病毒分析与防护实验1——注册表操作

实验环境

VMware workstation pro

Windows 10 虚拟机

---

实验目的

• 了解病毒传播的常见行为

• 了解注册表在病毒行为设置中的作用

实验原理

注册表是windows操作系统中使用的中央分层数据库，存储用户、应用程序和硬件设备配置系统所需要的信息。这些信息以树状结构存储在注册表（数据库）中。包括：用户的配置文件、安装的应用程序以及应用程序创建的文档类型、文件夹和应用程序图等、系统上存在哪些硬件等

实验前的知识准备

注册表由键（key，或称“项”）、子键（subkey，子项）和值项（value）构成。一个键就是树状数据结构中的一个节点，而子键就是这个节点的子节点，子键也是键。一个值项则是一个键的一条属性，由名称（name）、数据类型（datatype）以及数据（data）组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。

注册表的分支

名称	作用
HKEY_CLASSES_ROOT	存储Windows可识别的文件类型的详细列表，以及相关联的程序。
HKEY_CURRENT_USER	存储当前用户设置的信息。
HKEY_LOCAL_MACHINE	包括安装在计算机上的硬件和软件的信息。
HKEY_USERS	包含使用计算机的用户的信息。
HKEY_CURRENT_CONFIG	这个分支包含计算机当前的硬件配置信息。

注册表的数据类型

显示类型（在编辑器中）	数据类型	说明
REG_SZ	字符串	文本字符串
REG_DWORD	双字	一个 32 位的二进制值，显示为 8 位的十六进制值
REG_MULTI_SZ	多字符串	含有多个文本值的字符串，此名来源于字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ	可扩展字符串	含有环境变量的字符串

实验内容

一、 完成《课1-实验步骤.doc》的实验步骤。

（1）强制隐藏exe文件的扩展名

找到注册表项：HKEY_CLASS_ROOT\exefile，新建字符串值，取名为NeverShowExt

重启计算机，打开一个exe文件，发现不再显示exe后缀。

（2）隐藏“文件夹选项”子菜单项

在注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建DWORD值，取名NoFolderOptions, 设置为1

在这里我们可以看到，修改注册表并重启之前，文件夹选项是可以打开的，如下：

重启之后，可以看到，无法打开文件夹选项

（3）利用注册表实现记事本程序自启动

在注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run新建字符串值notepad，数值数据：C:\windows\system32\notepad.exe (notepad.exe的路径)

重启计算机后，自动打开记事本文件

（4）利用注册表改变文本文件所关联的程序

在注册表项：HKEY_CLASSES_ROOT\txtfile中依次展开shell\open\command ，修改键值为：C:\windows\system32\freecell.exe (freecell.exe的路径)

（5）利用注册表禁止记事本程序运行

1、注册表项：HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options路径下新建一项:notepad.exe 。新建字符串值，取名Debugger，数值数据随便选择

如图，记事本功能已失效

（6）注册表失效

在注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System 2、新建选择“DWORD”值，取名为DisableRegistryTools，设置为1

修改后，使用cmd打开regedit，显示如下：

使用Registry workshop删除禁用注册表编辑项，注册表恢复正常使用

二、《课1-实验步骤.doc》中注册表的操作，对计算机病毒起到什么样的作用？

1.隐蔽与欺骗

• 通过修改HKEY_CLASS_ROOT\exefile可以强制隐藏.exe文件的扩展名。

• 通过修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer可以隐藏“文件夹选项”子菜单项。

2.自启动

• 通过修改HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run可以实现程序的自启动。

通过这些行为，病毒可以在运行后不易被发现，从而拥有尽可能长的生命周期。

三、利用注册表，完成以下操作：

（1）设置QQ开机自启动

在HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run中增加qq项，并且设置数据为

"C:\Program Files (x86)\Tencent\TIM\Bin\QQScLauncher.exe"(qq的文件目录)

重启后qq自动启动：

（2）可否能否禁用QQ.exe的运行?

在目录 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQScLauncher.exe下增加表项QQScLauncher.exe，新建字符串名称为Debugger，类型为REG_SZ，数据任意，重启后可发现qq.exe的运行被禁用

实验总结

本次实验使用到了win10虚拟机和位于%systemroot%\regedit.exe的注册表编辑器，熟悉了注册表的一些功能，对病毒的行为有了初步的了解。

除了使用cmd regedit对注册表进行操作外，也可以使用Windows自带了一个管理注册表的命令行工具——reg。只需在命令提示符中运行并指定参数，即可以命令行的形式对注册表进行各项管理操作。支持的操作有增删改查、导入导出注册表文件（reg文件）、导入导出或加载配置单元（RegHive）等。

此外，还可以使用第三方软件对注册表进行修改，比如Registry workshop（如下图）。

完整报告下载链接：
[下载链接]:https://pan.baidu.com/s/16G8X6LFxi0GvGQKWgcBGRw

提取码：q2bp