本文目录一览：

• 1、如何 防止黑客攻击注册表？
• 2、正在上网工作 瑞星提示修改注册表 同意还是拒绝 是黑客在修改注册表吗
• 3、win7系统注册表遭到黑客恶意修改手动怎么修复
• 4、注册表漏洞是怎么回事!
• 5、什么是注册表？什么是木马？
• 6、黑客是否就是修改别人的注册表来破坏

如何 防止黑客攻击注册表？

一、Win xp sp2注册表怎样设置防止DDos攻击

找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

第三步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

第五步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

(2)WIN2000下拒绝访问攻击的防范:

在WIN2000下拒绝访问攻击的防范 *** 和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

之一步:将SynAttackProtect设置为2。

第二步:将EnableDeadGWDetect设置为0。

第三步:将EnablePMTUDiscovery设置为0。

第四步:将KeepAliveTime设置为300000。

第五步:将NoNameReleaseOnDemand设置为1。

二、阻止对Windows注册表的远程访问

注册表是Windows操作系统的核心。但是在缺省情况下，所有基于Windows的计算机的注册表在 *** 上都是可以被访问到。了解这一点的黑客完全可以利用这个安全漏洞来对你的公司的计算机系统进行攻击，并修改文件关系，并允许插入恶意代码。为了保护你的 *** ，你需要禁止对注册表的远程访问。

解决方案

你轻而易举地可以通过修改 *** 访问清单来达到这一目标。根据你 *** 的复杂程度，你可能需要考虑禁止对注册表的远程访问。

注意

编辑注册表可能会有风险，所以必须要在开始之前确保你已经对注册表进行了备份。

修改注册表

对于使用Windows 2000、Windows XP、和Windows Server 2003系统的计算机，采取如下步骤：

1、点击“开始”菜单，选择“运行”。

2、输入“Regedt32.exe”，然后点击“OK”。

3、选择“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers”。

4、如果winreg键已经存在，跳到步骤8。如果该键不存在，点击“编辑”菜单，选择“添加”。

5、把该键命名为“winreg”，类别设定为REG_SZ。

6、选择这个新创建的键，然后点击“编辑”菜单，选择“增加值“。

7、进行如下输入：

名称: Description

类型: REG_SZ

值: Registry Server

8、选择winreg键，进入安全 | 许可 。

9、确保本地系统管理员组（System Administrators Group）拥有全部的访问权，把只读权限开放给系统帐户（System account）和所有人组（Everyone group）。

10、关闭注册表编辑器，重新启动计算机。

如果你为工作站或者服务器支持设定了特殊的组，而这些组的成员又不是管理员，你就应该也为他们设定合适的权限。

而且，如果你面对的机器是一台服务器或者是一台为特殊用户提供远程服务的计算机，你就必须允许有权使用服务的帐户对相关内容有只读的权限。

调整 ***

注册表修改能够保护你内部 *** 需要经过授权才能访问，但是你还需要保护注册表不受外部的来自互联网的访问。利用注册表的安全漏洞对Windows系统进行攻击仍然非常普遍，所以你需要保证你的安全策略已经很好地解决了这些安全漏洞。

在前端的路由器或者防火墙上禁用TCP/UDP端口135、137、138、139和455是一个不错的解决 *** 。禁用这些端口不仅仅是能够阻止远程访问注册表，这样做还能够阻止大部分针对Windows系统的远程攻击。

关闭这些端口迅速提高你的Windows *** 的安全性，在没有禁用这些端口之前，你需要确认是否有商业的原因需要保持这些端口的开放。

这些是你所能够关闭的、运行Windows 2000、Windows XP和Windows Server 2003系统上的远程注册表服务（Remote Registry），这对于企业来说，永远是一个非常有帮助的、实用的 *** 。

正在上网工作 瑞星提示修改注册表 同意还是拒绝 是黑客在修改注册表吗

不是黑客··是你机器有软件自动修改了注册表信息~！要同意还是拒绝·那得视要修改注册表的软件而断定。有些软件如果不通过瑞星同意，就使用不了。瑞星反正是很麻烦的杀毒软件··不怎么好·！

win7系统注册表遭到黑客恶意修改手动怎么修复

*** 步骤一：当win7系统注册表遭到黑客恶意修改，导致一些软件不能正常运行大家就需要在电脑桌面点击开始菜单，然后在开始菜单中直接找到搜索框并在里面直接输入cmd.exe字符，详细的情况如下图。

*** 步骤二：当以上步骤完成后，大家还需要直接点击鼠标的右键选择以管理员的方式来直接运行CMD，这样的话就会又弹出以下的操作对话框。

*** 步骤三：以上步骤完成后大家就能选择以管理员方式直接进入了，通常操作界面上显示的用户名就为system32，这个时候大家只用进行确认就好了，接着的话就还能在里面输入regsvr32再加上相关对应的控件名，最后直接点击enter就好了，详细情况如下图。

*** 步骤四：一旦系统提示已经注册成功的话，这个时候的注册也就算是完成了，详细的情况如下图。

注册表漏洞是怎么回事!

