病毒分析与防护实验1——注册表操作
病毒分析与防护实验1——注册表操作
实验环境
VMware workstation pro
Windows 10 虚拟机
实验目的
了解病毒传播的常见行为
了解注册表在病毒行为设置中的作用
实验原理
注册表是windows操作系统中使用的中央分层数据库,存储用户、应用程序和硬件设备配置系统所需要的信息。这些信息以树状结构存储在注册表(数据库)中。包括:用户的配置文件、安装的应用程序以及应用程序创建的文档类型、文件夹和应用程序图等、系统上存在哪些硬件等
实验前的知识准备
注册表由键(key,或称“项”)、子键(subkey,子项)和值项(value)构成。一个键就是树状数据结构中的一个节点,而子键就是这个节点的子节点,子键也是键。一个值项则是一个键的一条属性,由名称(name)、数据类型(datatype)以及数据(data)组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。
注册表的分支
名称 | 作用 |
---|---|
HKEY_CLASSES_ROOT | 存储Windows可识别的文件类型的详细列表,以及相关联的程序。 |
HKEY_CURRENT_USER | 存储当前用户设置的信息。 |
HKEY_LOCAL_MACHINE | 包括安装在计算机上的硬件和软件的信息。 |
HKEY_USERS | 包含使用计算机的用户的信息。 |
HKEY_CURRENT_CONFIG | 这个分支包含计算机当前的硬件配置信息。 |
注册表的数据类型
显示类型(在编辑器中) | 数据类型 | 说明 |
---|---|---|
REG_SZ | 字符串 | 文本字符串 |
REG_DWORD | 双字 | 一个 32 位的二进制值,显示为 8 位的十六进制值 |
REG_MULTI_SZ | 多字符串 | 含有多个文本值的字符串,此名来源于字符串间用 nul 分隔、结尾两个 nul |
REG_EXPAND_SZ | 可扩展字符串 | 含有环境变量的字符串 |
实验内容
一、 完成《课1-实验步骤.doc》的实验步骤。
(1)强制隐藏exe文件的扩展名
找到注册表项:HKEY_CLASS_ROOT\exefile
,新建字符串值,取名为NeverShowExt
重启计算机,打开一个exe文件,发现不再显示exe后缀。
(2)隐藏“文件夹选项”子菜单项
在注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
中新建DWORD值,取名NoFolderOptions, 设置为1
在这里我们可以看到,修改注册表并重启之前,文件夹选项是可以打开的,如下:
重启之后,可以看到,无法打开文件夹选项
(3)利用注册表实现记事本程序自启动
在注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
新建字符串值notepad,数值数据:C:\windows\system32\notepad.exe
(notepad.exe的路径)
重启计算机后,自动打开记事本文件
(4)利用注册表改变文本文件所关联的程序
在注册表项:HKEY_CLASSES_ROOT\txtfile
中依次展开shell\open\command
,修改键值为:C:\windows\system32\freecell.exe
(freecell.exe的路径)
(5)利用注册表禁止记事本程序运行
1、注册表项:HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options
路径下新建一项:notepad.exe
。新建字符串值,取名Debugger,数值数据随便选择
如图,记事本功能已失效
(6)注册表失效
在注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System
2、新建选择“DWORD”值,取名为DisableRegistryTools
,设置为1
修改后,使用cmd打开regedit,显示如下:
使用Registry workshop删除禁用注册表编辑项,注册表恢复正常使用
二、《课1-实验步骤.doc》中注册表的操作,对计算机病毒起到什么样的作用?
1.隐蔽与欺骗
通过修改
HKEY_CLASS_ROOT\exefile
可以强制隐藏.exe文件的扩展名。通过修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
可以隐藏“文件夹选项”子菜单项。
2.自启动
- 通过修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
可以实现程序的自启动。
通过这些行为,病毒可以在运行后不易被发现,从而拥有尽可能长的生命周期。
三、利用注册表,完成以下操作:
(1)设置QQ开机自启动
在HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
中增加qq项,并且设置数据为
"C:\Program Files (x86)\Tencent\TIM\Bin\QQScLauncher.exe"
(qq的文件目录)
重启后qq自动启动:
(2)可否能否禁用QQ.exe的运行?
