HKCU Sotware в реестре и вредоносных программ
Читая о судебной экспертизе, упоминалось, что вредоносное ПО можно найти в программном обеспечении HKCU. Мой вопрос: если вредоносная программа будет установлена, Windows определенно поместит ее в этот раздел реестра? Я всегда предполагал, что вредоносное ПО может спрятаться где угодно, но то, что я читаю, создает впечатление, что оно будет в этом месте. Размещает ли Windows все установленное программное обеспечение здесь / может ли оно быть изменено вредоносным ПО?
1 ответ
Вредоносное ПО - это вредоносный фрагмент кода, работающий на компьютере.
Если под "найден в Software HKCU" вы ссылаетесь на технику сохранения вредоносного ПО, то ДА - один из методов, которые авторы вредоносного ПО используют для обеспечения устойчивости, заключается в использовании ключей реестра, которые позволят запускать свои процессы при входе пользователя в систему.
"Я всегда предполагал, что вредоносное ПО может спрятаться где угодно, но то, что я читаю, создает впечатление, что оно будет находиться в этом месте". \ Malware действительно может скрывать себя по-разному, и для вредоносного ПО не требуется "использование" реестра. для настойчивости или скрыть себя.
"Windows помещает все установленное программное обеспечение здесь" - нет. HKCU расшифровывается как HKEY_CURRENT_USER, т. Е. Содержит информацию о конфигурации Windows и программного обеспечения, характерного для текущего пользователя, вошедшего в систему.
При наличии соответствующих разрешений вредоносные программы могут определенно изменять ключи и значения в HKCU.
Надеюсь, это поможет. Если вам интересно, я очень рекомендую Практический анализ вредоносных программ, это отличная книга.