在阅读有关取证的文章时,提到恶意软件可以在软件 HKCU 中找到。我的问题是,如果恶意软件安装,Windows 肯定会将其放在此注册表部分中吗?我一直以为恶意软件可以隐藏在任何地方,但我读到的内容让它看起来好像会在这个位置。Windows 是否将所有已安装的软件都放在这里/恶意软件可以更改它吗?
答案1
恶意软件是在计算机上运行的恶意代码。
如果“在软件 HKCU 中找到”你指的是恶意软件的持久性技术,那么是的——恶意软件作者用于持久性的技术之一是利用注册表项,允许他们的进程在用户登录时启动。
“我一直以为恶意软件可以隐藏在任何地方,但我读到的内容让它看起来好像就在这个位置”\ 恶意软件确实可以以不同的方式隐藏自己,并且没有“要求”恶意软件使用注册表进行持久性或隐藏自己。
“Windows 是否将所有已安装的软件都放在这里”-不.HKCU 代表键值对即它包含 Windows 的配置信息和特定于当前登录的用户。
只要获得正确的权限,恶意软件就绝对可以更改 HKCU 下的键和值。
希望对您有所帮助。如果您感兴趣,我强烈推荐实用恶意软件分析,这是一本好书。