通过修改explorer.exe内存隐藏文件及注册表项

最新推荐文章于 2024-02-08 15:05:43 发布
最新推荐文章于 2024-02-08 15:05:43 发布
阅读量2.1k 收藏
点赞数
分类专栏: 病毒分析 文章标签: microsoft windows user c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunny_forever/article/details/7057461
版权

记录今天分析的一个隐藏自身及注册表项的病毒。

1.概述:

(1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  [UU5DUD3ZUFYW3W5YYPBNVTTD]   C:\Windows7\4D525EC1C14.exe/q。

(2)在资源管理器里看不到windows7这个文件夹。在regedit.exe中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中也找不到 [UU5DUD3ZUFYW3W5YYPBNVTTD] 这个键。

(3)在xuetr里能看上上述文件夹及注册表键。

2.分析:

(1)用xuetr查看explorer.exe的进程钩子如下图:


可以看到NtEnumerateValueKey和NtQueryDirectoryFile两个函数被钩了,基本可以确定这就是看不到病毒文件及注册表项的原因。

(2)试图用xuetr恢复钩子失败,说明有进程在守护,很有可能是4D525EC1C14.exe。但是在进程及线程中找不到4D525EC1C14.exe。于是用xuetr删除病毒的自启动项,再重启系统发现windows7文件夹和注册表项都可以看见。于是可以确定病毒的运行模式是4D525EC1C14.exe开机启动,然后修改explorer.exe的内存并隐藏自身。



