ESET Inspect – Зміст

Робота з реєстром

Нам потрібно відстежувати зміни, які вносяться до значення реєстру AppInit_DLLs, яке дає змогу автоматично завантажувати бібліотека динамічного компонування (DLL) для певних процесів у системі. Пов’язане значення реєстру з подібними функціональними можливостями — AppCertDlls. Повні шляхи до значень реєстру:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SYSTEM\CurrentControlSet\Control\SESSION MANAGER\ AppCertDlls

Правило

На що слід звернути увагу в наведеному вище прикладі правила:

1.Використовуйте скорочені значення HKEY замість повних, оскільки повні значення HKEY не зіставляються

2.Включення Wow6432Node для AppInit_DLLs. Це значення й багато інших значень дублюються в цьому розділі реєстру для підтримки x86 у системах x64. Нам також потрібно відстежувати це значення.

3.Зіставлення значення реєстру за допомогою умови ends. Спочатку ми вирішили зіставити ім’я значення реєстру AppInit_DLLs і перевірити, чи є шлях до значення реєстру бажаним. Теоретично, такий підхід має зменшити навантаження на сервер завдяки обчисленню умов за короткою схемою. Окрім того, можна використовувати повний шлях до значень реєстру для зіставлення (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs).

4.Значення реєстру CurrentControlSet — це альтернативне символьне посилання, яке динамічно оцінюється операційною системою і вказує на ControlSet%number%. Оскільки Enterprise Inspector отримує шлях до реєстру зі значенням ControlSet%number%, ми розділяємо шлях до значення реєстру на два компоненти.