一、前言
注册表是Windows操作系统中的一个非常重要的数据库,里面记录了我们系统的几乎所有信息。也正因为这个原因,病毒木马也常常利用注册表来做文章。而对于杀毒软件来说,注册表也是要重点关注的对象。我在《反病毒攻防研究第002篇:利用注册表实现自启动》中也提到过,恶意程序可以利用注册表实现自启动,比如可以增加系统的启动项或通过映像劫持等的方法。这次我打算编写一个注册表启动项管理器,利用它可以对注册表的启动项进行查看,还可以删除可疑启动项。尽管功能很简单,但却也是反病毒木马的利器。需要说明的是,这篇文章所编写的程序,仅仅针对《利用注册表实现自启动》中提到的两个实现程序自启动的注册表键以及键值来讨论的,也就是说我这里并不会在程序中添加所有的注册表启动项,有兴趣的读者可以自行添加。
二、界面的制作
依旧利用MFC创建一个基于对话框的程序,界面如下:
图1 界面设计
程序需要使用两个“Static Text”、两个“List Control”以及三个“Button”控件。需要将两个“List Control”控件的属性都进行如下设置:
图2 设置List Control的属性
最后为界面上面的“List Control”控件添加一个名为“m_RunList”的变量,为下面的“List Control”控件添加一个名为“m_IFEOList”的变量。然后通过编程对两个“List Control”控件进行初始化,主要是对表格的属性进行设置:
void CRegManageRunDlg::InitRunList()
{
//设置“List Control”控件的扩展风格
m_RunList.SetExtendedStyle(
m_RunList.GetExtendedStyle()
| LVS_EX_GRIDLINES //有网络格
| LVS_EX_FULLROWSELECT); //选中某行使整行高亮(只适用于report风格)
//添加列目
m_RunList.InsertColumn(0, _T("序号"));
m_RunList.InsertColumn(1, _T("名 称"));
m_RunList.InsertColumn(2, _T("类 型"));
m_RunList.InsertColumn(3, _T("数 据"));
//设置列的宽度
m_RunList.SetColumnWidth(0, LVSCW_AUTOSIZE_USEHEADER);
m_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
m_RunList.SetColumnWidth(2, LVSCW_AUTOSIZE_USEHEADER);
m_RunList.SetColumnWidth(3, LVSCW_AUTOSIZE_USEHEADER);
}
void CRegManageRunDlg::InitIFEOList()
{
//设置“List Control”控件的扩展风格
m_IFEOList.SetExtendedStyle(
m_IFEOList.GetExtendedStyle()
| LVS_EX_GRIDLINES //有网络格
| LVS_EX_FULLROWSELECT); //选中某行使整行高亮(只适用于report风格)
//添加列目
m_IFEOList.InsertColumn(0, _T("序号"));
m_IFEOList.InsertColumn(1, _T("被劫持程序名称"));
//设置列的宽度
m_IFEOList.SetColumnWidth(0, LVSCW_AUTOSIZE_USEHEADER);
m_IFEOList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);
}InitRunList();
InitIFEOList();void InitRunList();
void InitIFEOList();我之所以要使用两个“ListControl”控件,是因为我需要枚举启动项和映像劫持。前者所枚举的是启动项“Run”这个“键”下面的所有“键值”,而后者所枚举的是“映像劫持”这个“键”下面的所有“子键”。对于枚举不同的内容,我觉得还是分开讨论比较好。
三、编写代码
首先需要编写两个宏定义,表示我们将要枚举的项:#define REG_RUN "Software\Microsoft\Windows\CurrentVersion\Run\"
#define REG_IFEO "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"void CRegManageRunDlg::ShowRunList()
{
//清空列表
m_RunList.DeleteAllItems();
DWORD dwType = 0;
DWORD dwBufferSize = MAXBYTE;
DWORD dwKeySize = MAXBYTE;
char szValueName[MAXBYTE] = { 0 };
char szValueKey[MAXBYTE] = { 0 };
char szType[MAXBYTE] = { 0 };
//打开注册表启动项
HKEY hKeyRun = NULL;
LONG lRetRun = RegOpenKey(HKEY_CURRENT_USER, REG_RUN, &hKeyRun);
if ( lRetRun != ERROR_SUCCESS )
{
AfxMessageBox("注册表打开失败!");
return ;
}
int i = 0;
CString strRunTmp;
while ( TRUE )
{
lRetRun = RegEnumValue(hKeyRun, i, szValueName, &dwBufferSize, NULL, &dwType, (unsigned char *)szValueKey, &dwKeySize);
if ( lRetRun == ERROR_NO_MORE_ITEMS )
{
break;
}
strRunTmp.Format("%d", i);
//判断注册表项值的类型
if(dwType == REG_SZ)
{
//一个以0结尾的字符串
strcpy(szType, "REG_SZ");
}
else if(dwType == REG_BINARY)
{
//任何形式的二进制数据
strcpy(szType, "REG_BINARY");
}
else if(dwType == REG_DWORD)
{
//一个32位的数字
strcpy(szType, "REG_DWORD");
