一、编写背景
注册表是黑白必争之地,恶意程序常见有文件关联、增加启动项、映像劫持、篡改浏览器等恶意行为。本文以注册表其中的启动项为核心,对启动项进行展示、添加、删除等操作,揭示黑客人员如何编写程序实现恶意行为。 后期可以将进程信息、服务信息等相关信息进行整合,通过统一界面进行综合管理,同时建设相关监测基线,实现异常启动项、服务、进程异常快速发现。
二、编写代码
(1)主窗口代码
// Regedit2Dlg.cpp : 实现文件
//
#include "stdafx.h"
#include "Regedit2.h"
#include "Regedit2Dlg.h"
#include "afxdialogex.h"
#include "RegAdd.h"
#ifdef _DEBUG
#define new DEBUG_NEW
#endif
// 用于应用程序“关于”菜单项的 CAboutDlg 对话框
class CAboutDlg : public CDialogEx
{
public:
CAboutDlg();
// 对话框数据
enum { IDD = IDD_ABOUTBOX };
protected:
virtual void DoDataExchange(CDataExchange* pDX); // DDX/DDV 支持
// 实现
protected:
DECLARE_MESSAGE_MAP()
};
CAboutDlg::CAboutDlg() : CDialogEx(CAboutDlg::IDD)
{
}
void CAboutDlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
}
BEGIN_MESSAGE_MAP(CAboutDlg, CDialogEx)
END_MESSAGE_MAP()
// CRegedit2Dlg 对话框
CRegedit2Dlg::CRegedit2Dlg(CWnd* pParent /*=NULL*/)
: CDialogEx(CRegedit2Dlg::IDD, pParent)
{
m_hIcon = AfxGetApp()->LoadIcon(IDR_MAINFRAME);
}
void CRegedit2Dlg::DoDataExchange(CDataExchange* pDX)
{
CDialogEx::DoDataExchange(pDX);
DDX_Control(pDX, IDC_LIST1, m_RunList);
}
BEGIN_MESSAGE_MAP(CRegedit2Dlg, CDialogEx)
ON_WM_SYSCOMMAND()
ON_WM_PAINT()
ON_WM_QUERYDRAGICON()
ON_NOTIFY(LVN_ITEMCHANGED, IDC_LIST1, &CRegedit2Dlg::OnLvnItemchangedList1)
ON_BN_CLICKED(IDC_BUTTON1, &CRegedit2Dlg::OnBnClickedButton1)
ON_BN_CLICKED(IDC_BUTTON2, &CRegedit2Dlg::OnBnClickedButton2)
END_MESSAGE_MAP()
// CRegedit2Dlg 消息处理程序
BOOL CRegedit2Dlg::OnInitDialog()
{
CDialogEx::OnInitDialog();
// 将“关于...”菜单项添加到系统菜单中。
// IDM_ABOUTBOX 必须在系统命令范围内。
ASSERT((IDM_ABOUTBOX & 0xFFF0) == IDM_ABOUTBOX);
ASSERT(IDM_ABOUTBOX < 0xF000);
CMenu* pSysMenu = GetSystemMenu(FALSE);
if (pSysMenu != NULL)
{
BOOL bNameValid;
CString strAboutMenu;
bNameValid = strAboutMenu.LoadString(IDS_ABOUTBOX);
ASSERT(bNameValid);
if (!strAboutMenu.IsEmpty())
{
pSysMenu->AppendMenu(MF_SEPARATOR);
pSysMenu->AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu);
}
}
// 设置此对话框的图标。当应用程序主窗口不是对话框时,框架将自动
// 执行此操作
SetIcon(m_hIcon, TRUE); // 设置大图标
SetIcon(m_hIcon, FALSE); // 设置小图标
initList();
showRunList();
// TODO: 在此添加额外的初始化代码
return TRUE; // 除非将焦点设置到控件,否则返回 TRUE
}
void CRegedit2Dlg::OnSysCommand(UINT nID, LPARAM lParam)
{
if ((nID & 0xFFF0) == IDM_ABOUTBOX)
{
CAboutDlg dlgAbout;
dlgAbout.DoModal();
}
else
{
CDialogEx::OnSysCommand(nID, lParam);
}
}
// 如果向对话框添加最小化按钮,则需要下面的代码
// 来绘制该图标。对于使用文档/视图模型的 MFC 应用程序,
// 这将由框架自动完成。
