Читая о криминалистике, упоминалось, что вредоносное ПО можно найти в программном обеспечении HKCU. У меня вопрос: будет ли Windows при установке вредоносного ПО обязательно помещать его в этот раздел реестра? Я всегда предполагал, что вредоносное ПО может прятаться где угодно, но то, что я читаю, заставляет думать, что оно будет в этом месте. Помещает ли Windows сюда все установленное программное обеспечение / может ли оно быть изменено вредоносным ПО?
Вредоносное ПО - это вредоносный код, работающий на компьютере.
Если по "найдено в программном обеспечении HKCU" вы ссылаетесь на вредоносное ПО упорство Тогда ДА - один из методов, который авторы вредоносных программ используют для обеспечения устойчивости, заключается в использовании ключей реестра, которые позволяют их процессам запускаться при входе пользователя в систему.
«Я всегда предполагал, что вредоносное ПО может спрятаться где угодно, но то, что я читаю, заставляет думать, что оно будет в этом месте»\ Malware действительно может скрывать себя разными способами, и вредоносным программам не требуется использовать реестр для сохранения или скрытия.
"Windows помещает сюда все установленное программное обеспечение" - Нет. HKCU означает HKEY_CURRENT_USER, т.е. он содержит информацию о конфигурации для Windows и программного обеспечения, специфичного для в настоящее время авторизованный пользователь.
При наличии правильных разрешений вредоносная программа определенно может изменять ключи и значения в HKCU.
Надеюсь, это поможет. Если интересно, очень рекомендую Практический анализ вредоносного ПО, это отличная книга.