实战Registry和RegistryKey类,一个简单的可疑文件扫描程序

最新推荐文章于 2022-08-10 11:24:30 发布
最新推荐文章于 2022-08-10 11:24:30 发布
阅读量1k 收藏
点赞数
分类专栏: .net有关 C#有关 文章标签: string command exception exe path windows
private void Search()
  {   
   try
   {
    this.listBox1.Items.Add("");
    this.listBox1.Items.Add("扫描指定的目录文件");

    RegistryKey scan = Registry.LocalMachine.OpenSubKey("SOFTWARE//Honeydogchen//.Dog//Scan",true);

    string strdir = scan.GetValue("FolderSelect").ToString();

    if(this.checkBox2.Checked==true)
    {
     RegistryKey microsoft = Registry.LocalMachine.OpenSubKey("SOFTWARE//Microsoft",true);      
     RegistryKey currentversion1 = microsoft.OpenSubKey("Windows NT//CurrentVersion",true);
     RegistryKey currentversion2 = microsoft.OpenSubKey("Windows//CurrentVersion",true);

     try
     {
      string system32dir = currentversion1.GetValue("SystemRoot").ToString();
      GetSystemFiles(system32dir+"//SYSTEM32");
     }
     catch(Exception)
     {
     }
     try
     {
      string systemdir = currentversion2.GetValue("SystemRoot").ToString();
      GetSystemFiles(systemdir+"//SYSTEM");
     }
     catch(Exception)
     {
     }
     
    }
    
    GetCommonFiles(strdir);

    this.textBox1.Text = strdir;
     
    this.label1.Enabled = true;
    this.label4.Enabled = true;
    this.Cursor = System.Windows.Forms.Cursors.Default;

    if(a==0)
    {
     this.listBox1.Items.Add(" 恭喜恭喜,没有发现可疑文件");
    }
    else
    {
     this.listBox1.Items.Add(" 共发现"+a+"个可疑文件,请用专业反病毒软件查杀");
    }

    this.listBox1.Items.Add("");
    this.listBox1.Items.Add("扫描结束,"+"共扫描了"+d+"个进程,"+b+"个文件");
    this.listBox1.Items.Add("");
    this.listBox1.Items.Add("反病毒技术支持");
    this.listBox1.Items.Add(" Email:honeydogchen@sohu.com");

   }
   catch(Exception)
   {
   }

  }
  
  private void GetCommonFiles(string strDir)
  { 
   string path = Application.StartupPath;
   Share.Ini ini = new Share.Ini(path+"//Virus.dat");

   DirectoryInfo dir = new DirectoryInfo(strDir);

   int number = Convert.ToInt16(ini.IniReadValue("VirusList","Number"));
 
   FileInfo[] exefiles = dir.GetFiles("*.exe");

   foreach(FileInfo f in exefiles)
   { 
    this.textBox1.Text = f.FullName.ToString();
    this.textBox1.Refresh();

    for(int i=0;i<number;i++)
    {
     string name = Convert.ToString(ini.IniReadValue("VirusList","Name"+i));
     if(f.Name.ToLower().EndsWith(name))
     {
      this.listBox1.Items.Add(" 名称:"+f.Name.ToString());
      this.listBox1.Items.Add(" 路径:"+strDir+"//"+f.Name.ToString());
      a++;
     }
    }
    b++;
   }

   if(this.checkBox3.Checked==true)
   {
    DirectoryInfo[] dir1List = dir.GetDirectories();
    for(int i = 0;i<dir1List.Length;i++)
    {
     GetCommonFiles(strDir+"//"+dir1List[i].Name);
    }
   }

  }

  private void GetSystemFiles(string strDir)
  { 
   string path = Application.StartupPath;
   Share.Ini ini = new Share.Ini(path+"//Virus.dat");

   DirectoryInfo dir = new DirectoryInfo(strDir);

   int number = Convert.ToInt16(ini.IniReadValue("VirusList","Number"));
 
