下面我们再简单的说一说SID(安全标识符)也就是上面的“S-1-5-XX-XXX”,其后面部分我用“XXX”取代了,后面是不定值。
SID前面的定义是固定的,比如:S-1-5-18是本地系统账户(Local System)S-1-5-19是本地服务账户、S-1-5-20是网络服务账户等(更多信息,请参考专业资料)
而SID后面的部分是全球唯一的,就是:329068152-606747145-682003330-1003那部分,在注册表中这个是保存了当前用户的配置信息,也就是HKEY_CURRENT_USER指向的部分。(关于用户的概念请参考后面的相关章节)
接下来,我们再看看每个键中都存储了哪些信息:
l HKEY_CURRENT_USER中存储了一些与当前登录用户有关联的数据,也就是你个人的一些设定都存在了这里。
l HKEY_CLASSES_ROOT中存储的是文件关联和COM对像的注册信息,什么样的文件由什么程序来打开就是存在了这里。
l HKEY_LOCAL_MACHINE中存储的是系统相关的信息,比如:驱动、服务等。
l HKEY_USERS存储的是所有账户的信息。
l HKEY_CURRENT_CONFIG中存储的是当前硬件配置信息。
呵,上面都是一些基本的知识,看起来有些枯燥,能理解就理解,理解不了就算了,并不影响后面对木马的查杀。这里之所以讲这些,是提供给想深入了解系统知识的朋友的,要想成为高手就不能不了解这些。
下面我们再来点动手的,提一提精神。那些禁止我们打开、修改甚至不让我们复制的注册表文件我们难道真的就没办法看看里面是什么吗?嘿,不知道有没有好奇心跟我一样重的朋友。想当年,我可是想尽办法也想看看怎么把那些文件给打开的,呵,没办法,好奇心就是重。我们下面就动手来看看,那里面都是些什么神秘的东西,系统居然看都不让我们看。
先看下图03-21:
打开狙剑,选择“磁盘文件管理”,在打开的选择框中选择系统盘,然后找到Windows"System32"config"目录下的注册表文件,按右键,选择“复制文件”。在弹出的保存框中,给新文件起个名字。OK了,我们成功的复制出了系统本来不想让我们看到的注册表文件。(怎么复制这些不能复制的文件、怎么删除不能删除的文件等我们会在后面的“木马的查杀之文件篇”中统一讲解”)
文件复制出来了,我们怎么来看里面都是什么呢?两种方法,一种是用十六进制编辑器查看,当然了,这种文件是特殊格式的文件,用十六进制编辑器看,看得一定是有些晕的,要做好心理准备哦。第二个方法就是利用Regedit.exe(注册表编辑器)的“加载配置单元”的功能。
这里,我们讲一讲第二种方法,打开注册表编辑器,先选中HKEY_LOCAL_MACHINE键(注意:这一步不要省略,不然加载配置单元项是灰的,也可以选中USER键),然后依次选择“文件”à“加载配置单元”。如下图03-22:
在弹出的选择框中选择我们刚才复制出来的注册表文件,在项名字中随便输入一个名字,这里我输入的是“Test”,然后,就加载成功了,看下图03-23,是不是多出了一个Test键呢?这个键跟System键的内容是一样的,因为我们复制的就是System注册表文件:
注意一下儿,Test里面少了这个键“CurrentControlSet”,为什么会少一个呢?不用我说朋友们也应该知道为什么吧?什么,不知道?那再看看他的名字“Current-Control-Set”这回知道了吧?对了,这个键也是个链接键,是从ControlSet001与ControlSet002中链接的内容,是“当前的”设置。所以,文件中是没有的。而注册表编辑器是从内存中读取的注册表内容,因此是有的。
选中“Test”键,在文件菜单中选择“卸载配置单元”就可以卸掉这个键了。
好了,基础知识讲到这里,应该是够用了,我们接下来就分别讲解一下子,开机自动运行的程序与触发式启动的程序。
--------------------------------------------------------------------------------------
本文转自狙剑作者的blog----MuseHero.blog.tianya.cn
Identify the aspects of your application that vary and separate them from what stays the same.