跟大家一起探討。 （崔衍渠）
一、SREng     啟動(dòng)項(xiàng)目 注冊(cè)表 分析方法

對(duì)應(yīng)的注冊(cè)表位置在log中可以看到
熟悉常見項(xiàng)，主要包括輸入法、音頻視頻應(yīng)用程序、殺毒軟件、安裝的應(yīng)用軟件等
每個(gè)進(jìn)程后有公司名屬性，可以輔助辨別
對(duì)于不確認(rèn)的進(jìn)程 google

[HKEY_CURRENT_USER\SOFtware\MICrosoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上需要具體分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <load><>     []
      <run><>     []
以上2個(gè)位置 如果加載了進(jìn)程,通常是問題項(xiàng)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2個(gè)位置 如果加載了進(jìn)程,通常是問題項(xiàng)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <shell><Explorer.exe>     [Microsoft Corporation]
      <Userinit><C:\WINDOWS\system32\userinit.exe,>     [Microsoft Corporation] 逗號(hào)不可省略。
如果是NT系統(tǒng)（如win2000），相應(yīng)路徑為 C:\WINNT 不再累述。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <ApPINit_DLLs><>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <UIHost><logonui.exe>     [Microsoft Corporation]
以上4個(gè)位置如果和默認(rèn)的有區(qū)別,通常是可疑項(xiàng)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3個(gè)位置如果有加載項(xiàng)(除了第二個(gè)位置加載瑞星防病毒軟件),通常是問題項(xiàng)

• 1
• 2
• 3
• 下一頁

【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 怎樣增強(qiáng)Linux系統(tǒng)安全性
• 下一篇： 詳細(xì)了解進(jìn)程和病毒知識(shí)