2014.
08.
30
21:50:41
最近、レジストリを編集する機会が多くてですね。
少しずつレジストリ関連の知識が増えてきました。
うん、せっかく覚えたのに忘れちゃったら切ないな。
でも多分忘れるんだろうな。よし、どこかにメモっておこう。
そんな経緯から、レジストリ関連の覚えたことを少しずつまとめて行くことにしました。
というわけで、今回のお題は
です。
どうやらこのキーには、svchost.exeさんが動かすサービスが登録されているようです。
レジストリの値として、例えば
が登録されていたとします。
この状態で
を指定すると「LocalService」の名前で登録されているサービスたち、
が(動くように設定されていれば)「svchost.exe」さんによって、わちゃわちゃ動かされます。
ふむふむ、なるほどね。
svchost.exeによって起動されるサービスがグループとして登録されているようですね。
レジストリの「値の名前」の部分がグループ名で
「値のデータ」の部分がグループに所属するサービスたちです。
動かすときはグループ名を指定することで、所属するサービスをまとめて起動する仕組みのようです。
ということは、svchost.exeさん経由で動くマルウェアがいた場合、
このレジストリの値が改変されてるってことですかね(--?
確証はないですが、可能性は高そうです。
取りあえず、そんな感じ\(--)/
少しずつレジストリ関連の知識が増えてきました。
うん、せっかく覚えたのに忘れちゃったら切ないな。
でも多分忘れるんだろうな。よし、どこかにメモっておこう。
そんな経緯から、レジストリ関連の覚えたことを少しずつまとめて行くことにしました。
というわけで、今回のお題は
\HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Svchost
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Svchost
です。
どうやらこのキーには、svchost.exeさんが動かすサービスが登録されているようです。
レジストリの値として、例えば
| 値の名前 | 種類 | 値のデータ |
|---|---|---|
| LocalService | REG_MULTI_SZ | nsi WdiServiceHost w32time EventSystem RemoteRegistry WinHttpAutoProxySvc sppuinotify THREADORDER netprofm lltdsvc fdphost SstpSvc WebClient FontCache |
が登録されていたとします。
この状態で
svchost.exe -k LocalService
を指定すると「LocalService」の名前で登録されているサービスたち、
nsi
WdiServiceHost
w32time
EventSystem
RemoteRegistry
WinHttpAutoProxySvc
sppuinotify
THREADORDER
netprofm
lltdsvc
fdphost
SstpSvc
WebClient
FontCache
WdiServiceHost
w32time
EventSystem
RemoteRegistry
WinHttpAutoProxySvc
sppuinotify
THREADORDER
netprofm
lltdsvc
fdphost
SstpSvc
WebClient
FontCache
が(動くように設定されていれば)「svchost.exe」さんによって、わちゃわちゃ動かされます。
ふむふむ、なるほどね。
svchost.exeによって起動されるサービスがグループとして登録されているようですね。
レジストリの「値の名前」の部分がグループ名で
「値のデータ」の部分がグループに所属するサービスたちです。
動かすときはグループ名を指定することで、所属するサービスをまとめて起動する仕組みのようです。
ということは、svchost.exeさん経由で動くマルウェアがいた場合、
このレジストリの値が改変されてるってことですかね(--?
確証はないですが、可能性は高そうです。
取りあえず、そんな感じ\(--)/
