码迷,mamicode.com
首页 > 其他好文 > 详细

当心PCHunter和PowerTool的注册表分析

时间:2019-10-09 19:22:22      阅读:131      评论:0      收藏:0      [点我收藏+]

标签:一些事   网上   修改   实现   pow   系统   hellip   window   res   

FE | 说明

这里仅仅只是发出一个提醒,并没有贬低或者侮辱其它任何公司、个人或软件产品的意思

本人也一直在使用PCHunter和PowerTool,因为它们在实现便携的同时,把功能做得非常强大。

 

FF | 软件环境

Windows 10 (1809) x64

PCHunter v1.56 x64

PowerTool v2.0 x64

火绒个人版 v5.0.26.0 x64

 

00 | 背景

昨晚在对自己的程序测试时,尝试提取自己程序里的资源,然后在别人推荐的工具包里翻到了一个软件便用了,后来(因为一些事情重启过)想打开自己程序浏览时发现无法打开,遂用火绒……结果发现啥程序都打不开了!尝试半天无果,以为是病毒杀到,赶紧关机睡觉。第二天早起,经过半天的努力(真的差不多12个小时),进过PE,但发现没啥东西可以杀毒,后来发现reg文件未被感染,遂用reg导入的方式修复了exe,最终得以进入注册表,查到exe关联被指向BomeRst.exe,搜索得知是Restorator搞的鬼。

技术图片

(网上搜到的方法很多只有第二段,其实对付Restorator,还需要添加第一段才能:把.exe指向exefile

 

01 | 问题的发现

因为破坏的文件关联比较多,包括com、dll、exe、ocx、scr、sys、rc、res等,

所以尝试用火绒扫描,后转用PCHunter和PowerTool的文件关联扫描,但均没有得到结果。

在对PCHunter和PowerTool的文件关联扫描进行分析后发现,com关联竟然是没问题的(此时还没修复com的文件关联)!

于是乎分别打开各自的注册表栏目,并与系统注册表的进行比对,发现跟系统注册表的不完全相同。

技术图片

(图一。可以看到,HKCR\.com的默认项数据是不相同的)

技术图片

(从左到右分别是系统注册表、火绒剑注册表栏目、PCHunter注册表栏目、PowerTool注册表栏目)

 

 

02 | 结论

个人臆测,原因是PCHunter和PowerTool读取分析的只有32位的注册表,而一些修改注册表的方式改的是64位的注册表,导致PCHunter和PowerTool检测不到问题。

因此,在64位系统中使用PCHunter和PowerTool进行注册表相关项目分析时,需要多加留心。

如果可以,请尽量备一个已知能够检测到64位注册表的软件。

 

当心PCHunter和PowerTool的注册表分析

标签:一些事   网上   修改   实现   pow   系统   hellip   window   res   

原文地址:https://www.cnblogs.com/LoveOurWings/p/11643470.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!