注册表是Windows操作系统中的一个非常重要的数据库,里面记录了我们系统的几乎所有信息。也正因为这个原因,病毒木马也常常利用注册表来做文章。而对于杀毒软件来说,注册表也是要重点关注的对象。我在《反病毒攻防研究第002篇:利用注册表实现自启动》中也提到过,恶意程序可以利用注册表实现自启动,比如可以增加系统的启动项或通过映像劫持等的方法。这次我打算编写一个注册表启动项管理器,利用它可以对注册表的启动项进行查看,还可以删除可疑启动项。尽管功能很简单,但却也是反病毒木马的利器。需要说明的是,这篇文章所编写的程序,仅仅针对《利用注册表实现自启动》中提到的两个实现程序自启动的注册表键以及键值来讨论的,也就是说我这里并不会在程序中添加所有的注册表启动项,有兴趣的读者可以自行添加。
依旧利用MFC创建一个基于对话框的程序,界面如下:
图1 界面设计
程序需要使用两个“Static Text”、两个“List Control”以及三个“Button”控件。需要将两个“List Control”控件的属性都进行如下设置:
图2 设置List Control的属性
最后为界面上面的“List Control”控件添加一个名为“m_RunList”的变量,为下面的“List Control”控件添加一个名为“m_IFEOList”的变量。然后通过编程对两个“List Control”控件进行初始化,主要是对表格的属性进行设置:
void CRegManageRunDlg::InitRunList() { //设置“List Control”控件的扩展风格 m_RunList.SetExtendedStyle( m_RunList.GetExtendedStyle() | LVS_EX_GRIDLINES //有网络格 | LVS_EX_FULLROWSELECT); //选中某行使整行高亮(只适用于report风格) //添加列目 m_RunList.InsertColumn(0, _T("序号")); m_RunList.InsertColumn(1, _T("名 称")); m_RunList.InsertColumn(2, _T("类 型")); m_RunList.InsertColumn(3, _T("数 据")); //设置列的宽度 m_RunList.SetColumnWidth(0, LVSCW_AUTOSIZE_USEHEADER); m_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER); m_RunList.SetColumnWidth(2, LVSCW_AUTOSIZE_USEHEADER); m_RunList.SetColumnWidth(3, LVSCW_AUTOSIZE_USEHEADER); } void CRegManageRunDlg::InitIFEOList() { //设置“List Control”控件的扩展风格 m_IFEOList.SetExtendedStyle( m_IFEOList.GetExtendedStyle() | LVS_EX_GRIDLINES //有网络格 | LVS_EX_FULLROWSELECT); //选中某行使整行高亮(只适用于report风格) //添加列目 m_IFEOList.InsertColumn(0, _T("序号")); m_IFEOList.InsertColumn(1, _T("被劫持程序名称")); //设置列的宽度 m_IFEOList.SetColumnWidth(0, LVSCW_AUTOSIZE_USEHEADER); m_IFEOList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER); }然后进行对话框的初始化,在OnInitDialog()中添加:
InitRunList(); InitIFEOList();最后在头文件中的相应位置添加:
void InitRunList(); void InitIFEOList();
我之所以要使用两个“ListControl”控件,是因为我需要枚举启动项和映像劫持。前者所枚举的是启动项“Run”这个“键”下面的所有“键值”,而后者所枚举的是“映像劫持”这个“键”下面的所有“子键”。对于枚举不同的内容,我觉得还是分开讨论比较好。
#define REG_RUN "Software\\Microsoft\\Windows\\CurrentVersion\\Run\\" #define REG_IFEO "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\"接下来编写显示启动项的代码:
void CRegManageRunDlg::ShowRunList() { //清空列表 m_RunList.DeleteAllItems(); DWORD dwType = 0; DWORD dwBufferSize = MAXBYTE; DWORD dwKeySize = MAXBYTE; char szValueName[MAXBYTE] = { 0 }; char szValueKey[MAXBYTE] = { 0 }; char szType[MAXBYTE] = { 0 }; //打开注册表启动项 HKEY hKeyRun = NULL; LONG lRetRun = RegOpenKey(HKEY_CURRENT_USER, REG_RUN, &hKeyRun); if ( lRetRun != ERROR_SUCCESS ) { AfxMessageBox("注册表打开失败!"); return ; } int i = 0; CString strRunTmp; while ( TRUE ) { lRetRun = RegEnumValue(hKeyRun, i, szValueName, &dwBufferSize, NULL, &dwType, (unsigned char *)szValueKey, &dwKeySize); if ( lRetRun == ERROR_NO_MORE_ITEMS ) { break; } strRunTmp.Format("%d", i); //判断注册表项值的类型 if(dwType == REG_SZ) { //一个以0结尾的字符串 strcpy(szType, "REG_SZ"); } else if(dwType == REG_BINARY) { //任何形式的二进制数据 strcpy(szType, "REG_BINARY"); } else if(dwType == REG_DWORD) { //一个32位的数字 strcpy(szType, "REG_DWORD"); } else