跟大家一起探討。 （崔衍渠）
一、SREng     啟動項目 注冊表 分析方法

對應的注冊表位置在log中可以看到
熟悉常見項，主要包括輸入法、音頻視頻應用程序、殺毒軟件、安裝的應用軟件等
每個進程后有公司名屬性，可以輔助辨別
對于不確認的進程 google

[HKEY_CURRENT_USER\SOFtware\MICrosoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上需要具體分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <load><>     []
      <run><>     []
以上2個位置 如果加載了進程,通常是問題項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2個位置 如果加載了進程,通常是問題項
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <shell><Explorer.exe>     [Microsoft Corporation]
      <Userinit><C:\WINDOWS\system32\userinit.exe,>     [Microsoft Corporation] 逗號不可省略。
如果是NT系統（如win2000），相應路徑為 C:\WINNT 不再累述。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <ApPINit_DLLs><>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <UIHost><logonui.exe>     [Microsoft Corporation]
以上4個位置如果和默認的有區別,通常是可疑項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3個位置如果有加載項(除了第二個位置加載瑞星防病毒軟件),通常是問題項

• 1
• 2
• 3
• 下一頁

【看看這篇文章在百度的收錄情況】

相關文章

• 上一篇： 怎樣增強Linux系統安全性
• 下一篇： 詳細了解進程和病毒知識