趋势科技实习录(HKLM_RUN和SERVICES)

Xuan Qi (RD-CN-INTRN) [13:58]: 
penny姐，HKLM_RUN,我加了三个case 134635~7，在win7_x64机器上，其中在跑134637这个case时，需要事先在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run下各新建String Value，命名为Test。
在执行到getc这一步时手动在HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
下重新添加一个String Value，命名为Test，因为之前新建的会被删除掉。
Penny Jin (QA-CN) [13:58]: 
手动?
case 全部自动化实现的
你现在是遇到什么问题了吗？
Xuan Qi (RD-CN-INTRN) [13:59]: 
在Winlogon目录下会有一个userinit，这个就相当于我自己手动创建的Test
Penny Jin (QA-CN) [14:00]: 
额，什么意思
Xuan Qi (RD-CN-INTRN) [14:00]: 
而在 
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
这个目录下，如果我不创建的话，什么东西都没有
Penny Jin (QA-CN) [14:00]: 
你需要创建的是在 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run下
跟userinit 没有关系
Xuan Qi (RD-CN-INTRN) [14:01]: 
在 set reg data时，需要一个参数呀
get reg data
Penny Jin (QA-CN) [14:02]: 
你搞错了，原来的case里是修改userinit 的值
你写的case是在 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run下 创建value
不一样的
调用create reg value
你看keyword的描述信息就知道了
set reg data 是去修改value的值
Xuan Qi (RD-CN-INTRN) [14:03]: 
嗯，好
我先看看
Penny Jin (QA-CN) [14:04]: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  一条value 才是一个autorun
怎么用reg的keyword，你参考参考case或者看下libs\registrylib.py
Xuan Qi (RD-CN-INTRN) [14:06]: 
嗯
Xuan Qi (RD-CN-INTRN) [14:41]: 
写好了
可以创建value
Penny Jin (QA-CN) [14:42]: 
跑了没，能pass不
Xuan Qi (RD-CN-INTRN) [14:43]: 
可以
跑过了，3个都可以pass
Penny Jin (QA-CN) [14:45]: 
看log 没，是DCE clean了64bit view 和wow64 view 下对应run key下面的value不？
如果没问题了，就提交case吧
Xuan Qi (RD-CN-INTRN) [14:47]: 
我是参照以前的那四个，写的check情况
check的情况都是可以通过的
Penny Jin (QA-CN) [14:49]: 
可以
你再帮忙加几个case，是测service type的
Xuan Qi (RD-CN-INTRN) [14:50]: 
嗯
Penny Jin (QA-CN) [14:50]: 
23.         SERVICES
可以参考WOW64\check_service_by_filename
的case
看下这部分的case，怎么创建32bit service 和64bit service
Xuan Qi (RD-CN-INTRN) [14:54]: 
好的
Penny Jin (QA-CN) [14:55]: 
pattern source可能要稍微改下
测试目的都是一样的，32bit service 和64bit service都要能枚举出来
Penny Jin (QA-CN) [15:00]: 
pattern source 可以参考老框架dcerat 下面的134506 的pattern source，差不多的。只是比较的path多了2个
Xuan Qi (RD-CN-INTRN) [15:00]: 
嗯，好