记录今天分析的一个隐藏自身及注册表项的病毒。

1.概述:

(1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  [UU5DUD3ZUFYW3W5YYPBNVTTD]   C:\Windows7\4D525EC1C14.exe/q。

(2)在资源管理器里看不到windows7这个文件夹。在regedit.exe中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中也找不到 [UU5DUD3ZUFYW3W5YYPBNVTTD] 这个键。

(3)在xuetr里能看上上述文件夹及注册表键。

2.分析:

(1)用xuetr查看explorer.exe的进程钩子如下图:

可以看到NtEnumerateValueKey和NtQueryDirectoryFile两个函数被钩了,基本可以确定这就是看不到病毒文件及注册表项的原因。

(2)试图用xuetr恢复钩子失败,说明有进程在守护,很有可能是4D525EC1C14.exe。但是在进程及线程中找不到4D525EC1C14.exe。于是用xuetr删除病毒的自启动项,再重启系统发现windows7文件夹和注册表项都可以看见。于是可以确定病毒的运行模式是4D525EC1C14.exe开机启动,然后修改explorer.exe的内存并隐藏自身。

通过修改explorer.exe内存隐藏文件及注册表项相关推荐

  1. 服务器iis7.5 配置文件,使用注册表项 - Internet Information Services | Microsoft Docs

    Internet 信息服务使用的注册表项的说明 07/21/2020 本文内容 本文介绍了 Microsoft Internet Information Services (IIS) 在 Window ...

  2. java8 注册表_异常 - 错误:注册表项'Software \ JavaSoft \ Java Runtime Environment'\ CurrentVersion'?...

    异常 - 错误:注册表项'Software \ JavaSoft \ Java Runtime Environment'\ CurrentVersion'? 这个问题在这里已有答案: Java错误打开 ...

  3. 木马爱修改的常见注册表项及其功能

    IE相关: 设置IE多线程下载网页的线程数: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings ...

  4. 命令编写注册表文件修改注册表项

    命令编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的 ...

  5. 编写注册表文件修改注册表项

    编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的操作 ...

  6. IE主页注册表项修改

    IE主页注册表项修改 一.对IE浏览器产生破坏的网页病毒: (一).默认主页被修改 1.破坏特性:默认主页被自动改为某网站的网址. 2.表现形式:浏览器的默认主页被自动设为如********.COM的 ...

  7. Internet Explorer 设置 注册表中设置IE(Windows安全设置之注册表项)

    Windows安全设置之注册表项 在IE4.0以上的版本中,IE的安全设置一般都存贮在这两个地方: 1.HKEY_CURRENT_USER\Software\Microsoft\Windows\Cur ...

  8. Win8 解决错误 1406。安装程序无法将值OSE.exe写入注册表项。无法保存对main权限所作的更改

    我的个人blog2018-9上线,地址:http://www.biegral.com 用了破Win8.装个Office2013都蛋疼. 下载了怎么安装都不对,感觉整理一个完美的解决方案. 安装错误1: ...

  9. Microsoft Visio Premium 2010安装过程中遇到错误1402所需修改的注册表项

    2019独角兽企业重金招聘Python工程师标准>>> 昨天为了画一个数据库的模型图,装了下Visio,结果安装的时候一直报1402的错误,而且每次安装时候遇到这个错误,都需要回滚重 ...

最新文章

  1. SAP MM MIGO 551 可以直接报废供应商寄售库存
  2. 语音识别:繁华背后,危机初现
  3. ES: 机器学习、专家系统、控制系统的数学映射
  4. 在线自动下载最新版本jquery
  5. 聊聊ASP.NET Core默认提供的这个跨平台的服务器——KestrelServer
  6. HTTP 和 WebSocket的区别
  7. opencv进行5种图像变化:
  8. windows10更新后网络无法连接的问题
  9. [bzoj4278][ONTAK2015]Tasowanie_后缀数组_贪心
  10. 二叉树反转java实现
  11. 黑客攻击成网络安全大患 危害长久
  12. 安装Linux Mint遇到的坑和解决方法|花屏|无法进入安装引导界面|驱动异常|无法连接WiFi......
  13. ios微信小程序下拉刷新怎么配_微信小程序之上拉加载与下拉刷新
  14. 计算机怎么盲打键盘,键盘指法,教您盲打及快速打字指法练习的步骤
  15. stub,存根是什么?
  16. 《那封08年收到的情书》
  17. fash 3D 游戏
  18. Cookie实现七天免登录
  19. HTML基础之 HTML5新增视频和音频标签
  20. linux一键克隆,使用shell一键克隆虚拟机

热门文章

  1. win10启动修复_以安全模式启动win10的4种方法,简单高效,修复电脑故障必用技巧...
  2. jsp源码oracle数据库,JSP与oracle数据库交互案例
  3. HTML+CSS+JS实现 ❤️翻页倒计时ui特效❤️
  4. python中的键不允许重复_为什么python允许您使用重复键创建字典
  5. java日常笔记、对象的创建完全是由构造方法实现的吗?this的本质
  6. java 生成客户端代码_swagger-codegen生成java客户端代码
  7. Java集合迭代器原理图解_Java Iterator接口遍历单列集合迭代器原理详解
  8. python pexpect输出_关于多线程:如何使用pexpect获取python中子进程的自发输出
  9. android 自定义进度条_第一百八十九回:Android中自定义ProgressBar三
  10. 【OpenCV 例程200篇】93. 噪声模型的直方图