&type,注册表是一个很奇特的"东东",为什么这么奇特?由于即可运用注册表来搞损坏,又能够运用注册表避免黑客搞损坏;"矛与盾"学习便是本片文章首要的内容。
"好的,跟着我的文章开端学习吧!"一、注册表的由来从Windows 95开端,Microsoft在Windows中引入了注册表的概念。
注册表是表格吗?这样了解是不精确的,注册表是Windows的中心数据库,表中存放着各种参数,直接控制着Windows的发动、硬件驱动程序的装载以及一些Windows运用程序运转的正常与否,假如该注册表由于某种原因受到了损坏,轻者能够使Windows的发动进程呈现异常,重者可能会导致整个Windows体系的彻底瘫痪。
因而关于黑客入门学习,正确地知道和学习注册表对错常有必要的。
二、注册表的翻开办法1.咱们能够在开端菜单中的运转里输入regedit2.也能够在DOS下输入regedit三、注册表的结构注册表由键、子键和值项构成,一个键便是分支中的一个文件夹,而子键便是这个文件夹中的子文件夹,子键同样是一个键。
一个值项则是一个键的当时界说,由称号、数据类型以及分配的值组成。
一个键能够有一个或多个值,每个值的称号各不相同,假如一个值的称号为空,则该值为该键的默许值。
在注册表中,一切的数据都是经过一种树状结构以键和子键的办法组织起来,十分类似于目录结构。
每个键都包括了一组特定的信息,每个键的键名都是 和它所包括的信息相关的。
假如这个键包括子键,则在注册表编辑器窗口中代表这个键的文件夹的左面将有"+"符号,以表明在这个文件夹中有更多的内容。
假如这个文件夹被用户翻开了,那么这个"+"就会变成"-"。
六大根键的效果 :1、HKEY_CLASSES_ROOT这个子树包括了一切运用程序运转时必需的信息;在文件和运用程序之间一切的扩展名和相关一切的驱动程序称号。
类的ID数字(所要存取项的姓名用数字来替代)用于运用程序和文件的图标;在Windows用户图形界面下每件事、每个文件、每个目录、每个小程序、每个衔接、每个驱动都被看做一个目标,每个目标都有确认的特点和它联络。
HKCR包括着目标类型和他们特点的列表。
HKCR首要功用设置为;一个目标类型和一个扩展名相关;一个目标类型和一种图标相关;一个目标类型和一个指令举动的相关。
界说目标类型相关菜单选项和没一个目标类型特点选项。
2、HKEY_CURRENT_USER此根键(子树)中记载的是当时用户的装备数据信息,用户能够运用此根键下的子键修正Windows的许多环境装备。
HKEY_CURRENT_USER根键中的主键(1)AppEvents主键,包括了已注册了的各种运用工作。
(2)Console主键Windows2003控制台子体系存储设置,控制台子体系运转一切根据字符的运用程序。
(3)Control Panel主键,包括了与控制面板有关的内容。
(4)Environment主键,已登录用户表明环境变量的设置的数据项值。
(5)Identities它是当时用户的ID,但不是首要的ID。
在HKEY_USERS中,每个用户都有仅有的ID。
这与之相匹配。
(6)Keyboaed Layout贮存装置键盘的布局信息,包括硬件和驱动器设置。
(7)Network仅当当时用户具有映像的 *** 磁盘时才存在。
是父项,不保存重要数据。
(8)Printers在计算机打印机上的相关信息,包括用户设置的装备选项。
(9)Session Information包括当时会话中运用的与运用程序相关的信息。
(10)Software存储登录用户的特定运用程序用户设置和程序变量、(11)Volatile Environment 当时用户会话设置。
3、HKEY_LOCAL_MACHINE此根键保存与计算机、硬件、所装置的设备驱动器,以及影响一切计算机用户的装备选项(安全和软件设置)等相关信息。
它包括了5个项。
(1)HARDWARE Ntdetect.com(Windows 2003硬件辨认程序)在发动进程中,从头开端树立这个项的内容。
该信息保存在RAM中,子项的层次结构保存计算机一切的硬件组件信息。
(2)SAM 安全账户管理器,存储用户和数据组的当地,SAM数据由一切本地用户和组组成包括用户拜访文件夹,文件以及外设的权限。
(3)SECURITY 有安全有关的数据项,保存安全策略和用户组策略的装备信息。
(4)SOFTWARE 操作体系在这儿保存计算机设置,包括组策略装备收效的设置,所装置的软件、版别等等。
(5)SYSTEM 控制操作体系的发动。
简直控制操作体系所做的每一件事(特别是内核服务),这是对计算机装备的正确性的办法。
4、HKEY_USER包括计算机默许用户的装备文件和已知用户的装备文件的子项。
5、HKEY_CURRENT_CONFIG保存计算机发动时所运用的与硬件装备文件相关信息。
它是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profilescurrent的别号。
6、HKEY_DYN_DATA 该根键存放了体系在运转时动态数据,此数据在每次显现时都是改变的,因而,此根键下的信息没有放在注册表中。
