建议收藏打开注册表命令( 四 ) _云知道

如果发现恶意的运行键，那么就需要将它从机器上删除，具体方法将在后面介绍。
监测恶意运行键的行为让我们从检测和监控的角度讨论一下恶意运行键的行为。
在这里，我们将使用内置的Windows事件查看器，并为Sysmon和Florian Roth配置相应的规则来检测恶意的运行键。然后，你可以将这些Sysmon日志数据输入SIEM，并监控数十万个端点的运行键恶意行为（以及其他东西）。

这里有大量的信息需要考察：
蓝色的箭头：事件信息
事件ID 13涉及注册表值的修改，这个ID在任何环境下都是一致的。
EventType和Task Category也准确地指出了这里发生的事情：一个注册表值正在被设置。
红色箭头：具体信息
TargetObject显示了我们正在改变的运行键注册表的完整路径。它还显示了我们给它起的名字，并包括改变行为的特殊字符
Details部分显示了运行键强制执行的命令/可执行文件
粉红色的箭头：MITRE ATT&CK参考
这个可能不是在每个symon配置中都有。然而，Florian Roth将MITRE ATT&CK战术编号列入了某个事件中。
与其为每个Event 13生成攻击警报，我建议你去了解一下环境中的运行键通常做什么。
在整个企业中，它们是否有一致的内容？
还是财务部门运行的软件合法地改变了运行键？
你是否能够以这个为基准，然后为财务部门的工作站的任何新的、不一致的运行键变化创建一个小警报？
这比从一百万个事件中抓住一个流氓Event 13更有价值。
交互式检测如果您想获得更多的交互式检测体验，我会推荐使用Michael Cohen博士的Velociraptor这样的工具。
Velocitaptor是一个非常棒的工具，但是，我们这里只做简单的介绍。总的来说，Velociraptor就是一个端点响应代理，我们可以把它安装到企业中的所有端点上，并通过运行在服务器上的Web应用对其进行协调。这种分布式工具使我们能够同时查询成千上万的机器。
Velociraptor内置了一个搜索功能，专门查询每台Windows机器的启动过程，而这个搜索功能的一部分就包括查询运行键。正如你所看到的，这个搜索功能的目标就是一些注册表的运行键。此外，Velociraptor的目标还有另外几个运行键，以及其他一些启动位置。

如果我们启动了这个启动检测搜索，我们将得到一个格式优美的结果表。在真实的生产环境中，你会发现噪音会更多一些，所以请注意！现在，看看我们检测到了什么：域中的一台机器正在运行C:\evil.exe，这个名字真是太吓人了。

幸运的是，现在我们已经找到了恶意的运行键，不仅如此，我们还可以从主机中删除它。
铲除恶意运行键现在，是时候铲除恶意的运行键了。

下面，我们开始外科手术。如果使用的命令不够精确，则会意外地删除合法的运行键。重要的是，这里也要用-verbose完成删除操作，并仔细检查它是否已经消失，以确保删除对象的确已经被清除了。
在PowerShell的for语句的后面，复制并粘贴前面检测到的恶意运行键的完整路径，并再次检查确认。
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" | select -property * -exclude PS*| fl