你的电脑远程操控打开了，别人可以通过别的计算机连接到你的电脑，也就是所谓的黑客攻击。

把注册表关了就可以了。

不过你要是装了防火墙就不用担心了，防火墙可以自动拦截黑客攻击的，其实改不改都无所谓！

什么是注册表？什么是木马？

什么是注册表？

注册表因为它复杂的结构和没有任何联系的CLSID键使得它可能看上去很神秘。不幸的是，微软并没有完全公开讲述关于注册表正确设置的支持信息，这样使得注册表看上去更不可琢磨。处理和编辑注册表如同“黑色艺术”一样，它在系统中的设置让用户感觉象在黑暗中摸索一样找不到感觉。这样，因为用户对这方面的缺乏了解使得注册表更多的出现故障。

Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。通过Windows目录下的regedit.exe程序可以存取注册表数据库。在以前，在windows的更早版本（在win95以前），这些功能是靠win.ini，system.ini和其他和应用程序有关联的.ini文件来实现的.

在windows操作系统家族中，system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息，system.ini管理计算机硬件而win.ini管理桌面和应用程序。所有驱动、字体、设置和参数会保存在.ini文件中，任何新程序都会被记录在.ini文件中。这些记录会在程序代码中被引用。因为受win.ini和system.ini文件大小的限制，程序员添加辅助的.INI文件以用来控制更多的应用程序。举例来说，微软的Excel有一个excel.ini文件，它包含着选项、设置、缺省参数和其他关系到Excel运行正常的信息。在system.ini和win.ini中只需要指出excel.ini的路径和文件名即可。

最开始，system.ini和win.ini控制着所有windows和应用程序的特征和存取 *** ，它在少数的用户和少数应用程序的环境中工作的很好。随着应用程序的数量和复杂性越来越大，则需要在.ini文件中添加更多的参数项。这样下来，在一个变化的环境中，在应用程序安装到系统中后，每个人都会更改.ini文件。然而，没有一个人在删除应用程序后删除.ini文件中的相关设置，所以system.ini和win.ini这个两个文件会变的越来越大。每增加的内容会导致系统性能越来越慢。而且每次应用程序的升级都出现这样的难题：升级会增加更多的参数项但是从来不去掉旧的设置。而且还有一个明显的问题，一个.ini文件的更大尺寸是64KB。为了解决这个问题，软件商自己开始支持自己的.ini文件，然后指向特定的ini文件如win.ini和system.ini文件。这样下来多个.ini文件影响了系统正常的存取级别设置。如果一个应用程序的.ini文件和WIN.INI文件设置起冲突，究竟是谁的优先级更高呢？

注册表最初被设计为一个应用程序的数据文件相关参考文件，最后扩展成对于32位操作系统和应用程序包括了所有功能下的东东.注册表是一套控制操作系统外表和如何响应外来事件工作的文件。这些“事件”的范围从直接存取一个硬件设备到接口如何响应特定用户到应用程序如何运行等等。注册表因为它的目的和性质变的很复杂，它被设计为专门为32位应用程序工作，文件的大小被限制在大约40MB。

注册表都做些什么？

注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件。16位驱动在Winnt下无法工作，所以所有设备都通过注册表来控制，一般这些是通过BIOS来控制的。在Win95下，16位驱动会继续以实模式方式设备工作，它们使用system.ini来控制。16位应用程序会工作在NT或者Win95 下，它们的程序仍然会参考win.ini和system.ini文件获得信息和控制。

在没有注册表的情况下，操作系统不会获得必须的信息来运行和控制附属的设备和应用程序及正确响应用户的输入。

在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备，它使用驱动程序，甚至设备是一个BIOS支持的设备。无BIOS支持设备安装时必须需要驱动，这个驱动是独立于操作系统的，但是操作系统需要知道从哪里找到它们，文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。

当一个用户准备运行一个应用程序，注册表提供应用程序信息给操作系统，这样应用程序可以被找到，正确数据文件的位置被规定，其他设置也都可以被使用。

注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息（比如说日期），安装软件的用户，软件版本号和日期，序列号等。根据安装软件的不同，它包括的信息也不同。