if(dwType == REG_EXPAND_SZ) { //一个以0结尾的字符串,该字符串包含对环境变量(如%PATH%)的未扩展引用 strcpy(szType, "REG_EXPAND_SZ"); } else { //其它 strcpy(szType, "OTHER"); } //将获取的注册表内容写入“List Control”控件 m_RunList.InsertItem(i, strRunTmp); m_RunList.SetItemText(i, 1, szValueName); m_RunList.SetItemText(i, 2, szType); m_RunList.SetItemText(i, 3, szValueKey); i++; //清空缓冲区 ZeroMemory(szValueName,MAXBYTE); ZeroMemory(szType,MAXBYTE); ZeroMemory(szValueKey, MAXBYTE); } RegCloseKey(hKeyRun); }然后编写显示映像劫持的代码:
void CRegManageRunDlg::ShowIFEOList() { //清空列表 m_IFEOList.DeleteAllItems(); DWORD dwSize = MAXBYTE; char szKeyName[MAXBYTE] = { 0 }; //打开注册表映像劫持项 HKEY hKeyIFEO = NULL; LONG lRetIFEO = RegOpenKey(HKEY_LOCAL_MACHINE, REG_IFEO, &hKeyIFEO); if ( lRetIFEO != ERROR_SUCCESS ) { AfxMessageBox("映像劫持打开失败!"); return ; } int j = 0; CString strTmp; while(TRUE) { strTmp.Format("%d", j); lRetIFEO = RegEnumKey(hKeyIFEO, j, szKeyName, dwSize); if ( lRetIFEO == ERROR_NO_MORE_ITEMS ) { break; } m_IFEOList.InsertItem(j, strTmp); m_IFEOList.SetItemText(j, 1, szKeyName); j ++; ZeroMemory(szKeyName,MAXBYTE); } RegCloseKey(hKeyIFEO); }为了使这两个函数正常使用,需要在对话框初始化时,就将注册表内容显示出来。在OnInitDialog()中添加:
ShowRunList(); ShowIFEOList();再在头文件中进行函数声明:
void ShowIFEOList(); void ShowRunList();至此,两个“List Control”控件的程序编写完毕,接下来是三个按钮控件的编程,首先是“删除启动项”按钮:
void CRegManageRunDlg::OnBtnRunDel() { // TODO: Add your control notification handler code here POSITION pos = m_RunList.GetFirstSelectedItemPosition(); int nSelected = -1; while ( pos ) { nSelected = m_RunList.GetNextSelectedItem(pos); } if ( -1 == nSelected ) { AfxMessageBox("您尚未选择选择要删除的启动项!"); return ; } char szKeyName[MAXBYTE] = { 0 }; m_RunList.GetItemText(nSelected, 1, szKeyName, MAXBYTE); CString str = "您即将要删除的启动项是:"; str += szKeyName; AfxMessageBox(str); str.Empty(); HKEY hKey = NULL; LONG lRet = RegOpenKey(HKEY_CURRENT_USER, REG_RUN, &hKey); if ( lRet != ERROR_SUCCESS ) { AfxMessageBox("启动项打开失败!"); return ; } RegDeleteValue(hKey, szKeyName); RegCloseKey(hKey); ShowRunList(); }然后是“删除映像劫持”按钮:
void CRegManageRunDlg::OnBtnIFEODel() { // TODO: Add your control notification handler code here POSITION pos = m_IFEOList.GetFirstSelectedItemPosition(); int nSelected = -1; while ( pos ) { nSelected = m_IFEOList.GetNextSelectedItem(pos); } if ( -1 == nSelected ) { AfxMessageBox("您尚未选择选择要删除的映像劫持!"); return ; } char szKeyName[MAXBYTE] = { 0 }; m_IFEOList.GetItemText(nSelected, 1, szKeyName, MAXBYTE); CString str = "您即将要删除的映像劫持是:"; str += szKeyName; AfxMessageBox(str); str.Empty(); HKEY hKey = NULL; LONG lRet = RegOpenKey(HKEY_LOCAL_MACHINE, REG_IFEO, &hKey); if ( lRet != ERROR_SUCCESS ) { AfxMessageBox("映像劫持打开失败!"); return ; } RegDeleteKey(hKey, szKeyName); RegCloseKey(hKey); ShowIFEOList(); }最后是“退出”按钮:
void CRegManageRunDlg::OnBtnQuit() { // TODO: Add your control notification handler code here EndDialog(0); }
至此,所有代码编写完毕。由于程序原理非常简单,所以这里无需过多论述。
可见我们的程序已经正确识别出了“恶意程序”所添加的启动项,接下来就可以通过点击相应的按钮进行删除,这里不再赘述。