Как отслеживать процессы, изменяющие ключи реестра в Windows?
Многие пользователи систем Windows сталкиваются с неожиданными изменениями в реестре, которые могут вызвать беспокойство. Особенно это касается тех случаев, когда речь идет о ключах реестра, которые внезапно появляются или исчезают. В данной статье мы рассмотрим, как можно отслеживать и идентифицировать процессы, которые управляют ключами реестра, без использования популярной утилиты Process Monitor (ProcessMon).
Непонятные ключи реестра в Windows 10 и 11
На своих системах Windows 10 Pro и Windows 11 Pro я случайно обнаружил необычный раздел реестра, содержащий подразделы, которые не соответствовали стандартным системным компонентам или установленным приложениям. Вот пример ключа, который вызвал у меня вопросы:
HKEY_CLASSES_ROOT\{4FF9FD44-B2BD-13D1-B2E4-0060975B8649}
beKsosIyw
FCjbaexn
Kvpofhj
LpugBdQ
rwrgcjtgjlP
tjKyYefU
uDNivSMfnaxaАналогичные ключи были также найдены по следующим путям:
HKEY_CURRENT_USER\SOFTWARE\Classes\{4FF9FD44-B2BD-13D1-B2E4-0060975B8649}
HKEY_USERS\S-1-5-21-...\SOFTWARE\Classes\{4FF9FD44-B2BD-13D1-B2E4-0060975B8649}
HKEY_USERS\S-1-5-21-..._Classes\{4FF9FD44-B2BD-13D1-B2E4-0060975B8649}Каждый из этих подразделов содержал только одно значение, длина которого не превышала 32 символов и не всегда была полностью отображена. Особенно меня насторожило то, что значение одного из подразделов (напр., LpugBdQ) меняется каждые 5–30 секунд.
Исследование ключей и их динамики
Поиск информации о данном ключе в Интернете не дал результатов. Интересно, что наличие этого ключа варьировалось в зависимости от системы: в "старых" установках было больше подразделов (15 или 24), а после удаления ключа его количество сокращалось до 7.
В процессе тестирования я провел несколько экспериментов:
- Запустив
regedit, я удалил ключ и его подразделы. Однако через 10 секунд они вновь появились. - При работе с
ProcessMon, даже с установленными фильтрами на данный ключ, сообщений о событиях не было за 10-20 минут. Но как только я открылregedit, информация о событиях начала поступать. Удивительно, но после закрытияregeditключ снова стал отображаться в течение нескольких секунд.
Выводы о процессе "X"
На основе проведенных экспериментов сложилась следующая картина: в фоновом режиме работает мистический процесс "X", который каждые 10 секунд проверяет наличие ключа и, при его отсутствии, создает его заново. Кроме того, процесс обновляет значения подразделов каждые 10 секунд. Если же запущен ProcessMon, процесс "X" приостанавливается и возобновляется только после его остановки. Это приводит к мысли, что "X" может быть вредоносным ПО, которое осторожно обнаруживает попытки отслеживания, или же его активность зависит от триггеров реестра, которые наблюдает ProcessMon.
Как отследить процесс "X"?
В данной ситуации возникает вопрос: как можно обнаружить процесс "X" без использования ProcessMon? Ниже приведены некоторые альтернативные методы:
- Использование встроенных инструментов Windows: Обратите внимание на "Диспетчер задач" и "Монитор ресурсов". Возможно, процессы, которые используют рекурсивное изменение реестра, будут видны в этих утилитах.
- PowerShell: Запустите скрипты, которые отслеживают изменения в реестре. Например, можно использовать команды Get-Item и Register-ObjectEvent для мониторинга изменений.
- Анализ автозагрузки: Убедитесь, что на вашем компьютере нет подозрительных программ, загружаемых при старте системы.
Если у вас есть информация о ключе реестра {4FF9FD44-B2BD-13D1-B2E4-0060975B8649}, или если вы обладаете опытом в отслеживании неизвестных процессов, пожалуйста, поделитесь своим мнением. Ваши советы и рекомендации могут помочь многим пользователям избежать неприятностей и защитить свои системы.
