}注册表是一个很奇特的"东东",为什么这么奇特?由于即可运用注册表来搞损坏,又能够运用注册表避免黑客搞损坏;"矛与盾"学习便是本片文章首要的内容。
"好的,跟着我的文章开端学习吧!"一、注册表的由来从Windows 95开端,Microsoft在Windows中引入了注册表的概念。
注册表是表格吗?这样了解是不精确的,注册表是Windows的中心数据库,表中存放着各种参数,直接控制着Windows的发动、硬件驱动程序的装载以及一些Windows运用程序运转的正常与否,假如该注册表由于某种原因受到了损坏,轻者能够使Windows的发动进程呈现异常,重者可能会导致整个Windows体系的彻底瘫痪。
因而关于黑客入门学习,正确地知道和学习注册表对错常有必要的。
二、注册表的翻开办法1.咱们能够在开端菜单中的运转里输入regedit2.也能够在DOS下输入regedit三、注册表的结构注册表由键、子键和值项构成,一个键便是分支中的一个文件夹,而子键便是这个文件夹中的子文件夹,子键同样是一个键。
一个值项则是一个键的当时界说,由称号、数据类型以及分配的值组成。
一个键能够有一个或多个值,每个值的称号各不相同,假如一个值的称号为空,则该值为该键的默许值。
在注册表中,一切的数据都是经过一种树状结构以键和子键的办法组织起来,十分类似于目录结构。
每个键都包括了一组特定的信息,每个键的键名都是 和它所包括的信息相关的。
假如这个键包括子键,则在注册表编辑器窗口中代表这个键的文件夹的左面将有"+"符号,以表明在这个文件夹中有更多的内容。
假如这个文件夹被用户翻开了,那么这个"+"就会变成"-"。
六大根键的效果 :1、HKEY_CLASSES_ROOT这个子树包括了一切运用程序运转时必需的信息;在文件和运用程序之间一切的扩展名和相关一切的驱动程序称号。
类的ID数字(所要存取项的姓名用数字来替代)用于运用程序和文件的图标;在Windows用户图形界面下每件事、每个文件、每个目录、每个小程序、每个衔接、每个驱动都被看做一个目标,每个目标都有确认的特点和它联络。
HKCR包括着目标类型和他们特点的列表。
HKCR首要功用设置为;一个目标类型和一个扩展名相关;一个目标类型和一种图标相关;一个目标类型和一个指令举动的相关。
界说目标类型相关菜单选项和没一个目标类型特点选项。
2、HKEY_CURRENT_USER此根键(子树)中记载的是当时用户的装备数据信息,用户能够运用此根键下的子键修正Windows的许多环境装备。
HKEY_CURRENT_USER根键中的主键(1)AppEvents主键,包括了已注册了的各种运用工作。
(2)Console主键Windows2003控制台子体系存储设置,控制台子体系运转一切根据字符的运用程序。
(3)Control Panel主键,包括了与控制面板有关的内容。
(4)Environment主键,已登录用户表明环境变量的设置的数据项值。
(5)Identities它是当时用户的ID,但不是首要的ID。
在HKEY_USERS中,每个用户都有仅有的ID。
这与之相匹配。
(6)Keyboaed Layout贮存装置键盘的布局信息,包括硬件和驱动器设置。
(7)Network仅当当时用户具有映像的 *** 磁盘时才存在。
是父项,不保存重要数据。
(8)Printers在计算机打印机上的相关信息,包括用户设置的装备选项。
(9)Session Information包括当时会话中运用的与运用程序相关的信息。
(10)Software存储登录用户的特定运用程序用户设置和程序变量、(11)Volatile Environment 当时用户会话设置。
3、HKEY_LOCAL_MACHINE此根键保存与计算机、硬件、所装置的设备驱动器,以及影响一切计算机用户的装备选项(安全和软件设置)等相关信息。
它包括了5个项。
(1)HARDWARE Ntdetect.com(Windows 2003硬件辨认程序)在发动进程中,从头开端树立这个项的内容。
该信息保存在RAM中,子项的层次结构保存计算机一切的硬件组件信息。
(2)SAM 安全账户管理器,存储用户和数据组的当地,SAM数据由一切本地用户和组组成包括用户拜访文件夹,文件以及外设的权限。
(3)SECURITY 有安全有关的数据项,保存安全策略和用户组策略的装备信息。
(4)SOFTWARE 操作体系在这儿保存计算机设置,包括组策略装备收效的设置,所装置的软件、版别等等。
(5)SYSTEM 控制操作体系的发动。
简直控制操作体系所做的每一件事(特别是内核服务),这是对计算机装备的正确性的办法。
4、HKEY_USER包括计算机默许用户的装备文件和已知用户的装备文件的子项。
5、HKEY_CURRENT_CONFIG保存计算机发动时所运用的与硬件装备文件相关信息。
它是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profilescurrent的别号。
6、HKEY_DYN_DATA 该根键存放了体系在运转时动态数据,此数据在每次显现时都是改变的,因而,此根键下的信息没有放在注册表中。
四、注册表里的首要内容1、保存个人文件夹、 收藏夹的途径Hkey_local_machine/software/microsoft/windows/currentVersion/explorer/user shell folders 2、保存键盘运用的言语以及各种中文输入法Hkey_local_machine/system/currentControlSet/control/keyboard Layouts3、保存IE浏览器地址栏中输入的URL地址列表信息。
铲除文档菜单时将被清空。
