木馬.病毒 增加注册表資料 是否需要刪除

研究了一段時間 木馬病毒
發覺有時候 應該可以不必理會
因為木馬.病毒 入侵時 所增加的注冊表(登錄檔)
除非那個位置位於 啟用又是通往惡意網址
以便下載變種或其他木馬病毒的資料
才需要刪除乾淨 否則應該只需把進程及隱藏的檔案刪除乾淨
其登錄檔 自然失效 不必特意刪除
但可使用一些登錄檔清除軟體 如超級兔子.等 如此可清除更乾淨

大家來討論一下 是否應該順便刪除 還是可以暫時不管它
因為小弟在編寫查殺工具時 每每要殺除登錄檔
都需要一一比對 確定無誤 才可放行
否則沒殺除乾淨 那就算 若造成系統問題 那就大了

一般來說，建議是都刪除清乾淨比較好..

不過，對於撰寫殺毒工具來說，這會是一個困擾..

但是，部分在reg中的機碼值，還是要刪，因為，有時機碼只是去執行木馬，木馬在解出dll檔案，由Dll檔案在去做處理，所以，如果互相有牽連，刪掉會比較保險。

類似CClearn的軟體都可以清除，他們是用啥技術？是否可以比照？

但那也是"有時候"
像是我測試病毒的時候，也是發現有部分來源的木馬/後門增加的機碼只有啟動木馬/後門的機碼而已
如果沒有刪除機碼，頂多開機的時候出現無法啟動XXX程式之類的，也不會有什麼後遺症

但是有些木馬/後門就是很高招的...
第一種是改WinSock連線設定，雖然沒有時間在用SREng等工具來分析，但是透過tracert就可以發現...一個封包要丟出去到目標主機，中間卻經過了大陸ip的層層的轉發...如果不修改的話，封包丟出去根本就是等於把個人資料丟出去

第二種就是直接把機碼放在預設值的...透過第三方程式來修改根本無效...非得要regedit手動修改才行，這也是一個詬病...使用者也要一定的了解登錄編輯器...

第三種就是擅自透過Policies等特殊限制，將系統核心工具、連線設定工具鎖死，如果這串值還放在預設值的話...嗯..後果不曉得如何...

以前我也是認為木馬/後門檔案刪掉就沒事了，但是最難被防護軟體察覺的dll跟sys檔還是得靠機碼才抓的出來，所以免不了又要動到登錄編輯器。再說靠其他清除工具，如果一般使用者不明白其中所有的設定項目的話，隨意動作的話，將會有無法挽回的後果...
舉個例子，有些木馬會在登錄用程序userinit.exe的機碼後面跟一串啟動木馬的指令，目的在於紀錄該使用者帳戶的帳密，近一步透過telnet等工具來登錄系統取得權限。如果這串值要給其他工具自動修改/修復的話，那一定是整串刪除，那這問題可大了，如果這串刪除，那就會造成系統一登錄馬上自動登出，這就非得靠WinPE或安裝程式的系統修復功能來挽救...

所以我認為機碼的部分是絕對有必要的...

另外很多木馬 也都會隱藏在此區
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
看了一下 此區大都是 軟體所使用啟動檔 都會在此處
如防毒.音效驅動.msn 等
如果一一刪除 有時很麻煩
很想要一次給它清除掉 一勞永逸
不過相對的 此區的軟體功能會造成無法執行
但總比被木馬攻擊還好 而且有時我在安裝新系統時或幫客戶修復系統時
也會把這裡一些不必要的軟體刪除或取消掉
以結省系統 資源 讓開機速度及系統執行 會更順暢一些