1.1.2 從登錄檔訪問中能發現些什麼

  • Process Monitor會列出程式拜訪過的登錄檔項目檔案
  • 登錄檔是Windows系統提供給應用程式的一個用於保存配置訊息的資料庫,其中保存的資料包括瀏覽器配置、檔案類型關聯、用戶密碼等。
  • 程式在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立了一個名為sample_mal的登錄檔項目。

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和「啟動」資料夾一樣,登錄的程式會在Windows重啟時自動執行。

  • 除了HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run路徑外,Windows重啟時自動執行的程式也可以登錄在下列任一登錄檔的位置:

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • 此外,在C:\Documents and Settings\Administrator\My Documents目錄下也被建立了一個名為1.exe的檔案

  • 下面我們來看一下Windows登錄檔的內容。使用Windows的regedit工具就可以看登錄檔,在開啟 >> 執行,輸入regedit即可。

  • 由於1.exe的路徑已經被登錄在登錄檔HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面,因此當Windows啟動時就會自動執行1.exe

  • 只要刪除0.exe和1.exe的檔案及登錄檔,那麼重啟Windows時就不會再執行sample_mal.exe了,系統環境即可完全恢復原狀。

results matching ""

    No results matching ""