谈论Windows XP。 Comodo Killswitch在系统服务部分显示一个Boot Start驱动程序,其中有一个随机的六个字母作为名称(每次重启时都是新的(可疑),总是6个字母)。 Comodo Autorun Analyzer没有显示此驱动程序。 Sysinternals Autoruns没有显示此驱动程序。 Msconfig没有显示此驱动程序。这是可疑的。我试过的任何防病毒和antirootkit软件都没有发现任何恶意软件。注册表中有这些名称的痕迹,但没有创建这些注册表项的内容的跟踪。 Comodo Killswitch从不显示其二进制路径,当我尝试启用Killswitch并启用了已加载模块选项卡时,这些驱动程序将不会显示在“系统”选项卡的“服务”部分中(可疑)。我设法制作了一个内存转储文件memory.dmp,但找不到打开和读取它的方法。
如何查找这些注册表项的来源,系统中哪些部署了部署此可疑驱动程序的组件?
更新:所以,我使用了Process Monitor,并且根据其中的跟踪,似乎注册表中的这个规避可疑启动启动驱动程序/服务的条目是由services.exe生成的。可能,services.exe由某些软件或恶意软件提供这些说明。我想知道如何找出软件的路径,负责services.exe所做的注册表项。
答案 0 :(得分:0)
为了找到源代码,我更改了Comodo Security的设置,以便services.exe必须征得我的许可。 services.exe要求在Comodo Killswitch启动后生成这些注册表项。 services.exe还要求生成包含Comodo Killswitch驱动程序路径的注册表项。