突破主动防御之注册表监控篇

文章作者：xyzreg [E.S.T] （www.xyzreg.net）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

目前主动防御的概念已经深入人心，许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能，防止自启动项以及IE相关键值被修改，对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击，我们仍然可以绕过注册表监控修改注册表。

绕过注册表监控的方法不止一种，应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法，我们还可以写驱动解除注册表监控程序的钩子，或者直接调用CmXXXXX等未导出函数来操作注册表等。

测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件，我写的这个演示程序均可以突破他们成功修改注册表。

本程序仅作科普以及安全警示之用，旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。

=800) window.open('http://forum.eviloctal.com/attachment/Mon_0702/10_1534_3e083b87721f2c6.jpg');" src="http://forum.eviloctal.com/attachment/Mon_0702/10_1534_3e083b87721f2c6.jpg" onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';" border=0>

程序下载地址：http://www.xyzreg.net/BypassRegMon.rar