void CRegedit2Dlg::OnPaint()
{
if (IsIconic())
{
CPaintDC dc(this); // 用于绘制的设备上下文
SendMessage(WM_ICONERASEBKGND, reinterpret_cast<WPARAM>(dc.GetSafeHdc()), 0);
// 使图标在工作区矩形中居中
int cxIcon = GetSystemMetrics(SM_CXICON);
int cyIcon = GetSystemMetrics(SM_CYICON);
CRect rect;
GetClientRect(&rect);
int x = (rect.Width() - cxIcon + 1) / 2;
int y = (rect.Height() - cyIcon + 1) / 2;
// 绘制图标
dc.DrawIcon(x, y, m_hIcon);
}
else
{
CDialogEx::OnPaint();
}
}
//当用户拖动最小化窗口时系统调用此函数取得光标
//显示。
HCURSOR CRegedit2Dlg::OnQueryDragIcon()
{
return static_cast<HCURSOR>(m_hIcon);
}
void CRegedit2Dlg::OnLvnItemchangedList1(NMHDR *pNMHDR, LRESULT *pResult)
{
LPNMLISTVIEW pNMLV = reinterpret_cast<LPNMLISTVIEW>(pNMHDR);
// TODO: 在此添加控件通知处理程序代码
*pResult = 0;
}
void CRegedit2Dlg::initList(){
m_RunList.SetExtendedStyle(LVS_EX_GRIDLINES|LVS_EX_FULLROWSELECT);
LONG lStyle;
lStyle = GetWindowLong(m_RunList.m_hWnd, GWL_STYLE);//获取当前窗口style
lStyle &= ~LVS_TYPEMASK; //清除显示方式位
lStyle |= LVS_REPORT; //设置style
SetWindowLong(m_RunList.m_hWnd, GWL_STYLE, lStyle);//设置style
//添加列
m_RunList.InsertColumn(0, _T("序号"));//插入列
m_RunList.InsertColumn(1,_T("键值名称"));
m_RunList.InsertColumn(2,_T("键值"));
m_RunList.SetColumnWidth(0,LVSCW_AUTOSIZE_USEHEADER);
m_RunList.SetColumnWidth(1,LVSCW_AUTOSIZE_USEHEADER);
m_RunList.SetColumnWidth(2,LVSCW_AUTOSIZE_USEHEADER);
}
void CRegedit2Dlg::showRunList(){
m_RunList.DeleteAllItems();//删除所有数据
DWORD dwType; //类型
DWORD dwBufferSize = MAXBYTE;
DWORD dwKeySize = MAXBYTE; //指向filetime结构体
char szValueName[MAXBYTE]= {0}; //值名称
char szValueKey[MAXBYTE]= {0}; //值
HKEY hKey = NULL;//获取接收打开的子健句柄
LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打开注册表,打开自启动内容
if(lRet != ERROR_SUCCESS){
return;
}
int i=0;
CString strTmp;
while(TRUE){
lRet = RegEnumValue(hKey, i, szValueName,
&dwBufferSize, NULL, &dwType,
(unsigned char *)szValueKey, &dwKeySize); //子健和键值枚举
if(lRet == ERROR_NO_MORE_ITEMS){
break;
}
strTmp.Format("%d",i);
m_RunList.InsertItem(i, strTmp);//插入内容
m_RunList.SetItemText(i,1,szValueName);
m_RunList.SetItemText(i,2,szValueKey);
ZeroMemory(szValueKey,MAXBYTE);
ZeroMemory(szValueName,MAXBYTE);
dwBufferSize = MAXBYTE;
dwKeySize = MAXBYTE;
i++;
}
RegCloseKey(hKey);
}
//添加启动项
void CRegedit2Dlg::OnBnClickedButton1()
{
// TODO: 在此添加控件通知处理程序代码
RegAdd regAdd;
regAdd.DoModal();
regAdd.m_szKeyValue;
if(strlen(regAdd.m_szKeyValue)>0 && strlen(regAdd.m_szKeyName)>0){
HKEY hKey = NULL;
LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打开注册表,打开自启动内容
if(lRet != ERROR_SUCCESS){
return;
}
//添加注册表
RegSetValueEx(hKey, regAdd.m_szKeyName, 0,
REG_SZ, (const unsigned char*)regAdd.m_szKeyValue,
strlen(regAdd.m_szKeyValue) + sizeof(char));
RegCloseKey(hKey);
showRunList();
}else{
AfxMessageBox("请输入完整内容");
}
}
void CRegedit2Dlg::OnBnClickedButton2()
{
// TODO: 在此添加控件通知处理程序代码
POSITION pos = m_RunList.GetFirstSelectedItemPosition();//获取选择内容
int nSelected = -1;
while(pos){
nSelected = m_RunList.GetNextSelectedItem(pos);
if(-1 == nSelected){
AfxMessageBox("请选择要删除的启动项");
return;
}
char szKeyName[MAXBYTE] ={0};
m_RunList.GetItemText(nSelected,1,szKeyName,MAXBYTE);
HKEY hKey;
LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,REG_RUN,0,KEY_ALL_ACCESS,&hKey); //打开注册表,打开自启动内容
RegDeleteValue(hKey,szKeyName); //删除
RegCloseKey(hKey);
showRunList();
}
}
(2)添加启动项代码
// Regedit2.cpp : 定义应用程序的类行为。
//
#include "stdafx.h"
#include "Regedit2.h"
#include "Regedit2Dlg.h"
#ifdef _DEBUG
#define new DEBUG_NEW
#endif
// CRegedit2App
BEGIN_MESSAGE_MAP(CRegedit2App, CWinApp)
ON_COMMAND(ID_HELP, &CWinApp::OnHelp)
END_MESSAGE_MAP()
// CRegedit2App 构造
CRegedit2App::CRegedit2App()
{
// 支持重新启动管理器
m_dwRestartManagerSupportFlags = AFX_RESTART_MANAGER_SUPPORT_RESTART;
// TODO: 在此处添加构造代码,
// 将所有重要的初始化放置在 InitInstance 中
}
// 唯一的一个 CRegedit2App 对象
CRegedit2App theApp;
// CRegedit2App 初始化
BOOL CRegedit2App::InitInstance()
{
// 如果一个运行在 Windows XP 上的应用程序清单指定要
// 使用 ComCtl32.dll 版本 6 或更高版本来启用可视化方式,
//则需要 InitCommonControlsEx()。否则,将无法创建窗口。
INITCOMMONCONTROLSEX InitCtrls;
InitCtrls.dwSize = sizeof(InitCtrls);
// 将它设置为包括所有要在应用程序中使用的
// 公共控件类。
InitCtrls.dwICC = ICC_WIN95_CLASSES;
InitCommonControlsEx(&InitCtrls);
CWinApp::InitInstance();
AfxEnableControlContainer();
// 创建 shell 管理器,以防对话框包含
// 任何 shell 树视图控件或 shell 列表视图控件。
CShellManager *pShellManager = new CShellManager;
// 标准初始化
// 如果未使用这些功能并希望减小
// 最终可执行文件的大小,则应移除下列
// 不需要的特定初始化例程
// 更改用于存储设置的注册表项
// TODO: 应适当修改该字符串,
// 例如修改为公司或组织名
SetRegistryKey(_T("应用程序向导生成的本地应用程序"));
CRegedit2Dlg dlg;
m_pMainWnd = &dlg;
INT_PTR nResponse = dlg.DoModal();
if (nResponse == IDOK)
{
// TODO: 在此放置处理何时用
// “确定”来关闭对话框的代码
}
else if (nResponse == IDCANCEL)
{
// TODO: 在此放置处理何时用
// “取消”来关闭对话框的代码
}
// 删除上面创建的 shell 管理器。
if (pShellManager != NULL)
{
delete pShellManager;
}
// 由于对话框已关闭,所以将返回 FALSE 以便退出应用程序,
// 而不是启动应用程序的消息泵。
return FALSE;
}
实现效果截图:
1、添加自定义启动项
2、通过系统配置查看新增启动项
3、删除新增启动项
三、后期优化