然而，一般来说，注册表控制所有32位应用程序和驱动，控制的 *** 是基于用户和计算机的，而不依赖于应用程序或驱动，每个注册表的参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以，计算机功能和安装的硬件和软件有关，对所以用户来说项都是公用的。

有些程序功能对用户有影响，有些时作用于计算机而不是为个人设置的，同样的，驱动可能是用户指定的，但在很多时候，它们在计算机中是通用的。

注册表控制用户模式的例子有：

控制面板功能；

桌面外观和图标；

*** 参数；

浏览器功能性和特征；

那些功能中的某些是和用户无关的，有些是针对用户的。

计算机相关控制项基于计算机名，和登陆用户无关。控制类型的例子是安装一个应用程序，不管是哪个用户，程序的可用性和存取是不变的，然而，运行程序图标依赖于 *** 上登陆的用户。 *** 协议可用性和优先权基于计算机，但是当前连接和用户信息相关。

这里是在注册表中基与计算机控制条目的一些例子：

存取控制；

登陆确认；

文件和打印机共享；

网卡设置和协议；

系统性能和虚拟内存设置；

没有了注册表，Win95和Winnt 就不太可能存在。它们实在太复杂了，以致于用过去的.ini文件无法控制，它们的扩展能力需要几乎无限制的安装和使用应用程序，注册表实现了它。然而，注册表比.ini文件更复杂，理解它如何工作，它做什么和如何用它来做是有效管理系统的关键。

在系统中注册表控制所有32位应用程序和它们的功能及多个应用程序的交互，比如复制和粘贴，它也控制所有的硬件和驱动程序。虽然多数可以通过控制面板来安装和设置，理解注册表仍是做Winnt和Win95系统管理基本常识。

二、注册表的结构

注册表的结构

注册表是Windows程序员建造的一个复杂的信息数据库，它是多层次式的。在不同系统上注册表的基本结构相同。其中的复杂数据会在不同方式上结合，从而产生出一个绝对唯一的注册表。

计算机配置和缺省用户设置的注册表数据在Winnt中被保存在下面这五个文件中：

DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。

Win95中所有系统注册信息保存在windows目录下的SYSTEM.DAT文件里。所有硬件设置和软件信息也保存在这个文件。它要比NT注册表文件简单的多，因为这里并不需要更多的控制。Win95被设计为一个 *** 的客户或者单独工作的系统，所以用户控制或者安全级别和NT不一样。这使得Win95注册表工作比NT更容易，所以这个文件也比较小。

Win95用户的注册数据一般被保存在windows目录下的user.dat里。如果你在控制面板|密码|用户配置文件中创建并使用多于一个用户的配置文件，每个用户就会有在\WINDOWS\Profiles\username\USER.DAT下它自己的user.dat文件。在启动时，系统将记录你的登陆，从你目录中的配置文件（USER.DAT信息）将被装入，以用来保持你自己的桌面和图标。

控制键

在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此，注册表使用这些条目。下面是六个控制键

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA

HKEY_USERS

HKEY_CURRENT_USER

Winnt和Win95的注册表并不兼容。从Win95向Winnt升级需要你重新安装32位应用程序，重新在桌面上创建图标，并重新建立用户环境。

通过控制键可以比较容易编辑注册表。虽然它们显示和编辑好象独立的键，其实HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。

HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有内容。每次计算机启动时，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和编辑。

HKEY_CLASSES_ROOT其实就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes，但是在HKEY_CLASSES_ROOT窗编辑相对来说显得更容易和有条理。

HKEY_USERS保存着缺省用户信息和当前登陆用户信息。当一个域成员计算机启动并且一个用户登陆，域控制器自动将信息发送到HKEY_CURRENT_USER里，而且HKEY_CURRENT_USER信息被映射到系统内存中。其他用户的信息并不发送到系统，而是记录在域控制器里。

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“ Trojan house” ，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“ 马” 兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

(一)基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。 (2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

(二)木马原理 用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“ 传播木马” 这一节中详细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“ 信息反馈” 这一节中详细介绍。

二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑 *** 用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“ 文件已破坏，无法打开的！” 之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。

(1)由触发条件激活木马 触发条件是指启动木马的条件,大致出现在下面八个地方:1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“ 冰河” 就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“ C :\WINDOWS \NOTEPAD.EXE %1” 该为“ C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1” ，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“ 文件类型” 这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 8.启动菜单:在“ 开始---程序---启动” 选项下也可能有木马的触发条件。

(2)木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， *** TP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露: 一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接 *** 我们会在下一节中讲解。

五.建立连接

黑客是否就是修改别人的注册表来破坏

黑客和修改你注册表没啥太大关系啊,他要是查不到你IP,啥都没用.查到你IP.别说注册表了.啥都完了.呵呵!