   FileInfo[] exefiles = dir.GetFiles("*.exe");

   foreach(FileInfo f in exefiles)
   { 
    this.textBox1.Text = f.FullName.ToString();
    this.textBox1.Refresh();

    for(int i=0;i<number;i++)
    {
     string name = Convert.ToString(ini.IniReadValue("VirusList","Name"+i));
     if(f.Name.ToLower().EndsWith(name))
     {
      this.listBox1.Items.Add(" 名称:"+f.Name.ToString());
      this.listBox1.Items.Add(" 路径:"+strDir+"//"+f.Name.ToString());
      a++;
     }
    }
    b++;
   }

  }

  private void CheckRegistry()
  {
   int h = 0;
   int i = 0;
   int j = 0;
   int k = 0;
   int l = 0;
   int n = 0;

   this.listBox1.Visible = true;

   try
   {
    this.listBox1.Items.Clear();
    this.listBox1.Items.Add("扫描注册表的启动项");
    RegistryKey hklm = Registry.LocalMachine;
    RegistryKey hkcu = Registry.CurrentUser;
    RegistryKey hkcr = Registry.ClassesRoot;

    RegistryKey run1 = hklm.OpenSubKey("SOFTWARE//Microsoft//Windows//CurrentVersion//Run");     
    foreach(string sValName1 in run1.GetValueNames())
    {
     this.listBox1.Items.Add(" "+sValName1+":"+run1.GetValue(sValName1));
    }
    RegistryKey run2 = hkcu.OpenSubKey("Software//Microsoft//Windows//CurrentVersion//Run");
    foreach(string sValName2 in run2.GetValueNames())
    {
     this.listBox1.Items.Add("  "+sValName2+":"+run2.GetValue(sValName2));
    }

    this.listBox1.Items.Add("");
    this.listBox1.Items.Add("扫描文件的关联状况");
    RegistryKey currentversion1 = hklm.OpenSubKey("SOFTWARE//Microsoft//Windows NT//CurrentVersion",true);
    RegistryKey winlogon = currentversion1.OpenSubKey("Winlogon",true);
    RegistryKey windowstoo = currentversion1.OpenSubKey("Windows",true);

    try
    {
     RegistryKey currentversion2 = hklm.OpenSubKey("SOFTWARE//Microsoft//Windows//CurrentVersion",true);
     string systemdir = currentversion2.GetValue("SystemRoot").ToString();
     if(systemdir!="")
     {
      Share.Ini ini = new Share.Ini(systemdir+"//System.ini");

      string explorer = Convert.ToString(ini.IniReadValue("boot","shell"));
      if(explorer!="explorer.exe"&&explorer!="Explorer.exe")
      {
       n++;
       this.listBox1.Items.Add(" Shell="+explorer+" 异常");
      }

      ini = new Share.Ini(systemdir+"//Win.ini");
      string run = Convert.ToString(ini.IniReadValue("windows","run"));
      if(run!="")
      {
       n++;
       this.listBox1.Items.Add(" run="+run+" 异常");
      }
      string load = Convert.ToString(ini.IniReadValue("windows","load"));
      if(load!="")
      {
       n++;
       this.listBox1.Items.Add(" load="+load+" 异常");
      }
    
     }
    }
    catch(Exception)
    {
    }

    try
    {
     string explorer = winlogon.GetValue("Shell").ToString();
     if(explorer!="explorer.exe"&&explorer!="Explorer.exe")
     {
      n++;
      this.listBox1.Items.Add(" Shell="+explorer+" 异常");
     }
  
     string runtoo = windowstoo.GetValue("run").ToString();
     if(runtoo!="")
     {
      n++;
      this.listBox1.Items.Add(" run="+runtoo+" 异常");
     }
     string loadtoo = windowstoo.GetValue("load").ToString();
     if(loadtoo!="")
     {
      n++;
      this.listBox1.Items.Add(" load="+loadtoo+" 异常");
     }
    }
    catch(Exception)
    {
    }
   
