此文用来收集在病毒分析过程中的行为
1、自我保护篇
1.1强制隐藏拓展名
在键值HKEY_CLASSES_ROOT\exefile下添加数据项NeverShowExt值为空,这样显示“.exe”拓展名就会被隐藏,此时可禁用“文件夹选项”中的“隐藏已知文件类型拓展名”来显示“.exe”
1.2隐藏文件夹选项
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Policies\Explorer添加新项 NoFolderOptions[DWORD]=1
1.3禁用注册表编辑器
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Policies\System添加新项 DisableRegistryTools[DWORD]=1
1.4利用自动播放功能自启动
此功能利用自动播放的功能和AutoRun.inf自启动,AutoRun.inf文件解释如下
什么是Autorun.inf文件呢,严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,它是由一个或多个“节”组成,每个“节”名须以节名作为开始的一行,节名必须用中括号[]括起来,节名之下则为本节中的命令。
其中Autorun.inf一共支持三个节,它们分虽为[autorun]、[autorun.alpha]、[Deviceinstall],其中只有[autorun]是必须存在的。
简单实例
[AutoRun] //表示AutoRun部分开始,必须输入
Icon=C:\C.ico //给C盘一个个性化的盘符图标C.ico
Open=C:\1.exe //指定要运行程序的路径和名称,在此为C盘下的1.exe
解决方法是关闭自动播放功能即禁用ShellHardwareDection服务