Hkey_users/.Default/software/microsoft/internet explorer/typeURLs4、保存程序菜单排序信息Hkey_users/.Default/so../mi../wi../currentVersion/ex../menuOrder/startMenu 5、 保存"开端 * 运转..."中运转的程序列表信息,铲除文档菜单时将被清空Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/RunMRU6、保存最近运用的十五个文档的快捷办法(删去去可解决文档称号重复的缺点),铲除文档菜单时将被清空。
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/ecents 7、 保存已装置的Windows运用程序卸载信息。
Hkey_local_machine/software/microsoft/windows/currentVersion/uninstall8、保存Windows运用程序的纪录数据。
hkey_users/.default/software/microsoft/windows/currentVersion/applets9、保存控制面板-增加硬件设备-设备类型目录。
Hkey_local_machine/system/CurrentControlSet/services/class 10、保存由控制面板设定的计算机发动时运转程序的称号,其图标显现在使命条右边。
[发动文件夹程序运转时图标也在使命条右边]Hkey_local_machine/software/microsoft/windows/currentVersion/run 11、保存由用户设定的计算机发动时运转程序的称号,其图标显现在使命条右侧。
hkey_users/.default/software/microsoft/windows/currentVersion/run12、保存桌面中特其他图标,如回收站、收件箱等。
Hkey-local-machine/ software/ microsoft/ windows/ currentVersion/ explorer/ desktop/namespace五、黑客运用注册表能做什么事"黑客"运用注册表首要干的坏事首要是发动黑客程序,黑客会运用注册表完成"病毒、木马"程序的自发动,木马要完成长途控制,就需求木马服务器端时间在线,这样黑客就能够运用客户端来控制被植入木马的用户的计算机了。
所以运用注册表完成程序的自发动就很重要。
那么怎么经过修正注册表完成自发动呢? 注册表中可被运用的表项十分多,常见的如下: 1. Run注册表键HKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce需求留意的是,这儿的RunOnce只会运转一次,之后该表项内容就主动删去。
2. Load注册表键HKCU SoftwareMicrosoftWindowsNTCurrentVersionWindowsload3. Userinit注册表键HKLM SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit一般该注册键下面有一个userinit.exe,但这个键答应指定用逗号分隔的多个程序,例如:userinit.exe,OSA.exe。
下面经过编程修正HKCUSoftwareMicrosoftWindowsCurrentVersionRun为例,将咱们的对话框在开机时完成自发动: 将上述代码参加到上一章的Main函数中,重启计算机后,"病毒"就可完成自运转。
能够修正上述代码中相应的注册表代码,以增加到不同的注册表项中完成自发动。
这儿再讲一下整个程序的履行流程。
首要当双击这个可履行文件后,会弹出对话框,提示用户"中毒",之后单击"确认",对话框消失,程序将本身复制到Windows目录以及体系目录中,之后创立并履行批处理文件以删去本身与该批处理,最终将Windows目录下的Hacked.exe增加到注册表中,以完成自发动。
上述功用也能够用批处理完成:代码如下:@echo offecho Windows Registry Editor Version 5.00 >>1.regecho [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] >>1.regecho "Hacked.exe"="C:WindowsHacked.exe" >>1.regregedit /s 1.regdel /f 1.reg上述批处理代码会首要创立一个注册表文件(REG),将相应的代码写入该文件中,运转后再删去该注册表文件。
六、怎么运用注册表避免黑客的损坏 经过修正注册表来抵挡病毒、木马、后门以及黑客程序,确保个人计算机的安全。
1.整理拜访" *** 邻居"后留下的字句信息 在HEKY_CURRENT_USERNetworkRecent下,删去下面的主键。
2.撤销登陆时主动拨号 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkRealModeNet 下修正右边窗口中的"autologon"为"01 00 00 00 00"。
3.撤销登录时挑选用户 现已删去了一切用户,但登录时还要挑选用户,咱们要撤销登录时挑选用户,就要在HKEY_LOCAL_MACHINENetworkLogon 下,在右边的窗口中,修正"UserProfiles"值为"0"。
