./f
: indica que el comando se ejecutará sin solicitar confirmación.
Eliminación de una regla
En el proceso de generar persistencia desde el startup, el segundo paso que podemos desarrollar es la eliminación de la regla previamente creada:
//Persistencia desde el startup
C:\> reg delete HKLM \Software \Microsoft \Windows \CurrentVersion \Run /v <nombre>
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLo único que cambia en este caso es el parámetro delete, que se usa para eliminar la regla.
Otras rutas
Cabe destacar que existen diferentes rutas que pueden emplearse para esta labor:
- HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run
- HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run
- HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunOnce
- HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE es una abreviatura de “Hive Key Local Machine” y es una parte del registro de Windows en los sistemas operativos de Microsoft. El registro de Windows es una base de datos jerárquica que almacena configuraciones y opciones para el sistema operativo y las aplicaciones instaladas.
Se puede configurar el arranque para generar persistencia desde el startup mediante el despliegue del binario en la siguiente ruta:
//Persistencia desde el startup
C:\ Users \<usuario> \AppData \Roaming \Microsoft \Windows \Start Menu \Programs \Startup
Ya sabes cómo generar persistencia desde el startup en Windows.Una vez en este punto, puedes seguir aprendiendo sobre esto y mucho más a través de nuestro Bootcamp de Ciberseguridad. Gracias esta formación de alta intensidad y calidad y con la guía de nuestros profesores expertos, dominarás todo lo necesario tanto a nivel teórico como práctico para impulsar tu carrera en el sector IT en pocos meses. ¡Solicita información y atrévete a transformar tu vida ya mismo!