感染了恶意软件? 沐鸣平台教您如何检查您的Windows注册表 - 沐鸣平台资讯 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

感染了恶意软件? 沐鸣平台教您如何检查您的Windows注册表

浏览次数:619日期:2019-05-14小编:沐鸣

  欢迎访问沐鸣平台网址www.huayu21.com,对于数以亿计的变体,Microsoft Windows恶意软件并不总是修改Windows注册表数据库(即注册表)......但它通常会这样做。恶意软件将修改注册表以确保它可以在重新启动后自行启动,以更好地隐藏或与现有合法进程集成。因此,监视通常由恶意软件操纵的注册表区域是有意义的。


  问题是大多数合法软件修改了这些相同的注册表项,导致过多的误报“噪音”。你真正应该注意的东西可能会被你真正不需要担心的东西淹没并淹死。但如果你做得对,它可以是检测恶意软件和提醒响应资源的好方法。


确定要审核的注册表项

  成千上万的哪些注册表项对审计有用?我没有完整的列表可以100%准确,但最好的来源是微软的Sysinternals Autoruns计划。


  如果您查看Autoruns检查的注册表项,您将拥有恶意软件喜欢操作的最完整的注册表项列表之一。 Autoruns覆盖19个不同的注册表键部分,非常彻底。有些人喜欢类似Silent Runners.vbs的脚本,但我更喜欢Autoruns。它不仅由微软托管,而且由传奇人物Mark Russinovich创建,并经常由他和他的团队更新。


   新的攻击媒介很快就会进入Autoruns。该程序有一个很棒的GUI,允许您快速查看(和禁用)自动执行条目,发送文件哈希值以进行VirusTotal.com分析,并运行前后比较。 SilentRunners.vbs脚本涵盖了许多相同的注册表项,并且某些人可能更容易从中提取注册表项路径。 (您可以使用“保存”选项或使用命令行版本Autorunsc.exe从Autoruns中提取注册表项。)


  但请注意,今天的恶意软件中只有百分之一只是内存驻留 - 也就是说,它不会将自身写入永久存储。因此,它不会修改其中一个已分析的注册表项。要检测内存驻留程序,请按照“如何通过9个简单步骤检测恶意软件感染”中概述的过程进行操作。


使用VirusTotal查找恶意软件

  在注册表中,真正的诀窍在于弄清楚哪些修改是恶意的,哪些是合法的。许多年前,这项活动需要多年的经验,每台机器需要一个小时左右。现在,您可以在大约15秒内以最佳准确度告知。只需启用Autoruns的VirusTotal功能。


  VirusTotal是Google拥有的服务,可针对每个参与的防病毒软件运行每个文件哈希。它目前有67个防病毒引擎,虽然这个数字上下起伏。 VirusTotal本身就很棒。用户可以单独提交文件并查明他们是否受到恶意软件的感染。但它真正变得整洁的地方是程序与它集成,如Autoruns和Process Explorer。


  当您运行任一实用程序并启用Check VirusTotal选项时,每个涉及的文件将自动提交给VirusTotal,然后为每个文件返回一个比率。分母(下半部分)显示有多少防病毒引擎检查了提交。通常这个数字是67或更小。提名者(上半部分)显示有多少这些防病毒引擎检测到文件提交为恶意文件。如果提名者为0,则涉及的文件不是恶意的。如果提名者为3或以上,那么您通常会有恶意程序。不幸的是,如果提名者显示1或2,则通常是相对未知的防病毒引擎的假阳性。如果您遵循这些规则,VirusTotal非常非常准确。


  Autoruns / VirusTotal.com链接可以帮助您,但我不知道一种简单的方法来自动化或编写流程脚本。简单地收集和聚合注册表项修改至少是一个开始。然后,您可以分析您正在收集的内容,并确定检测恶意代理的难易程度。如果您已经阅读过这篇文章,那么您已经比大多数管理员更进一步。


启用注册表审核

  企业实体应启用注册表审核,这可以使用内置的Windows审核功能来完成。当然,您需要启动Windows注册表审核。这是一个两步的过程。


  首先,您需要在Windows事件记录器中启用注册表审核。您可以使用Active Directory或本地组策略执行此操作,以在“高级审核策略配置”(“计算机配置”>“Windows设置”>“安全设置”)下的“对象访问”子类别中查找并启用“审核注册表”选项。启用“成功”和“失败”选项。对于后一种配置,了解哪些程序(或哪些用户)在缺少正确权限时尝试修改注册表项总是好的。

感染了恶意软件? 沐鸣平台教您如何检查您的Windows注册表

  接下来,您必须使用Regedit.exe打开每个单独的注册表项,右键单击要审核的注册表项,选择“权限”选项,然后单击“高级”按钮,最后选择“审核”选项卡。添加Everyone组作为审核主体,而不是选择三个基本权限之一,而是选择显示高级权限。然后启用以下权限:

1、设定值

2、创建子密钥

3、创建链接

4、写入数模转换器

5、写入所有者

对要监视的每个注册表项重复该权限例程。


  注册表审核不适合胆小的人。我最好的建议是专注于监视包含高价值数据和其他战略资产(如域控制器,基础结构服务器,跳转框等)的计算机上的注册表项,并且不应经常更改。


  注册表审核可能有点令人生畏,但它是另一个检测计算机和网络不良的好工具。进入逼真的期望,筛选出噪音,并为您的整体检测体系添加重要内容。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有