《黑客》入门学习《Windows注册表》
.png)
注册表是一个很神奇的“东西”,为什么这么神奇呢?因为可以利用注册表进行破坏,也可以利用注册表来防止黑客进行破坏; 对“矛与盾”的研究是本文的主要内容。从Windows 95开始,微软在Windows中引入了注册表的概念。注册表是Windows的核心数据库。该表中存储了各种参数,直接控制着Windows的启动、硬件驱动程序的加载以及一些Windows应用程序的正常运行。如果注册表由于某种原因被损坏,轻者会导致Windows启动过程出现异常,重者可能会导致整个Windows系统彻底瘫痪。因此,正确认识和学习注册表对于黑客入门学习是非常有必要的。
注册表是一个很神奇的“东西”,为什么这么神奇呢? 因为可以利用注册表进行破坏,也可以利用注册表来防止黑客进行破坏; 对“矛与盾”的研究是本文的主要内容。
“好啦,开始学习我的文章吧!”
一、注册表的由来
从Windows 95开始,微软在Windows中引入了注册表的概念。 注册表是一个表格吗? 这种理解是不准确的。 注册表是Windows的核心数据库。 该表中存储了各种参数,直接控制着Windows的启动、硬件驱动程序的加载以及一些Windows应用程序的正常运行。 如果注册表由于某种原因被损坏,轻者会导致Windows启动过程出现异常,重者可能会导致整个Windows系统彻底瘫痪。 因此,正确认识和学习注册表对于黑客入门学习是非常有必要的。
2.如何打开注册表
1.可以在开始菜单的运行中输入regedit
2、也可以在DOS下输入regedit
3. 注册表的结构
注册表由键、子键和值项组成。 键是分支中的文件夹,子键是该文件夹中的子文件夹。 子键也是键。 值项是键的当前定义,由名称、数据类型和分配的值组成。 一个键可以有一个或多个值,每个值都有不同的名称,如果值的名称为空,则该值是该键的默认值。
在注册表中,所有数据都是通过树形结构以键和子键的形式组织起来的,这与目录结构非常相似。 每个键都包含一组特定的信息,每个键的键名与其包含的信息相关。 如果该项包含子项,则在注册表编辑器窗口中代表该项的文件夹左侧会有一个“+”号,表示该文件夹中还有更多内容。 如果该文件夹被用户打开,那么“+”将变成“-”。
六个根键的作用:
1. HKEY_CLASSES_ROOT
该子树包含应用程序运行所需的所有信息; 文件和应用程序之间关联的所有扩展名和所有驱动程序名称。 应用程序和文件的图标的类的ID号(将要访问的项目的名称替换为数字);
在Windows图形用户界面下,一切、每个文件、每个目录、每个小程序、每个连接、每个驱动程序都被视为一个对象,并且每个对象都有与其关联的某些属性。 HKCR 包含对象类型及其属性的列表。
HKCR的主要职能设定为:
对象类型与扩展相关联;
对象类型与图标相关联;
对象类型与命令操作的关联。
定义与对象类型相关的菜单选项和单个对象类型属性选项。
2. HKEY_CURRENT_USER
这个根键(子树)记录了当前用户的配置数据信息,用户可以使用这个根键下的子键来修改Windows的很多环境配置。
HKEY_CURRENT_USER 根键中的主键
(1)AppEvents的主键包含已注册的各种应用程序事件。
(2)控制台主键 Windows2003控制台子系统存储设置,控制台子系统运行所有基于字符的应用程序。
(3) 控制面板主键包含与控制面板相关的内容。
(4)环境主键,登录用户代表环境变量设置的数据项的值。
(5) Identities 当前用户的ID,不是主ID。 在HKEY_USERS中,每个用户都有一个唯一的ID。 这很匹配。
(6)Keyboaed Layout 存储已安装键盘的布局信息,包括硬件和驱动程序设置。
(7) 网络仅在当前用户拥有镜像的网盘时才存在。 是父级,不保留重要数据。
(8) 计算机打印机上的打印机信息,包括用户设置的配置选项。
(9)会话信息包含当前会话中使用的应用程序相关信息。
(10) 软件存储登录用户的特定应用程序用户设置和程序变量,
(11) 易失环境当前用户会话设置。
3. HKEY_LOCAL_MACHINE
此根密钥包含有关计算机、其硬件、已安装的设备驱动程序以及影响所有计算机用户的配置选项(安全和软件设置)的信息。 它包含 5 项。
(1)HARDWARE(Windows 2003硬件识别程序)在启动过程中从头开始创建此项的内容。 此信息保存在 RAM 中,子项的层次结构保存有关计算机所有硬件组件的信息。
