设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 13740|回复: 1
打印 上一主题 下一主题

如何监控注册表操作

[复制链接]
跳转到指定楼层
1#
发表于 2009-11-29 01:14:17 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
什么是注册表?注册表是一个庞大的数据库,用来存储计算机软硬件的各种配置数据。比如某些程序只要在注册表中添加一项数据,就可以做到启动电脑时自动运行;某些程序将自己的配置信息也存放在注册表中。
   即然注册表这么有用处,你是否想了解某软件运行时,他都读写了注册表中的哪些数据?或是往注册表中填加了哪些数据呢?通过对下面文章的阅读使你可以快速的掌握这一技能!
   这里要给大家推荐一款软件:RegMon。RegMon 可以实时的对当前系统中运行的程序对注册表的操作进行监控,并给出详细的监控日志。
   首先下载 RegMon 软件(下载:http://www.janmeng.com/html/soft/fuzhu/200901/09-467.html),解压压缩包后,文件列表如图1所示:
图 1

  运行 RegMon 主程序,第一次运行 RegMon程序,会出现软件使用许可协议窗口,点击“Agree(同意)”按钮后使用软件,如图2所示:


图 2
  之后出现“过滤设置窗口”。系统中正在运行的程序会有很多。每一个程序都会对注册表进行读写操作,可以通过相应的过滤设置,过滤掉不相干的程序,仅关注我们关心的程序。


图 3
  见图3所示:
   Include:设置需要监控的程序的文件名。默认为: “*”表示监控所有程序。
   Exclude:设置不需要监控的程序的文件名。默认为:空。
   Highlight:突出显示某一个程序的文件操作。默认为:空。
   以上三项均支持通配符,设置多个文件名时,文件名之间用分号分隔。
   Log Opens:记录打开注册表操作。不管是读注册表还是写注册表首先要先打开注册表。
   Log Reads:记录读注册表操作。
   Log Writes:记录写注册表操作。
   Log Successes:记录注册表操作成功项。比如成功的读写了某个注册表项。
   Log Errors:记录注册表操作失败项。比如读取不存在的注册表项。
   设置完成后,点击“OK”按钮察看日志窗口。在后面的使用过程中可以随时修改此选项。


图 4
  如图4所示,进入后“日志窗口”会不断的将最新的日志显示出来,点击按钮()可以暂停监控。如果文字比较小,可以通过点击菜单“Option”-“Font”更改字体显示,建议选择宋体,10号字(具体操作可参见《如何使用Autoruns》文章中的字体修改部份)。通过图4中的日志描述可以知道 “msnmsgr...”程序在17:06:55时查询(QueryValue)了注册表的“HKLM\System\CurrentControlSet\C..”项的内容。通过拖动窗口底部的滚动条可以获得更多的信息。如图5所示:


图 5
  操作结果:表示当前注册表操作的结果,SUCCESS表示成功、NOT FOUND表示失败等等。
   其它信息:列出了对注册操作时的某些数据。
   在“日志窗口”中点击鼠标右键,可以对监控的内容进行过滤操作,如图6所示:


图 6
  Process Properties...:查看进程(程序)属性;
   Include Process、Exclude Process、Include Path、Exclude Path四项的功能与图3中的功能相同,这里仅是提供了用鼠标进行设置的功能。
   最后看一下界面工具栏中各个按钮的功能,如图7所示:


图 7
  通过上面的讲解,相信你应该对RegMon有了基本的认识,下面简单的讲解实例。
   笔者手上正好有一个灰鸽子木马的病毒样本,下面通过监控灰鸽子木马运行,最后总结出清除此木马的方法,在文章《如何监控文件操作》后半部份讲解了此木马病毒对文件的操作,请先查看《如何监控文件操作》一文。
  
  RegMon 与 FileMon 的操作方式是相同的, 读完《如何监控文件操作》后,相信你已经掌握如何用 RegMon 监控木马对注册表的操作。但在操作 RegMon 时也需要有几项注意。
   首先看“过滤选项“的设置,如图8所示:


图 8
  Include:“*”。这里可能有人会问,为什么不设置为“Virus”(病毒文件名)呢?因为我们不能排除病毒文件“Virus”生成一个新木马文件X后,文件X再生成新的木马文件的可能性。如果这里设置成“Virus”,那RegMon只能监控“Virus”,确无法监控文件X,所以应设置监控所有文件,对于文件X的文件名,要通过监控文件操作获知;
   Highlight:“Virus”。对于“Virus”相关的条目将以红色背景突出显示。
   我们只关心木马病毒写了哪些文件,所以仅勾选Log Write、Log Success、Log Errors。
   设置完成后,点击“OK”按钮。进入“日志窗口”后如果发现设置错误,可以点击工具栏中的过滤选项设置按钮(),重新设置。
  通过《如何监控文件操作》一文,我们知道,此病毒生成了如下二个文件:
   “C:\Windows\System32\com\System.bat”
   “C:\Windows\uninstal.bat”
   那我们在分析注册表监控日志时需要格外留意此两个文件!并且要格外的留意操作方式为:“CreateKey”或“SetValue”的日志条目。


图 9 (本图可以点击放大)
  如图9所示,可以看到“SERVICES.EXE”在注册表中插入了“C:\Windows\System32\com\System.bat”文件。通过查看“所操作的注册表路径”知道他是将此项加到了系统的服务列表中。以达到每次启动机器自动运行的目的。可以在Autorun中将此项删除掉,如图10所示:


图 10
  有人可能会问:“SERVICES.EXE”文件是不是病毒文件?
   答:不是。因为病毒并没有产生“SERVICES.EXE”文件,其次“SERVICES.EXE”文件是微软Windows系统自带的程序,所以“SERVICES.EXE”文件不是病毒。这里出现“SERVICES.EXE”文件是由于病毒调用“SERVICES.EXE”将自己添加为系统服务程序。
本文来自:剑盟反病毒技术门户(www.janmeng.com) 原文链接:http://www.janmeng.com/html/xueyuan/200901/09-466.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-20 07:43 , Processed in 0.106773 second(s), 10 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表