病毒分析与防护实验1——注册表操作

Source

病毒分析与防护实验1——注册表操作

实验环境

VMware workstation pro

Windows 10 虚拟机


实验目的

  • 了解病毒传播的常见行为

  • 了解注册表在病毒行为设置中的作用

实验原理

注册表是windows操作系统中使用的中央分层数据库,存储用户、应用程序和硬件设备配置系统所需要的信息。这些信息以树状结构存储在注册表(数据库)中。包括:用户的配置文件、安装的应用程序以及应用程序创建的文档类型、文件夹和应用程序图等、系统上存在哪些硬件等

实验前的知识准备

注册表由键(key,或称“项”)、子键(subkey,子项)和值项(value)构成。一个键就是树状数据结构中的一个节点,而子键就是这个节点的子节点,子键也是键。一个值项则是一个键的一条属性,由名称(name)、数据类型(datatype)以及数据(data)组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。

Regedit-txtfile.png

注册表的分支

名称 作用
HKEY_CLASSES_ROOT 存储Windows可识别的文件类型的详细列表,以及相关联的程序。
HKEY_CURRENT_USER 存储当前用户设置的信息。
HKEY_LOCAL_MACHINE 包括安装在计算机上的硬件和软件的信息。
HKEY_USERS 包含使用计算机的用户的信息。
HKEY_CURRENT_CONFIG 这个分支包含计算机当前的硬件配置信息。

注册表的数据类型

显示类型(在编辑器中) 数据类型 说明
REG_SZ 字符串 文本字符串
REG_DWORD 双字 一个 32 位的二进制值,显示为 8 位的十六进制值
REG_MULTI_SZ 多字符串 含有多个文本值的字符串,此名来源于字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ 可扩展字符串 含有环境变量的字符串

实验内容

一、 完成《课1-实验步骤.doc》的实验步骤。

(1)强制隐藏exe文件的扩展名

找到注册表项:HKEY_CLASS_ROOT\exefile,新建字符串值,取名为NeverShowExt
在这里插入图片描述

重启计算机,打开一个exe文件,发现不再显示exe后缀。
在这里插入图片描述

(2)隐藏“文件夹选项”子菜单项

在注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建DWORD值,取名NoFolderOptions, 设置为1
在这里插入图片描述

在这里我们可以看到,修改注册表并重启之前,文件夹选项是可以打开的,如下:
在这里插入图片描述

重启之后,可以看到,无法打开文件夹选项
在这里插入图片描述

(3)利用注册表实现记事本程序自启动

在注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run新建字符串值notepad,数值数据:C:\windows\system32\notepad.exe (notepad.exe的路径)

在这里插入图片描述

重启计算机后,自动打开记事本文件

在这里插入图片描述

(4)利用注册表改变文本文件所关联的程序

在注册表项:``HKEY_CLASSES_ROOT\txtfile中依次展开shell\open\command` ,修改键值为:C:\windows\system32\freecell.exe (freecell.exe的路径)

在这里插入图片描述

(5)利用注册表禁止记事本程序运行

1、注册表项:HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options路径下新建一项:notepad.exe 。新建字符串值,取名Debugger,数值数据随便选择
在这里插入图片描述

如图,记事本功能已失效

(6)注册表失效

在注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System 2、新建选择“DWORD”值,取名为DisableRegistryTools,设置为1

在这里插入图片描述

修改后,使用cmd打开regedit,显示如下:

在这里插入图片描述

使用Registry workshop删除禁用注册表编辑项,注册表恢复正常使用

在这里插入图片描述

二、《课1-实验步骤.doc》中注册表的操作,对计算机病毒起到什么样的作用?

1.隐蔽与欺骗

  • 通过修改HKEY_CLASS_ROOT\exefile可以强制隐藏.exe文件的扩展名。

  • 通过修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer可以隐藏“文件夹选项”子菜单项。

2.自启动

  • 通过修改HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run可以实现程序的自启动。

通过这些行为,病毒可以在运行后不易被发现,从而拥有尽可能长的生命周期。

三、利用注册表,完成以下操作:

(1)设置QQ开机自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run中增加qq项,并且设置数据为

"C:\Program Files (x86)\Tencent\TIM\Bin\QQScLauncher.exe"(qq的文件目录)

在这里插入图片描述

重启后qq自动启动:

在这里插入图片描述

(2)可否能否禁用QQ.exe的运行?

在目录 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQScLauncher.exe下增加表项QQScLauncher.exe,新建字符串名称为Debugger,类型为REG_SZ,数据任意,重启后可发现qq.exe的运行被禁用
在这里插入图片描述

实验总结

本次实验使用到了win10虚拟机和位于%systemroot%\regedit.exe的注册表编辑器,熟悉了注册表的一些功能,对病毒的行为有了初步的了解。

除了使用cmd regedit对注册表进行操作外,也可以使用Windows自带了一个管理注册表的命令行工具——reg。只需在命令提示符中运行并指定参数,即可以命令行的形式对注册表进行各项管理操作。支持的操作有增删改查、导入导出注册表文件(reg文件)、导入导出或加载配置单元(RegHive)等。

此外,还可以使用第三方软件对注册表进行修改,比如Registry workshop(如下图)。

在这里插入图片描述
完整报告下载链接:https://pan.baidu.com/s/16G8X6LFxi0GvGQKWgcBGRw
提取码:q2bp