}
else if(dwType == REG_EXPAND_SZ)
{
//一个以0结尾的字符串,该字符串包含对环境变量(如%PATH%)的未扩展引用
strcpy(szType, "REG_EXPAND_SZ");
}
else
{
//其它
strcpy(szType, "OTHER");
}
//将获取的注册表内容写入“List Control”控件
m_RunList.InsertItem(i, strRunTmp);
m_RunList.SetItemText(i, 1, szValueName);
m_RunList.SetItemText(i, 2, szType);
m_RunList.SetItemText(i, 3, szValueKey);
i++;
//清空缓冲区
ZeroMemory(szValueName,MAXBYTE);
ZeroMemory(szType,MAXBYTE);
ZeroMemory(szValueKey, MAXBYTE);
}
RegCloseKey(hKeyRun);
}void CRegManageRunDlg::ShowIFEOList()
{
//清空列表
m_IFEOList.DeleteAllItems();
DWORD dwSize = MAXBYTE;
char szKeyName[MAXBYTE] = { 0 };
//打开注册表映像劫持项
HKEY hKeyIFEO = NULL;
LONG lRetIFEO = RegOpenKey(HKEY_LOCAL_MACHINE, REG_IFEO, &hKeyIFEO);
if ( lRetIFEO != ERROR_SUCCESS )
{
AfxMessageBox("映像劫持打开失败!");
return ;
}
int j = 0;
CString strTmp;
while(TRUE)
{
strTmp.Format("%d", j);
lRetIFEO = RegEnumKey(hKeyIFEO, j, szKeyName, dwSize);
if ( lRetIFEO == ERROR_NO_MORE_ITEMS )
{
break;
}
m_IFEOList.InsertItem(j, strTmp);
m_IFEOList.SetItemText(j, 1, szKeyName);
j ++;
ZeroMemory(szKeyName,MAXBYTE);
}
RegCloseKey(hKeyIFEO);
}ShowRunList();
ShowIFEOList();void ShowIFEOList();
void ShowRunList();void CRegManageRunDlg::OnBtnRunDel()
{
// TODO: Add your control notification handler code here
POSITION pos = m_RunList.GetFirstSelectedItemPosition();
int nSelected = -1;
while ( pos )
{
nSelected = m_RunList.GetNextSelectedItem(pos);
}
if ( -1 == nSelected )
{
AfxMessageBox("您尚未选择选择要删除的启动项!");
return ;
}
char szKeyName[MAXBYTE] = { 0 };
m_RunList.GetItemText(nSelected, 1, szKeyName, MAXBYTE);
CString str = "您即将要删除的启动项是:";
str += szKeyName;
AfxMessageBox(str);
str.Empty();
HKEY hKey = NULL;
LONG lRet = RegOpenKey(HKEY_CURRENT_USER, REG_RUN, &hKey);
if ( lRet != ERROR_SUCCESS )
{
AfxMessageBox("启动项打开失败!");
return ;
}
RegDeleteValue(hKey, szKeyName);
RegCloseKey(hKey);
ShowRunList();
}void CRegManageRunDlg::OnBtnIFEODel()
{
// TODO: Add your control notification handler code here
POSITION pos = m_IFEOList.GetFirstSelectedItemPosition();
int nSelected = -1;
while ( pos )
{
nSelected = m_IFEOList.GetNextSelectedItem(pos);
}
if ( -1 == nSelected )
{
AfxMessageBox("您尚未选择选择要删除的映像劫持!");
return ;
}
char szKeyName[MAXBYTE] = { 0 };
m_IFEOList.GetItemText(nSelected, 1, szKeyName, MAXBYTE);
CString str = "您即将要删除的映像劫持是:";
str += szKeyName;
AfxMessageBox(str);
str.Empty();
HKEY hKey = NULL;
LONG lRet = RegOpenKey(HKEY_LOCAL_MACHINE, REG_IFEO, &hKey);
if ( lRet != ERROR_SUCCESS )
{
AfxMessageBox("映像劫持打开失败!");
return ;
}
RegDeleteKey(hKey, szKeyName);
RegCloseKey(hKey);
ShowIFEOList();
}void CRegManageRunDlg::OnBtnQuit()
{
// TODO: Add your control notification handler code here
EndDialog(0);
}至此,所有代码编写完毕。由于程序原理非常简单,所以这里无需过多论述。
四、实际测试
测试时需要使用《反病毒攻防研究第002篇:利用注册表实现自启动》中编写的用于模拟计算机病毒的程序,它会在注册表中的两个位置添加自身,以实现自启动。运行该“病毒”程序后,用这里编写的“启动项管理器”进行查看:
图3 查看启动项
可见我们的程序已经正确识别出了“恶意程序”所添加的启动项,接下来就可以通过点击相应的按钮进行删除,这里不再赘述。