注册表作为Windows系统的中心资料库,强大的功能在带来方便的同时也可能被不良分子用来破坏。
1.Windows Load
这个注册表项是为了保持与旧的Win.ini配置文件兼容而设置的,可支持多个自动加载的值。“Load”字符串值可以是各种可执行文件,比如“C:\Windows\notepad.exe等。恶意程序可以利用这个键值实现自动加载,最危险的是通过这条路可以逃过大多的安全程序的检查。
2.Windows Run
"Run"字符串值与"Load"字符串值类似,也可支持各种可执行文件,比如:“C:\Windows\notepad.exe”等。很多恶意程序利用这个键值来实现自动加载。
3.特殊的16位可执行文件类型 "Program"字符串键值的默认内容为“com exe bat pif
cmd”,这是常见的16位可执行的文件类型(其中pif不能算是完全可执行的文件)。如果在这里添加一个特使的文件类型(比如“tst”),再将某程序文件改为这个特殊的文件类型(比如把notepad.exe改名为notepad.tst),在Windows里记事本就不能双击运行了,但如果在命令行状态下执行“notepad.tst”却可以打开记事本,恶意程序如果利用这个特性就可逃避多种杀毒软件的扫描。
4.Windows Shell
这个是最容易被恶意利用的后门!如果木马或者病毒对该自动加载程序的键值进行了修改,除非有经验的高级用户,一般人很不容易发现。
“Shell”字符串在Windows安装时被设置为“Explorer.exe”。Explorer.exe是Windows的默认外壳(Shell)程序,即使我们属性Windows桌面。Explorer.exe位于Windows目录,由于系统已经在环变量中将“C:\Windows”,“C:\Windows\System”等系统目录纳入到了其默认的搜索路径中,因此上述键值中只需直接给出“Explorer.exe"程序文件名即可,虽然方便却有潜在的危险。
5.PendingFileRenameOperations
PendingFileRenameOperations的中文含义是”未决的文件改名操作“,它不是任何时候都存在的,它一般由软件的安装程序自动生成的,或者他人植入。木马或病毒可以在感染系统时临时使用一个罕见的文件名或者扩展名,逃避一些杀毒软件对敏感文件类型的扫描,然后通过”PendingFileRenameOperations“键值实现自身的文件改名,再配合前面说的自动加载项目实现自动加载,就可以露出恶意程序本来的狰狞面目。
注册表的危险项
最新推荐文章于 2023-01-01 12:46:42 发布