在目录 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQScLauncher.exe
下增加表项QQScLauncher.exe
,新建字符串名称为Debugger,类型为REG_SZ,数据任意,重启后可发现qq.exe
的运行被禁用
实验总结
本次实验使用到了win10虚拟机和位于%systemroot%\regedit.exe
的注册表编辑器,熟悉了注册表的一些功能,对病毒的行为有了初步的了解。
除了使用cmd regedit
对注册表进行操作外,也可以使用Windows自带了一个管理注册表的命令行工具——reg。只需在命令提示符中运行并指定参数,即可以命令行的形式对注册表进行各项管理操作。支持的操作有增删改查、导入导出注册表文件(reg文件)、导入导出或加载配置单元(RegHive)等。
此外,还可以使用第三方软件对注册表进行修改,比如Registry workshop
(如下图)。
完整报告下载链接:
[下载链接]:https://pan.baidu.com/s/16G8X6LFxi0GvGQKWgcBGRw
提取码:q2bp
病毒分析与防护实验1——注册表操作相关推荐
- 病毒分析与防护实验2—— 搭建反病毒实验室
实验环境 VMware workstation pro Windows 2003 虚拟机 PS:作为一个用win10折腾了一天本实验的人,在这里和所有和我一样使用win10的铁头娃提个醒,尽量不要用w ...
- RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作. 句法 C ++ NTSTATUS CmRegisterCal ...
- Windows核心编程_注册表操作和小练习程序关联
大家有没有见过就是当我们下载一个软件比如视频播放器 下载之后我们电脑上的视频文件图标都变成了这个视频播放器的图标,然后打开时也是默认调用此视频播放器来播放 下面就给大家介绍如何在Windows平台上实 ...
- window注册表操作手册
环境: window 10企业版 .netcore 3.1 vs 2019 16.4.5 控制台程序以管理员身份运行 参照: Windows注册表内容详解 C#操作注册表 一.window注册表简介 ...
- 注册表操作(VC_Win32)
注册表操作(VC_Win32) 数据类型 注册表的数据类型主要有以下四种: 显示类型(在编辑器中) 数据类型 说明 REG_SZ 字符串 文本字符串 REG_MULTI_SZ ...
- Windows注册表操作基础代码
Windows注册表操作基础代码 Windows下对注册表进行操作使用的一段基础代码Reg.h: #pragma once #include<assert.h> #include< ...
- win32api window2con 模块 -系统注册表操作
#!/usr/bin/python # -*- coding: UTF-8 -*-#encoding=utf-8 #win32api #注册表操作# 注册表项 # HKEY_CLASSES_ROOT ...
- 注册表操作C/C++(实战实现程序自启动)
C/C++ 注册表操作 注册表概述 一.注册表数据结构 二.相关函数 1.创建键 RegCreateKeyEx() 2.关闭键RegCloseKey() 3.关闭键RegOpenKeyEx() 4.修 ...
- QSettings配置读写-win注册表操作-ini文件读写
版权声明:若无来源注明,Techie亮博客文章均为原创. 转载请以链接形式标明本文标题和地址: 本文标题:QSettings配置读写-win注册表操作-ini文件读写 本文地址:http:// ...
最新文章
- php之static静态变量详解
- BP: Useful report to list assigned employees
- 将Java应用部署到SAP云平台neo环境的两种方式
- Linux USB 驱动开发实例(二)—— USB 鼠标驱动注解及测试
- 机器学习 —— 概率图模型(推理:采样算法)
- php css去除h1样式,HTML中怎么设置h1的字体样式你知道吗?关于设置h1标签的样式详解...
- 理解Docker(1):Docker 安装和基础用法
- 如何在 Mac 上播放 Keynote 演示文稿?
- 使用'SAPGUI_SET_PROPERTY'函数是GUI屏幕可见和不可见
- 数据库的三种状态RESTRICT、QUIESCE和SUSPEND
- java textarea滚动条,textarea添加滚动条 textarea 如何设置滚动条
- Ureport2报表工具金额格式化
- 粒子滤波(PF)原理详解
- jenkins 下载 安装 启动教程-通过war的方式
- 答读者问:钱和成长,哪个更重要?
- 安卓原生系统开发与逆向工程
- 使用ONVIF Device Test Tool获取网络摄像头的音/视频
- 《高性能MySQL》 第三章 服务器性能剖析 读书笔记
- 机器视觉中的像素、分辨率、灰度值等概念
- ZOJ3587 Marlon's String KMP技巧处理
热门文章
- php正则表达漏洞,一个PHP正则相关的“经典漏洞”
- 翻译必考知识点总结+瑞思拜翻译知识点(3,4和5)
- 收藏!字节跳动大佬整理的14张思维导图构建 Python 核心知识体系,太赞啦,拿去吧你
- java无法加载jdbc驱动_java – 无法加载JDBC驱动程序.为什么? (春,休眠)
- 2012年职称计算机,职称计算机考试2012年word2003真题试题
- 一维差分(举例学习)
- OA选型分析之华天动力OA系统与金和OA系统
- 人卫第七版-流行病学期末复习重点(超全)
- 2022下半年软考各地报名时间汇总
- wps教鞭功能_(完整)《初识wps演示》教学设计及反思