記錄今天分析的一個(gè)隱藏自身及注冊(cè)表項(xiàng)的病毒。

1.概述：

（1）此病毒文件為路徑為：C:\Windows7\4D525EC1C14.exe，且注冊(cè)了自啟動(dòng)項(xiàng)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run? [UU5DUD3ZUFYW3W5YYPBNVTTD]? ?C:\Windows7\4D525EC1C14.exe/q。

（2）在資源管理器里看不到windows7這個(gè)文件夾。在regedit.exe中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項(xiàng)中也找不到?[UU5DUD3ZUFYW3W5YYPBNVTTD] 這個(gè)鍵。

（3）在xuetr里能看上上述文件夾及注冊(cè)表鍵。

2.分析：

（1）用xuetr查看explorer.exe的進(jìn)程鉤子如下圖：

可以看到NtEnumerateValueKey和NtQueryDirectoryFile兩個(gè)函數(shù)被鉤了，基本可以確定這就是看不到病毒文件及注冊(cè)表項(xiàng)的原因。

（2）試圖用xuetr恢復(fù)鉤子失敗，說(shuō)明有進(jìn)程在守護(hù)，很有可能是4D525EC1C14.exe。但是在進(jìn)程及線程中找不到4D525EC1C14.exe。于是用xuetr刪除病毒的自啟動(dòng)項(xiàng)，再重啟系統(tǒng)發(fā)現(xiàn)windows7文件夾和注冊(cè)表項(xiàng)都可以看見。于是可以確定病毒的運(yùn)行模式是4D525EC1C14.exe開機(jī)啟動(dòng)，然后修改explorer.exe的內(nèi)存并隱藏自身。

總結(jié)

以上是生活随笔為你收集整理的通过修改explorer.exe内存隐藏文件及注册表项的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。