做自己的救世主－－系统安全保卫战

核心提示： 注册表采用一种类似文件目录的结构树来描述配置信息，最顶端的5个项目称为“根键”（ROOT_KEY），做自己的救世主－－系统安全保卫战(5)，系统能识别的所有的数据都是从它们这里展开的，这5个根键分别是：•HKEY_CLASSES_ROOT（负责各种组件注册

注册表采用一种类似文件目录的结构树来描述配置信息，最顶端的5个项目称为“根键”（ROOT_KEY），系统能识别的所有的数据都是从它们这里展开的，这5个根键分别是：
　　•HKEY_CLASSES_ROOT（负责各种组件注册类别和文件并联信息）
　　•HKEY_CURRENT_USER（当前登录用户的环境信息）
　　•HKEY_LOCAL_MACHINE（整个系统的公共环境信息）
　　•HKEY_USERS（所有用户的环境配置信息）
　　•HKEY_CURRENT_CONFIG（当前的配置信息）
　　其中，我们主要关注的是前面三个根键里的数据，它们是后门最爱篡改的地方，分别是三个启动项目“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices”，一般的后门都要通过修改这里加入自己的配置信息以达到跟随系统启动的目的；除此之外就是文件并联信息“HKEY_CLASSES_ROOT”，并联型后门最爱更改这里的.exe、.bat、.scr、.com等可执行文件的注册信息，让自己抢先一步运行。更多涉及到的注册表内容以后会提到，现在让我们来看看进程是什么。

“进程”，是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进程，否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其中“进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统分配给进程内存空间时指定的唯一数字，进程从载入内存到结束运行的期间里这个数字都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根据“进程文件名”我们就可以找到最初的可执行文件位置。