实验一——病毒注册表操作

【实验内容】
(1)强制隐藏.exe文件的扩展名
刚开始应用程序的exe扩展名都是可见的
实验一——病毒注册表操作_第1张图片

1、注册表项:HKEY_CLASS_ROOT\exefile,
2、新建字符串值:取名为NeverShowExt。
用Mytool工具:
实验一——病毒注册表操作_第2张图片

直接在注册表中添加
实验一——病毒注册表操作_第3张图片

3、重启计算机
重启之后,所有exe文件的扩展名都被隐藏。
实验一——病毒注册表操作_第4张图片

(2)隐藏“文件夹选项”子菜单项
刚开始“文件夹选项”子菜单选项是可以用的
实验一——病毒注册表操作_第5张图片

1、注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
2、新建DWORD值,取名NoFolderOptions, 设置为1
实验一——病毒注册表操作_第6张图片

3、重启计算机
重启之后“文件夹选项”子菜单选项被隐藏。
实验一——病毒注册表操作_第7张图片

(3)注册表失效
1、注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System
2、新建选择“DWORD”值,取名为DisableRegistryTools,设置为1
实验一——病毒注册表操作_第8张图片

注册表被禁用:
实验一——病毒注册表操作_第9张图片

(4)利用注册表实现记事本程序自启动
记事本路径:
实验一——病毒注册表操作_第10张图片

1、注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
2、新建字符串值notepad,数值数据:C:\windows\system32\notepad.exe (notepad.exe的路径)
(1)MyTool中新建注册表项——设置txt文件的关联程序
实验一——病毒注册表操作_第11张图片

2)利用注册表实现记事本程序自启动
实验一——病毒注册表操作_第12张图片

3、重启计算机
开机之后,记事本果然自己启动了。
实验一——病毒注册表操作_第13张图片

(5)利用注册表改变文本文件所关联的程序
1、注册表项:HKEY_CLASSES_ROOT\txtfile
或HKEY_LOCAL_MACHINE\Software\command\txtfile子键,依次展开shell\open\command
2、修改键值为:C:\windows\system32\freecell.exe (freecell.exe的路径)
因为镜像中没有这个freecell.exe文件,所以我把文本文件所关联的程序由记事本notepad.exe改成了写字板wordpad.exe。
实验一——病毒注册表操作_第14张图片

打开txtx文本,已经是默认写字板打开了:
实验一——病毒注册表操作_第15张图片

(6)利用注册表禁止记事本程序运行
1、注册表项:HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options路径下新建一项:notepad.exe
2、新建字符串值,取名Debugger,数值数据随便选择。
实验一——病毒注册表操作_第16张图片

记事本已经无法打开了:
实验一——病毒注册表操作_第17张图片

思考:(1)至(6)步实现对注册表的操作,这些操作对计算机病毒起到什么样的作用?
第(1)题:强制隐藏.exe文件的扩展名:
没有了.exe文件的扩展名,这样使用户不清楚文件是否可执行,可能会执行病毒文件,让计算机病毒更容易被执行。
第(2)题隐藏“文件夹选项”子菜单项:
选项“消失”,让人无法修改“高级设置”中的文件夹选项
第(3)题注册表失效
注册表失效可以让很多病毒无法执行,因为很多病毒是通过在注册表中与系统启动有关的子键下,可以指定在系统启动后自动运行这些病毒程序。注册表失效后这些病毒便无法运行了。
第(4)题利用注册表实现记事本程序自启动
用类似的方法添加病毒的路径和病毒的可执行文件,就可以在系统启动的时候,自动运行病毒。
第(5)题利用注册表改变文本文件所关联的程序:
通过这种方式修改注册表,可以把某种文件关联的正常程序改为关联病毒程序,这样用户在打开这种文件的时候就会执行病毒程序。
第(6)题利用注册表禁止记事本程序运行
当发现某些程序异常运行时,可以禁止它的运行。

你可能感兴趣的:(#,病毒分析实验,病毒分析,注册表,windows)