分析注册表是否可以写入木马启动项

          那么它的图标是这样的,图标点exe而是进行了对应的这个开机自启动,那么我们就找到了这个程序,你可以继续分析程序,那么通过逆向技术,也可以对它进行一个分析,或者是对应的流量监控等等一些分析技术,来查找它,是否是一个对应的恶意程序,或者直接将它发送到一些对应的在线检测,或者是你本地安装的这个木马查杀的这个工具当中来检测是否是一个恶意代码。

那么此时我们就通过系统位置找到了我们开机自启动的这个文件位置,那么以及我们对应的这个文件,那么这是通过系统配置来进行一个查看,务必要注意是MS config来进行查看。那么我们在这里也会发现它是通过注册表来进行一个加载的,那么这是我们注册表所对应的这个位置。

那么下面我们就通过第三个方法注册表来进行对应的查看。首先是对应的这个键是HK current user,然后software,然后Microsoft,windows,current,Watson run。我们接下来进行对应演示,首先按windows r然后打开,edit那么这样一个单词,大家可以这样来记忆,reg那么表示注册表,然后edit表示编辑,那么最终是注册表的编辑器,回车就可以进行一个打开。

首先我们来继续寻找,首先是user,然后接下来是我们对应的这个software,然后应该是Microsoft,我们来进行寻找windows。然后下面有一个run,那么在这个位置run,run是没有其他对应的内容,因此它还没有进行注册表的开机自启动的设置。当然这里还有一些其他位置是 HKlow software,那么也在其他这个位置,我们给它先进行一个缩小,那么它是hk的,我们来进行查看,soft那么应该是一个software相关内容,那我们看一下这里是否具有对应内容software,然后Michael salt,然后接下来我们这里来看一下,windows是windows,我们找一下windows。

那么在这里还有一个开机自启动的内容,可以看到,这就是我们刚才 William toss。那么大家要发现我们对应的这个键只要是salt、Microsoft、windows current was wrong。那么只要有run的话,那么就应该是我们可以进行开机自启动内容,大家也会发现我们这里给它进行一个修改,可以发现这是数值的名称,然后接下来是对应这个数据在这里进行了设置。

那么在这个位置新建的内容都会在我们对应的MS当中进行展现,但是不会在我们启动当中进行展示,大家也可以尝试新建一些对应的这个内容,我们也可以在这里修改了数据,那么它都可以进行对应的修改设置,那么数值名称、这是、字符串,那么我们可以新建一个对应的,字符串,可扩充字符串,那么比如说我们 test,那么我们给它进行一个修改,那么我们给它进行对应的修改二进制数据,那么我们给它删除,这里是写错了,肯用键删除是那么又建新建一个字符串值,你也可以直接字符串值,那么在这里我就可以给它新建一个t1ST,那么我们右键进行一个修改,那么你就可以书写类似的一个内容,首先是双引号,然后接下来是文件相关的这个位置,以及对应的参数,就可以新建一个对应的选项,那么在我们启动这个位置就可以进行对应查看,那么我们给它进行关闭,然后再次打开MS看这个回撤,请查看启动这个位置。

分享: