研究當今惡意程序的發展趨勢，系統比較了在注冊表隱藏和檢測方面的諸多技術和方法，綜合分析了它們存在的不足，提出了一種基于注冊表Hive文件來進行惡意程序隱藏檢測的方法，使得針對惡意程序的檢測更加完整和可靠。實驗表明，該方法可以檢測出當前所有進行了注冊表隱藏的惡意程序。
關 鍵 詞 Hive文件; 惡意程序; 注冊表隱藏和檢測; RootKit程序

惡意程序，尤其是間諜軟件和Rootkit，已經成為了計算機安全領域重點防范的對象。從惡意程序的發展來看，具備一定的信息隱藏功能已經成了一種趨勢。隱藏的信息中包括了注冊表、進程和端口等。這些信息的隱藏在延長惡意程序的生存周期，加大檢測它們難度的時候，也暴露了惡意程序的蹤跡。與此同時，針對惡意程序的檢測技術也在不斷的提高中并形成了理論體系。常見的惡意程序的檢測方法包括了啟發式分析法和特征碼比較法等。但隨著惡意程序隱藏技術的提高，使得對它們的檢測越發困難，傳統的方法和技術已經不能適應發展的需要。 [1][2][3]
本文的研究表明，就現有的惡意程序實現而言，不管其如何隱藏，其最終實現依然是在操作系統框架內并且依賴于系統提供的某些功能。在Windows系統下，惡意程序的存在和運行大都離不開系統注冊表中的相關信息。惡意程序也常常隱藏于注冊表，因此不可能真正刪除它們。但可以通過獲取系統注冊表的可靠原始信息檢查隱藏項，進而獲知惡意程序的存在，并最終清除惡意程序。[4]
1 注冊表隱藏及檢測
注冊表是Windows系統存儲關于計算機配置信息的數據庫，包括了系統運行時需要調用的運行方式的設置，是系統的核心。操作系統是用特殊的文件(Hive文件)[5]來存儲注冊表的內容，并提供給用戶相關的編程接口(APIs)來進行注冊表的操作，例如Advapi32.dll中的Registry Functions(如：RegEnumKey)。同時，在Windows操作系統中，函數的調用有著極其規范的層次結構，圖1所示是系統實現RegEnumKey函數的調用體系圖。