Насколько вреден раздел реестра, если он попадает в конкретную программу, которая не является основной программой Windows? Есть ли способ рассказать, что он будет делать?

Question

Я провел много исследований по этому вопросу в Интернете, но не смог найти никаких ответов, кроме «не изменяйте свой реестр, если у вас нет больших компьютерных знаний». Вот моя проблема:

У меня есть ключ реестра для мода для LMMS (бесплатное программное обеспечение для производства музыки). Это не официальный мод, я нашел его на форуме, и он был загружен обычным пользователем. RegKey выглядит следующим образом: [HKEY_CURRENT_USER\Software\LMMS\Mods\LMMSmods] "AdvancedLimiter" = "74EFC5AA3B3B9B6C7D6C8E4BBE81BD5EF74F242003E6C2F27E426F55ABFF65E895A751DA84AE0C820D80D1417F65A98B3592FF0BC987B94AA7382568E426EA97214A0029DC88A1FA2669701BD4E74D71A335690207B96A83480228F5B8383A66FB65BD1468EF60FA53891C0CD79367EE7E4C958BAF45B6295BD38EFD93E46E871627415D3932CB40AB6F2B257E194119ADCB38D256A5345442ED914B05AD0BA238722BD4F3C8754E9961D5129C85281FD6720628FC50314734A8DE9DF77A165D"

Он также поставляется с некоторыми другими файлами, которые содержат данные модов, которые я проверял на вирусы, и они кажутся безопасными, но, насколько я понимаю, вы не можете должным образом проверять наличие вирусов.

Мне интересно, возможно ли, что использование этого ключа может испортить мой компьютер или установить вредоносное ПО, и есть ли способ сообщить, что он будет делать при запуске. Я особенно обеспокоен тем, что он, возможно, содержит вредоносное ПО (я не знаю, может ли это повторять), потому что люди ответили на форумах, что это рабочий мод, но они могли и не заметить, что вредоносное / шпионское ПО также было установлено. Я также знаю, что ответы могли относиться к моду до того, как он был изменен, чтобы нанести вред вашему компьютеру, так как большинство из них старые, что является еще одной частью моей заботы.

Итак, в основном мой вопрос: что все может пойти не так при использовании этого regkey? Могу ли я получить вредоносное ПО? Может ли это испортить мой компьютер, даже если regkey не идет в основную программу? Можно ли сказать, что он будет делать без запуска?

Помощь будет высоко ценится.

Благодарю.

Answer 1

Раздел реестра сам по себе не способен причинить вред.

Ни один из них не является компьютерным вирусом.

Компьютерный вирус - это особый тип компьютерной программы. Компьютер "программирует" серию инструкций, которым может следовать компьютер. Если вы думаете об инструкциях, написанных на листе бумаги, таких как диаграммы о том, как создать бомбу, такие листы бумаги не являются напрямую опасными. Например, если книга, содержащая инструкции по созданию бомбы, находится на верхней полке в университетской библиотеке, но никто никогда не смотрит на эту книгу, то какой возможный вред могла бы принести такая книга, пока ее там просто не осталось?

Конечно, люди могут назвать это опасной книгой, но это только из-за того, что может случиться, если книга будет использована. Если она будет лежать на полке до тех пор, пока библиотека не будет снесена (поскольку в наши дни книги используют меньше людей), а книга уничтожена, то это действительно не вызывает проблем.

Аналогичным образом, компьютерный программный вирус не вызывает проблем, если компьютер не следует инструкциям.

Точно так же, компьютерный вирус действительно не может распространяться сам по себе, просто существуя. Вирусу понадобится компьютер, чтобы активно взаимодействовать с инструкциями, чтобы вирус мог совершать какие-либо вредоносные действия.

И, аналогично, раздел реестра действительно не может причинить вред сам по себе. Единственный вред, если компьютерная программа использует ключ реестра.

Теперь, как компьютер может использовать ключ реестра, чтобы причинить вред? Ну, ключ реестра по сути данных. Эти данные могут быть своего рода "паролем", который позволяет другой программе делать что-то опасное. Эти данные могут быть даже компьютерным вирусом, который был заархивирован и зашифрован. Возможности по сути бесконечны.

Например, насколько опасным может быть предложение? Я думаю, что это отличная параллель, потому что ответ таков: хотя некоторые предложения могут быть безвредными, потенциал воздействия предложения может быть чрезвычайно значительным. Написанные слова могут быть очень сильными. То же самое относится и к данным раздела реестра.

Одно ограничение, которое может добавить сложность усилиям, связанным с тем, чтобы предложение имело силу, - это длина. Может быть легче втиснуть некоторую силу в более длинный ряд слов. Однако, если предложение включает в себя кодовое слово, которое проверяет кто-то, даже короткое предложение может даже интерпретироваться как имеющее существенное значение, которое может полностью воспринимать целые параграфы. Опять же, то же самое относится и к данным ключа реестра.

Данные раздела реестра, которые вы показали, составляют 384 байта. Инструкции по установке Chocolatey показывают командную строку PowerShell, которая может использоваться для установки Chocolatey, и это всего 271 байт. Это реальный пример того, как этого небольшого текста, даже если он не распакован, достаточно для загрузки программы с сайта Chocolatey. Конечно, ваш пример размером более 100 байт может загрузить файл из совершенно другого, ненадежного источника. Таким образом, так же, как предложение может содержать указатель на более сложный набор слов, информация из раздела реестра может содержать достаточно компьютерных инструкций, чтобы указывать на больший объем потенциальной злонамеренности.

Таким образом, при неправильном использовании раздел реестра может быть достаточно опасным, особенно раздел с таким количеством байтов. Есть потенциал такой вещи.

Хотя сам ключ реестра сам по себе не опасен (именно поэтому на сайте SuperUser.com вы можете размещать эти данные, не опасаясь причинения вреда посетителям сайта или его посетителям, просто увидев эти символы).

Answer 2

Может произойти все что угодно, в зависимости от того, работает ли LMMS от имени администратора или имеет доступ к службе уровня драйвера. Даже если LMMS явно не имеет опасных функций, в LMMS может быть ошибка, используемая для запуска произвольного кода. Даже если вы запустите его на эмуляторе и обнаружите, что ничего плохого не произошло, вполне возможно, что вредоносное ПО бездействует на эмуляторе и запускается только после определенного периода работы на реальном оборудовании.

Тем не менее, есть большая разница между возможным и вероятным. Вы сталкиваетесь с тем же риском, когда запускаете (даже те, которые подписаны и проверены) EXE, которые вы загружаете в другом месте, поэтому, если вы согласны с загрузкой и запуском стороннего EXE, вы не добавляете слишком много риска от установки. мод.