我的注册表项 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* 中有很多带有应用程序名称的键,我确信我之前已经将其作为病毒或恶意软件删除,例如 AppthgildeM.exe 有两个东西
- 类型为“REG_SZ”的默认值
- GlobalFlag 为“REG_DWORD”,值为 200(我删除了此条目)
其余带有恶意文件名称的键只有默认值。我不知道所有恶意条目的确切名称,有什么方法可以删除它们吗?
真正的条目将“DisableExceptionChainValidation”设置为 0(谢天谢地),但是 explorer.exe 的值为 3。我应该将其改回 0 吗?
此外,就我看到的所有条目而言,除了设置为 100 的 MitigationOptions 和一些特定的键(如 CFGOptions)之外,它们没有调试器或任何其他键。
谢谢!
答案1
注册表项始终具有 REG_SZ 类型的“默认”值 - 这是 Windows 3.x 时代的遗留,当时这实际上是注册表唯一的数据格式。(因此出现了奇怪的键/值/数据术语。)
据我所知,“图像文件执行选项”对该子项没有任何意义,仅仅是展示(注册表的其他一些地方也有这种情况),因此这里只有非默认值才是重要的。
禁用异常链验证对于 Explorer.exe,其值始终设置为 3,即使是在全新安装中也是如此。我只能猜测这与第三方 shell 扩展有关,这些扩展会将大量(垃圾)代码加载到 Explorer.exe 进程中。
全球旗帜是一个位掩码;每个位都有它本身的意义. 似乎设置位 0x200 可以实现某种静默退出监控,我怀疑它可能被用作一种在恶意软件进程被杀死时自动重新启动恶意软件进程的方式(例如,通过由事件日志条目触发的计划任务)。