[注册表] 当心PCHunter和PowerTool的注册表分析

FE | 说明

这里仅仅只是发出一个提醒，并没有贬低或者侮辱其它任何公司、个人或软件产品的意思。

本人也一直在使用PCHunter和PowerTool，因为它们在实现便携的同时，把功能做得非常强大。

 

FF | 软件环境

Windows 10 (1809) x64

PCHunter v1.56 x64

PowerTool v2.0 x64

火绒个人版 v5.0.26.0 x64

 

00 | 背景

昨晚在对自己的程序测试时，尝试提取自己程序里的资源，然后在别人推荐的工具包里翻到了一个软件便用了，后来（因为一些事情重启过）想打开自己程序浏览时发现无法打开，遂用火绒……结果发现啥程序都打不开了！尝试半天无果，以为是病毒杀到，赶紧关机睡觉。第二天早起，经过半天的努力（真的差不多12个小时），进过PE，但发现没啥东西可以杀毒，后来发现reg文件未被感染，遂用reg导入的方式修复了exe，最终得以进入注册表，查到exe关联被指向BomeRst.exe，搜索得知是Restorator搞的鬼。

（网上搜到的方法很多只有第二段，其实对付Restorator，还需要添加第一段：把.exe指向exefile）

 

01 | 问题的发现

因为破坏的文件关联比较多，包括com、dll、exe、ocx、scr、sys、rc、res等，（其实可以在Restorator的设置里找到“外壳整合”，编辑文件关联，然后去掉所有上下文）

所以尝试用火绒扫描，后转用PCHunter和PowerTool的文件关联扫描，但均没有得到结果。

在对PCHunter和PowerTool的文件关联扫描进行分析后发现，com关联竟然是没问题的（此时还没修复com的文件关联）！

于是乎分别打开各自的注册表栏目，并与系统注册表的进行比对，发现跟系统注册表的不完全相同。

（可以看到，HKCR\.com的默认项数据是不相同的）

（从左到右分别是系统注册表、火绒剑注册表栏目、PCHunter注册表栏目、PowerTool注册表栏目）

 

 

02 | 结论

个人臆测，原因是PCHunter和PowerTool读取分析的只有32位的注册表，而一些修改注册表的方式改的是64位的注册表，导致PCHunter和PowerTool检测不到问题。

因此，在64位系统中使用PCHunter和PowerTool进行注册表相关项目分析时，需要多加留心。

如果可以，请尽量备一个已知能够检测到64位注册表的软件。