当心PCHunter和PowerTool的注册表分析

Posted loveourwings

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了当心PCHunter和PowerTool的注册表分析相关的知识,希望对你有一定的参考价值。

FE | 说明

这里仅仅只是发出一个提醒,并没有贬低或者侮辱其它任何公司、个人或软件产品的意思

本人也一直在使用PCHunter和PowerTool,因为它们在实现便携的同时,把功能做得非常强大。

 

FF | 软件环境

Windows 10 (1809) x64

PCHunter v1.56 x64

PowerTool v2.0 x64

火绒个人版 v5.0.26.0 x64

 

00 | 背景

昨晚在对自己的程序测试时,尝试提取自己程序里的资源,然后在别人推荐的工具包里翻到了一个软件便用了,后来(因为一些事情重启过)想打开自己程序浏览时发现无法打开,遂用火绒……结果发现啥程序都打不开了!尝试半天无果,以为是病毒杀到,赶紧关机睡觉。第二天早起,经过半天的努力(真的差不多12个小时),进过PE,但发现没啥东西可以杀毒,后来发现reg文件未被感染,遂用reg导入的方式修复了exe,最终得以进入注册表,查到exe关联被指向BomeRst.exe,搜索得知是Restorator搞的鬼。

技术图片

(网上搜到的方法很多只有第二段,其实对付Restorator,还需要添加第一段才能:把.exe指向exefile

 

01 | 问题的发现

因为破坏的文件关联比较多,包括com、dll、exe、ocx、scr、sys、rc、res等,

所以尝试用火绒扫描,后转用PCHunter和PowerTool的文件关联扫描,但均没有得到结果。

在对PCHunter和PowerTool的文件关联扫描进行分析后发现,com关联竟然是没问题的(此时还没修复com的文件关联)!

于是乎分别打开各自的注册表栏目,并与系统注册表的进行比对,发现跟系统注册表的不完全相同。

技术图片

(图一。可以看到,HKCR.com的默认项数据是不相同的)

技术图片

(从左到右分别是系统注册表、火绒剑注册表栏目、PCHunter注册表栏目、PowerTool注册表栏目)

 

 

02 | 结论

个人臆测,原因是PCHunter和PowerTool读取分析的只有32位的注册表,而一些修改注册表的方式改的是64位的注册表,导致PCHunter和PowerTool检测不到问题。

因此,在64位系统中使用PCHunter和PowerTool进行注册表相关项目分析时,需要多加留心。

如果可以,请尽量备一个已知能够检测到64位注册表的软件。

 

以上是关于当心PCHunter和PowerTool的注册表分析的主要内容,如果未能解决你的问题,请参考以下文章

应急响应

PowerTool(杀毒辅助工具) V4.6 中文免费绿色版

利用PCHunter结束各种进程

PostInst.exe 是啥?

4_中断现场中

当心数字身份证攻击