cs08211317dn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
玩人工智能的辣条哥的博客
03-02 3605
Win11 专业版HP480G7。
解决“exe4j打exe执行时内存溢出”问题
总有一天,你的日积月累,会成为别人的望尘莫及
12-03 1975
今天弄完了一个java项目,弄完后用exe4j打成了exe可执行程序,一运行,没反应了,石沉大海似的。而实际上,我这个项目是一定可以运行的呀(用MyEclipse跑了不知道多少遍),于是添加日志,跑完了打开一看,内存溢出,也就是常见的这个:java.lang.OutOfMemoryError: Java heap space。网上查资料说是直接修改VM的参数就成,也就是如图的文本框里的信息,像...
谈谈注册表项信息隐藏
大爷饭
06-30 1061
理论:注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件(Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下
修改explorer.exe去掉桌面/任务栏/支持MFC/支持自定义启动
技术在变,人必须跟着变
11-17 3755
<br />来源:http://www.armce.com/bbs/redirect.php?tid=2082&goto=lastpost<br /> <br />根据原始WinCE自定义shell,大家遇到最多的问题就是如何不显示原始桌面,启动自己的程序取代<br />但是如果拿掉explorer.exe大家会发现自己的MFC程序运行不起来了<br />这里提供简单的方法修改explorer的源码,来实现去掉桌面/任务栏/支持MFC/支持自定义启动<br /><br />Explorer的源码在X:/WI
win11 开机显示explorer.exe 应用程序错误的解决方案
m0_56381970的博客
02-14 3700
2、打开注册表编辑器后进入这个目录HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows。1、打开注册表编辑器。按【win+R】进入【运行】里面输入【regedit】后按【确定】。win11 开机显示explorer.exe 应用程序错误的解决方案。5、重启电脑发现问题已经解决。不再有explorer.exe 弹窗。4、将里边的数值数据清空。3、双击里面的【Load】项打开。每次开机的时候弹出如下窗口。
注册表隐藏
最新发布
黑客CN博客
02-08 522
1. 使用系统工具:在Windows操作系统中,可以使用组策略编辑器(gpedit.msc)来隐藏注册表。打开组策略编辑器后,导航到“用户配置”>“管理模板”>“系统”,然后找到“阻止访问注册表编辑器”选项,将其启用。2. 修改注册表权限:通过修改注册表的权限设置,可以限制用户对注册表的访问权限。- 单击“编辑”按钮,然后在“基本权限”中撤消“查看”权限。- 在“高级安全设置”窗口中,选择当前用户的权限项。- 在“安全”选项卡中,选择“高级”。- 右键单击该项,选择“权限”。- 导航到需要隐藏注册表项。
300个注册表优化修改文件
11-20
2.打开regedi.exe文件,然后手动导出整个注册表文件为*.reg,想恢复直接双击这个*.reg 3.在运行下进入msconfig里然后选择常规后,创建备份和还原备份K 4.不完全注册表恢复,XP和2000重起机器按F8进入,选择上1次正确配置...
在任务列表中隐藏进程.e.rar
04-07
1. **修改注册表**:恶意软件有时会篡改注册表项,使自己的进程不在任务管理器的“进程”选项卡下显示。这通常涉及到修改`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\...
Windows XP优化的注册表
02-07
- `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced`:这个键包含了许多用户界面的高级设置,如隐藏文件隐藏操作等,适当的调整可以提升用户体验。 在对注册表进行任何更改之前...
processExplorer
07-07
例如,当一个程序无故修改系统设置或者无法正常运行时,通过ProcessExplorer可以找到相关进程并查看其访问的特定文件注册表项。 ### 3. DLL加载分析 在ProcessExplorer中,用户可以看到每个进程加载的动态链接库...
注册表批量修改权限命令
11-09
为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。 AccessEnum 这一简单...
解决exeplorer.exe内存不能为读的问题
01-02
解决exeplorer.exe内存不能为读的问题
显示隐藏文件Explorer.exe
05-07
用于查看电脑中隐藏文件 或者被病毒恶意隐藏文件并且显示出来
资源管理器(explorer.exe)反复重启导致桌面、任务栏反复刷新
weixin_41591637的博客
01-25 5241
昨晚睡前关电脑时选择了进行Windows更新后关机,今早打开电脑就出现了异常。点击任何文件都会导致桌面和任务栏刷新,还伴随着卡顿和短暂的黑屏。打开Windows日志,告诉我是ntdll.dll模块错误,导致explorer.exe(也就是资源管理器)崩溃。资源管理器崩溃后会自动重启,表现为桌面和任务栏刷新;这时候从任务管理器界面查看CPU占用情况,可以看到资源管理器的占用突然一下就蹿得老高。
基于IAT hook的文件隐藏功能
毕业作品网站
09-22 293
提升本进程权限——> 获取目标进程的 PID——> 获得要注入进程的句柄——> 在远程进程中开辟出一段内存——> 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中——> 在被注入进程中创建新线程加载该 dll——> 卸载注入的 dll。(1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”)思路:获得在远程线程中被注入的 Dll 的句柄 —> 卸载 Dll。⑤ 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中。③ 获得要注入进程的句柄。
windows10突发explorer.exe“没有注册类”错误的解决方式
热门推荐
weixin_44201830的博客
10-09 1万+
问题描述 没有不当操作,但是电脑打字的时候无法显示中文的打字栏,并且窗口管理器的日历、搜索、应用商店、开始菜单栏均无响应,点击某些快捷方式江湖出现如下图所示的错误提示。但是一般的软件,例如QQ、微信和后期安装的应用软件均可以正常打开。 问题原因 注册表出现错误,explorer.exe是任务管理器,由于无法在任务运行时找到注册表中的相关数据,因此出现文件打开失效的警告。 解决方式 本人的解决方式 win键+R打开运行界面 输入“services.msc”,回车打开“服务”进程: 找到
禁止开始菜单某个程序
x196231222
08-01 503
<br />“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”<br />我们知道在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”子键下通过建立新的项及设置不同的键值可以禁用“我的电脑”中的驱动器,禁用“查找”、“运行”等功能,其实在这个子键下还可以通过新建其它一些键值来禁用更多的功
一段隐藏注册表项的代码
08-22 835
发一段隐藏注册表项的驱动代码,可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (
如何重启explorer.exe进程,使注册表生效
04-22
您可以通过以下步骤重启explorer.exe进程,使注册表生效: 1. 打开任务管理器,可以通过按下“Ctrl+Shift+Esc”快捷键或者右键点击任务栏并选择“任务管理器”打开。 2. 在“进程”选项卡中,找到并选中explorer....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值