(2) SAM安全帐户管理器,存储用户和数据组。 SAM 数据由所有本地用户和组组成,包括对文件夹、文件和外围设备的用户访问权限。
(3)SECURITY具有与安全相关的数据项,保存安全策略和用户组策略的配置信息。
(4)SOFTWARE操作系统在这里保存计算机的设置,包括组策略配置、安装的软件、版本等的有效设置。
(5)SYSTEM控制操作系统的启动。 控制操作系统所做的几乎所有事情(尤其是内核服务),这是确保计算机配置正确性的方法。
4.HKEY_USER
包含计算机默认用户配置文件和已知用户配置文件的子项。
5. HKEY_CURRENT_CONFIG
保存与计算机启动时使用的硬件配置文件相关的信息。 它是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profilescurrent 的别名。
6. HKEY_DYN_DATA
这个根键存储了系统运行时的动态数据,这些数据每次显示时都会发生变化。 因此,该根键下的信息不会放置在注册表中。
四、登记表主要内容
1.保存个人文件夹和收藏夹的路径
Hkey_local_machine/software/microsoft/windows/currentVersion/explorer/user shell 文件夹
2.保存键盘使用的语言和各种中文输入法
Hkey_local_machine/system/currentControlSet/control/keyboardLayouts
3. 保存在IE浏览器地址栏中输入的URL地址列表信息。 清除文档菜单后将被清空。
Hkey_users/.Default/software/microsoft/internet explorer/typeURLs
4.保留程序菜单排序信息
Hkey_users/.Default/so../mi../wi../currentVersion/ex../menuOrder/startMenu
5、保存“开始*运行...”中运行的程序列表信息,清除文档菜单时也会被清除
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/RunMRU
6. 保存最近使用的十五个文档的快捷方式(删除它们可以解决文档名称重复的问题),当清除文档菜单时,该快捷方式也会被清除。
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/ecents
7. 保存已安装的Windows应用程序的卸载信息。
Hkey_local_machine/software/microsoft/windows/currentVersion/uninstall
8. 保存Windows应用程序的记录数据。
hkey_users/.default/software/microsoft/windows/currentVersion/applet
9、保存控制面板-添加硬件设备-设备类型目录。
Hkey_local_machine/系统/CurrentControlSet/services/class
10. 保存计算机启动时控制面板设置的运行程序的名称,其图标将显示在任务栏右侧。 【启动文件夹程序的图标运行时也在任务栏右侧】
Hkey_local_machine/software/microsoft/windows/currentVersion/run
11、保存用户在计算机启动时设置的运行程序的名称,其图标将显示在任务栏右侧。
hkey_users/.default/software/microsoft/windows/currentVersion/run
12.在桌面上保存特殊图标,如回收站、收件箱等。
Hkey-local-machine/software/microsoft/windows/currentVersion/explorer/desktop/namespace
5. 黑客可以利用注册表做什么
“黑客”利用注册表做的主要坏事就是启动黑客程序。 黑客会利用注册表来实现“病毒、木马”程序的自启动。 要实现对木马的远程控制,木马服务器需要时刻在线,这样黑客就可以利用客户端来控制被植入木马的用户的计算机。 因此,利用注册表来实现程序的自启动非常重要。
那么如何通过修改注册表来实现自启动呢?