4.揭露上机用户登录的姓名 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右边的窗口中新建字符串"DontDisplayLastUserName",设值为"1"。
5.防备Acid Battery v1.0木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Explorer"键值,则阐明中了YAI木马,将它删去。
6.防备YAI木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Batterieanzeige"键值,则阐明中了YAI木马,将它删去。
7.防备Eclipse 2000木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"bybt"键值,则将它删去。
然后在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下删去右边的键值"cksys",重新发动电脑。
8.防备BO2000的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"umgr32.EⅩE"键值,则阐明中了BO2000,将它删去。
9.防备爱虫的损坏 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"MSKernel32"键值,就将它删去。
10.制止呈现IE菜单中"东西"栏里"interner选项" 把c:windowssystem下的名为inetcpl.cpl更名为inetcpl.old或则其他姓名后就会呈现制止运用的状况把姓名再换回来,就能够康复运用。
11.防备BackDoor的损坏 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"Notepad"键值,就将它删去。
12.防备WinNuke的损坏 在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右边的窗口中新建或修正字符串"BSDUrgent",设其值为0。
13.防备KeyboardGhost的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下如发现 KG.EⅩE这一键值,就将它删去,并查找KG.EⅩE文件和kg.dat文件,将它们都删去。
14.查找NetSpy黑客程序 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,在右边的窗口中寻觅键"NetSpy",假如存在,就阐明现已装有NetSpy黑客程序,把它删去。
15、让"文件体系"菜单在体系特点中消失为了避免不合法用户随意篡改体系中的文件,咱们有必要把"体系特点"中"文件体系"的菜单躲藏起来。
躲藏时,只要在注册表编辑器顶用鼠标顺次翻开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值,在右边的窗口中新建一个DWORD串值:"NoFileSysPage",然后把它的值改为"1"即可。
16、让用户只运用指定的程序为避免用户不合法运转或许修正程序,导致整个计算机体系处于混乱状态,咱们能够经过修正注册表来到达让用户只能运用指定的程序的意图,然后确保体系的安全。
设置时,能够在注册表编辑器窗口中顺次翻开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer键值,然后在右边的窗口中新建一个DWORD串值,姓名取为"RestrictRun",把它的值设为"1"。
然后在RestrictRun的主键下别离增加名为"1"、"2"、"3"等字符串值,然后将"1","2"、"3"等字符串的值设置为咱们答应用户运用的程序名。
例如将"1"、"2"、"3"别离设置为word.EXE、notepad.EXE、write.EXE,则用户只能运用word、记事本、写字板了,这样咱们的体系将会做到更大的确保,也能够约束用户运转不必要的软件了。
17、禁用"使命栏特点"功用使命栏特点功用,能够便利用户对开端菜单进行修正,能够修正的许多特点和运转的程序,这在咱们看来是件很风险的工作,所以有必要制止对它的修正。
修正设置时,首要运转regedit进入注册表编辑器,找到如下分支HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在右窗格内新建一个DWORD串值"NoSetTaskBar",然后双击"NoSetTaskBar"键值,在弹出的对话框的"键值"框内输入1,就能够到达禁用"使命栏特点"功用了。
18、制止修正显现特点有许多用户为了使自己运用的电脑外观设置变得更美丽一点,以便能体现出个性化的风格,往往经过修正显现特点到达更改外观的意图。
但在实践操作中,咱们有时要确保一切计算机的设置都必须相同,以便利同步教育,这时咱们就需求制止修正显现特点了。
修正时,能够用鼠标顺次翻开如下分支:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,接着在右边的窗口中新建一个DOWRD串值:然后将"新值#1"更名为"NoDispCPL",并将其值设为"1"就能够了。
暂无相关内容DWORD cntUsage; RegCloseKey(hkey);//注册服务
谷歌浏览器Google Chrome稳定版迎来v77首个版别发布,具体版别号为v77.0.3865.75,上一个正式版v76.0.3809.132发布于8月27日,时隔15天Google又发布了新版Chrome浏览器,本次晋级主要是更新了安全修正和稳定性改善及用户体会。