    RegistryKey command1 = hkcr.OpenSubKey("txtfile//shell//open//command",true);
    foreach(string txt in command1.GetValueNames())
    {
     string txt1 = command1.GetValue(txt).ToString();
     if(txt1!="NOTEPAD.EXE %1"&&txt1!="notepad.exe %1")
     {
      h++; 
      this.listBox1.Items.Add(" txt文件关联:"+txt1.ToString()+" 异常");
     }
    }
  
    RegistryKey command2 = hkcr.OpenSubKey("exefile//shell//open//command",true);
    foreach(string exe in command2.GetValueNames())
    {
     string exe1 = command2.GetValue(exe).ToString();
     string exe10 = "/""+"%1"+"/""+" %*";
     if(exe1!=exe10)
     {
      i++;
      this.listBox1.Items.Add(" exe文件关联:"+exe1+" 异常");
     }
    }
  
    RegistryKey command3 = hkcr.OpenSubKey("regfile//shell//open//command",true);
    foreach(string reg in command3.GetValueNames())
    {
     string reg1 = command3.GetValue(reg).ToString();
     string reg10 = "regedit.exe "+"/""+"%1"+"/"";
     if(reg1!=reg10)
     {
      j++;
      this.listBox1.Items.Add(" reg文件关联:"+reg1+" 异常");
     }
    }
  
    RegistryKey command4 = hkcr.OpenSubKey("comfile//shell//open//command",true);
    foreach(string com in command4.GetValueNames())
    {
     string com1 = command4.GetValue(com).ToString();
     string com10 = "/""+"%1"+"/""+" %*";
     if(com1!=com10)
     {
      k++;
      this.listBox1.Items.Add(" com文件关联:"+com1+" 异常");
     }
    }
  
    RegistryKey command5 = hkcr.OpenSubKey("batfile//shell//open//command",true);
    foreach(string bat in command5.GetValueNames())
    {
     string bat1 = command5.GetValue(bat).ToString();
     string bat10 = "/""+"%1"+"/""+" %*";
     if(bat1!=bat10)
     {
      l++;
      this.listBox1.Items.Add(" bat文件关联:"+bat1+" 异常");
     }
    }

   }
   catch(Exception)
   {
   }

   if(n==0)
    this.listBox1.Items.Add(" Explorer.exe、Win.ini、System.ini正常");
   if(h==0)
    this.listBox1.Items.Add(" txt文件关联正常"); 
   if(i==0)
    this.listBox1.Items.Add(" exe文件关联正常");
   if(j==0)
    this.listBox1.Items.Add(" reg文件关联正常"); 
   if(k==0)
    this.listBox1.Items.Add(" com文件关联正常");  
   if(l==0)
    this.listBox1.Items.Add(" bat文件关联正常");
  }
  
  private void CheckProcess()
  {
   try
   {
    this.listBox1.Items.Add("");
    this.listBox1.Items.Add("扫描当前的系统进程");
    Process[] procList = new System.Diagnostics.Process[50];
    procList = Process.GetProcesses();
    d = procList.GetLength(0);

    string path = Application.StartupPath;
    Share.Ini ini = new Share.Ini(path+"//Virus.dat");

    int number = Convert.ToInt16(ini.IniReadValue("VirusList","Number"));
    
    for(int i = 0; i<procList.GetLength(0); i++)        
    {        
     string strProcName = procList[i].ProcessName+".exe";
     this.textBox1.Text = "ProcName:"+strProcName;
     this.textBox1.Refresh();
     Thread.Sleep(50);
     Activate();
     for(int j=0;j<number;j++)
     {
      string name = Convert.ToString(ini.IniReadValue("VirusList","Name"+j));
      if(strProcName.ToLower()==name)
      {
       this.listBox1.Items.Add(" 名称:"+strProcName);
       this.listBox1.Items.Add(" 路径:"+procList[i].MainModule.FileName);
       c++;
      }
     