注册表中可以使用的条目有很多,常见的如下:
1.运行注册表项
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
需要注意的是,这里的RunOnce只会运行一次,然后条目的内容就会被自动删除。
2.加载注册表项
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
3. Userinit 注册表项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
通常注册表项下有一个userinit.exe,但该项允许指定多个程序,以逗号分隔,例如:userinit.exe、OSA.exe。
我们以编程方式修改HKCU\Software\Microsoft\Windows\CurrentVersion\Run为例,让我们的对话框开机自启动:
将上述代码添加到上一章的Main函数中,重新启动计算机后,“病毒”就可以自行运行。 可以修改上述代码中对应的注册表代码,添加到不同的注册表项中,实现自启动。
这里先说一下整个程序的执行流程。 首先,双击可执行文件时,会弹出一个对话框,提示用户“中毒”,然后点击“确定”,对话框消失,程序会将自身复制到Windows目录和系统目录下,然后创建并执行批处理文件来删除自身和批处理,最后将Windows目录下的Hacked.exe添加到注册表中即可实现自启动。
上述功能也可以用批处理来实现:代码如下:
@回声关闭
echo Windows 注册表编辑器版本 5.00 >>1.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] >>1.reg
echo "Hacked.exe"="C:\\Windows\\Hacked.exe" >>1.reg
regedit /s 1.reg
删除 /f 1.reg
上面的批处理代码首先会创建一个注册表文件(REG),将相应的代码写入该文件中,然后运行后删除该注册表文件。
六、如何利用注册表防止黑客破坏
通过修改注册表来应对病毒、木马、后门和黑客程序,确保个人电脑的安全。
1.清理访问“网上邻居”后留下的单词和句子
在 HEKY_CURRENT_USERNetworkRecent 下,删除下面的主键。
2.取消登录时自动拨号
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkRealModeNet下,将右侧窗口中的“自动登录”修改为“01 00 00 00 00”。
3.取消登录时选择用户
所有用户都被删除了,但是登录时仍然需要选择用户。如果我们想取消登录时选择用户,必须将HKEY_LOCAL_MACHINENetworkLogon下右侧窗口中的“UserProfiles”值更改为“0”。
4.公开登录机器上的用户名
在右侧窗口的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下新建字符串“DontDisplayLastUserName”,将值设置为“1”。
5.防止Acid Battery v1.0木马破坏
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,如果在右侧窗口中找到“Explorer”键,则说明存在YAI木马,因此将其删除。
6.防止YAI木马破坏
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,如果右侧窗口中找到“Batterieanzeige”键值,则说明发现了YAI木马,因此将其删除。
7.防止Eclipse 2000木马破坏
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,如果在右侧窗口中找到“bybt”键值,请将其删除。
然后删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下右侧键值“cksys”,并重新启动计算机。
8. 防止BO2000损坏
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下,如果右侧窗口中找到“umgr32.EXE”键值,则说明包含了BO2000,所以将其删除。
9.防止爱情虫的破坏
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,如果在右侧窗口中找到“MSKernel32”键值,请将其删除。
10.禁止IE菜单“工具”栏中的“内部选项”
将c:windowssystem下的inetcpl.cpl名称更改为inetcpl.old或其他名称后,将禁止使用。 将名称改回即可继续使用。
11. 防止后门漏洞
在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,如果在右侧窗口中找到“Notepad”键值,请将其删除。
12.防止WinNuke损坏
在右侧窗口的HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下创建或修改字符串“BSDUrgent”,并将其值设置为0。
13.防止KeyboardGhost损坏
如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下找到键值KG.EXE,将其删除,并找到KG.EXE文件和kg.dat文件,将其都删除。
14.找到NetSpy黑客程序
在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下,在右侧窗口中查找键“NetSpy”。 如果存在,则说明已经安装了NetSpy黑客程序,请将其删除。
15、让“文件系统”菜单在系统属性中消失 为了防止非法用户随意篡改系统中的文件,我们需要在“系统属性”中隐藏“文件系统”菜单。 隐藏时,只需用鼠标在注册表编辑器中依次打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System键值,在右侧窗口中新建一个DWORD字符串值: "NoFileSysPage" ,然后将其值更改为“1”。
16、允许用户只使用指定的程序为了防止用户非法运行或修改程序而导致整个计算机系统处于混乱状态,我们可以通过修改注册表来达到允许用户只使用指定的程序的目的。程序,从而保证系统安全。 设置时,可以在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值,然后在右侧窗口中新建一个DWORD字符串值,名称取为“RestrictRun”,将其值设置为“1”。 然后在RestrictRun的主键下添加名为“1”、“2”、“3”等字符串值,然后设置“1”、“2”、“3”的值" 和其他字符串,因为我们允许用户使用程序名称。 例如,如果“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE,则用户只能使用word、notepad、wordpad,所以我们系统会这样做最大程度的保护还可以限制用户运行不必要的软件。
17.禁用“任务栏属性”功能。 任务栏属性功能方便用户修改开始菜单。 许多属性和正在运行的程序都可以修改。 这在我们看来是一件非常危险的事情,所以有必要禁止对其进行修改。 修改设置时,首先运行regedit进入注册表编辑器,找到以下分支HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer,在右侧新建一个DWORD字符串值“NoSetTaskBar”然后双击“NoSetTaskBar”键值,在弹出的对话框的“键值”框中输入1,禁用“任务栏属性”功能。
18. 禁止修改显示属性。 许多用户经常修改显示属性来达到改变外观的目的,以使自己的计算机外观设置更加美观,从而体现自己的个性化风格。 但在实际应用中,我们有时需要保证所有计算机的设置必须相同,以方便同步教学。 这时候我们就需要禁止修改显示属性。 修改时,可以用鼠标一一打开以下分支:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System,然后在右侧窗口中新建一个DOWRD字符串值:然后将“New Value #1”重命名为“NoDispCPL”并将其值设置为“1”。