     }
     
    }
   
   }
   catch(Exception)
   {
   }

   if(c==0)
   {
    this.listBox1.Items.Add(" 恭喜恭喜,没有发现可疑进程");
   }
   else
   {
    this.listBox1.Items.Add(" 共发现"+c+"个可疑进程,请用专业反病毒软件查杀");
   }

  }

//以上仅是部分源码,程序根据文件名去扫描进程和指定文件,判断是否是可疑文件,并检测注册表中的启动项和文件关联状况。
界面UI:http://bbs.mynbu.cn/UploadFile/2004112314595326661.gif

 
xiaoxiaohai123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用RegistryRegistryKey完成的简易注册表编辑器
09-04
使用RegistryRegistryKey完成 1、在TreeView控件中显示注册表跟键! 2、对TreeView选中的子键进行添加键值! 3、删除Treeview中选中的特定子键的键值! 其间使用了out关键字! 有效代码函数150行
OkHttp日常使用实战
VipPetergee的博客
07-19 2948
由于示例中使用的代码段都比较简单,详细的代码段以及响应日志都已经贴出,细节不再赘述。 一、初始化 1、初始化OkHttpClient val mClient = getOkClient() private fun getOkClient(): OkHttpClient { return OkHttpClient.Builder().addInterceptor(LogInterceptor()).build() } 2、初始化Request private var mUrl2
镜像迁移到registry_docker registry v2 迁移至另外一个 registry v2
weixin_29056701的博客
12-30 277
思路采用 docker pull, docker tag, docker push 的方式完成迁移用到的 docker registry v2 api主要用到两种个 registry v2 api 获取镜像列表 curl 127.0.0.1:15000/v2/_catalog?n=5000 | jq -r '.repositories | .[]' > images-list.txt #50...
【python】Python闭包(closure),装饰器(Decorator)和注册机制(Registry)的学习笔记。
目前涉及领域:目标检测,语义分割以及数字图像处理
08-10 1255
本文主要分为四个部分: 第一部分是简单介绍下python的闭包原理,闭包是装饰器的基础。 第二部分是简单介绍下python的装饰器原理,注册机制是装饰器的应用场景。 第三部分是简单介绍注册机制,并附上python代码示例。 第四部分是简单介绍MMCV框架注册机制代码,并附上相关代码注释。...
使用RegistryRegistryKey操作注册表
爱.NET
10-07 972
Registry 提供在运行 Windows 的计算机上的注册表中找到的标准根项集。注册表是一个存储设备,包含有关应用程序、用户和默认系统设置的信息。例如,应用程序可使用注册表来存储在应用程序关闭后需要保留的信息,并可在应用程序重新加载时访问这些信息。例如,可以存储颜色首选项、屏幕位置或窗口大小。通过将信息存储在注册表中的不同位置,可以为各位用户分别控制这些数据。 由 Registry...
registry-js:一个简单而自负的库,用于处理Windows注册表
04-10
一个简单而自负的库,用于处理Windows注册表 目标 零依赖 比reg.exe更快 根据使用情况实施-不要复制注册表API 尽可能利用TypeScript声明 注意:当前处于预览状态,支持GitHub Desktop和Atom所需的功能。 安装 $ npm...
Registry Backuper:Registry Backuper 是一个免费的备份和恢复注册表实用程序-开源
07-04
Registry Backuper 是 Windows 注册表的免费备份和恢复实用程序。 大多数系统错误是由混淆的注册表项引起的。 您可以将当前注册表保存在备份文件中。 如果您遇到系统崩溃,您可以通过此注册表备份修复您的 PC。
docker-registry-quickviewer:一个简单的 docker 注册表 Web 前端
07-03
它提供了一个简单的基于 UI 的引导程序来搜索图像并查看 docker 注册表中的图像详细信息。 使用 NodeJS 运行 1.请确保您的系统上已安装NodeJS。 2.下载项目并解压或使用git clone这个项目。 git clone ...
action-github-registry-npm-proxy:设置一个指向GPR作为代理的.npmrc文件
02-07
GitHub Package Registry作为代理设置一个指向GPR作为代理的.npmrc文件 允许您将npm操作(安装,发布等) ,因此您不必手动区分内部依赖项注册表URL和公共依赖项URL。用法on : push : branches : [ master ]jobs : ...
Filebeat的Registry文件解读
weixin_34315485的博客
03-29 608
你可能没有注意但很重要的filebeat小知识 Registry文件 Filebeat会将自己处理日志文件的进度信息写入到registry文件中,以保证filebeat在重启之后能够接着处理未处理过的数据,而无需从头开始 registry文件内容为一个list,list里的每个元素都是一个字典,字典的格式如下: { "source": "/home/logs/app/exception...
C#.Net操作注册表RegistryKey
勿忘初心
01-13 8967
看看RegistryKey的帮助就知道了,这个东西不复杂,比如: 1、加键加值  string appName = "PowerOffOnTime"; //获取执行该方法的程序集,并获取该程序集的文件路径(由该文件路径可以得到程序集所在的目录) string thisExecutablePath = System.Reflection.Assembly.GetExecutingAssembly
Docker私有仓库 Registry中的镜像管理
weixin_34411563的博客
09-09 200
这里主要介绍Registry v2的版本 查看Registry仓库中现有的镜像: # curl -XGET http://10.0.30.6:5000/v2/_catalog# curl -XGET http://10.0.30.6:5000/v2/mymirrors/tags/list   新版Registry部署       详情参考官方文档:https://docs.docker...
搭建docker私有库registry
weixin_34174322的博客
03-14 178
最近公司测试环境需要用docker,个人也觉得docker的build one Run Anywhere非常强大。由于目前大多数的镜像下载网站都是在国外站点,国内用户在下镜像的时候就时常遇到下载速度超慢的情况;而且在将Docker应用到生产环境的过程中,还会面临下载过来的Docker镜像是否安全的问题。因些在生产环境下搭建私有的Docker Registry,就是一个一举二得...
Redis分布式锁使用总结
曾经沧海难为水,除却巫山不是云
07-02 1300
Redis分布式锁使用总结 前言 最近因为项目需要进行多实例的协调,使用到了分布式锁,所以对分布式锁的原理、使用等做了一番调查、学习,顺便将其记录下来,供需要的同学学习交流。 项目中使用的是基于Redis的分布式锁,所以这篇文件的内容都是是基于Redis分布式锁。 分布式锁简介 谈起编程语言中的锁,开发者应该是相当熟悉的,当系统中存在多线程并且多线程之间存在竞态条件或者需要协作的时候,我们就会使用...
java注册表_Java操作Windows注册表的两种方法
weixin_36332320的博客
02-12 544
方法1:通过com.registry》JRegister兼容的JDK版本:jregistry-1.8.1测试过可以直接jdk1.8,其他官方文档不详。所需jar包:jregistry-1.8.1.jar在源码中配置好,reg_x64.dll或者reg.dll需要拷贝到jdk的bin目录中(要保持jdk与dll的版本与操作系统一致)。代码示例:import com.registry.Registr...
RedisLockRegistry源码-redis分布式锁
mingwulipo的博客
07-19 8008
redis实现分布式锁,实现了Lock接口,和ReentrantLock意向,有可重入,阻塞等功能 使用 依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifac...
编写一个简单的web程序来查询docker的registry服务下面有哪些镜像
最新发布
05-27
好的,我可以为您提供一个简单的Python Flask Web程序来查询Docker Registry中的镜像。以下是程序的基本框架: ```python from flask import Flask, request import requests import json app = Flask(__name__) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值