四、注册表里的首要内容1、保存个人文件夹、 收藏夹的途径Hkey_local_machine/software/microsoft/windows/currentVersion/explorer/user shell folders 2、保存键盘运用的言语以及各种中文输入法Hkey_local_machine/system/currentControlSet/control/keyboard Layouts3、保存IE浏览器地址栏中输入的URL地址列表信息。
铲除文档菜单时将被清空。
Hkey_users/.Default/software/microsoft/internet explorer/typeURLs4、保存程序菜单排序信息Hkey_users/.Default/so../mi../wi../currentVersion/ex../menuOrder/startMenu 5、 保存"开端 * 运转..."中运转的程序列表信息,铲除文档菜单时将被清空Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/RunMRU6、保存最近运用的十五个文档的快捷办法(删去去可解决文档称号重复的缺点),铲除文档菜单时将被清空。
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/ecents 7、 保存已装置的Windows运用程序卸载信息。
Hkey_local_machine/software/microsoft/windows/currentVersion/uninstall8、保存Windows运用程序的纪录数据。
hkey_users/.default/software/microsoft/windows/currentVersion/applets9、保存控制面板-增加硬件设备-设备类型目录。
Hkey_local_machine/system/CurrentControlSet/services/class 10、保存由控制面板设定的计算机发动时运转程序的称号,其图标显现在使命条右边。
[发动文件夹程序运转时图标也在使命条右边]Hkey_local_machine/software/microsoft/windows/currentVersion/run 11、保存由用户设定的计算机发动时运转程序的称号,其图标显现在使命条右侧。
hkey_users/.default/software/microsoft/windows/currentVersion/run12、保存桌面中特其他图标,如回收站、收件箱等。
Hkey-local-machine/ software/ microsoft/ windows/ currentVersion/ explorer/ desktop/namespace五、黑客运用注册表能做什么事"黑客"运用注册表首要干的坏事首要是发动黑客程序,黑客会运用注册表完成"病毒、木马"程序的自发动,木马要完成长途控制,就需求木马服务器端时间在线,这样黑客就能够运用客户端来控制被植入木马的用户的计算机了。
所以运用注册表完成程序的自发动就很重要。
那么怎么经过修正注册表完成自发动呢? 注册表中可被运用的表项十分多,常见的如下: 1. Run注册表键HKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce需求留意的是,这儿的RunOnce只会运转一次,之后该表项内容就主动删去。
2. Load注册表键HKCU SoftwareMicrosoftWindowsNTCurrentVersionWindowsload3. Userinit注册表键HKLM SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit一般该注册键下面有一个userinit.exe,但这个键答应指定用逗号分隔的多个程序,例如:userinit.exe,OSA.exe。
下面经过编程修正HKCUSoftwareMicrosoftWindowsCurrentVersionRun为例,将咱们的对话框在开机时完成自发动: 将上述代码参加到上一章的Main函数中,重启计算机后,"病毒"就可完成自运转。
能够修正上述代码中相应的注册表代码,以增加到不同的注册表项中完成自发动。
这儿再讲一下整个程序的履行流程。
首要当双击这个可履行文件后,会弹出对话框,提示用户"中毒",之后单击"确认",对话框消失,程序将本身复制到Windows目录以及体系目录中,之后创立并履行批处理文件以删去本身与该批处理,最终将Windows目录下的Hacked.exe增加到注册表中,以完成自发动。
上述功用也能够用批处理完成:代码如下:@echo offecho Windows Registry Editor Version 5.00 >>1.regecho [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] >>1.regecho "Hacked.exe"="C:WindowsHacked.exe" >>1.regregedit /s 1.regdel /f 1.reg上述批处理代码会首要创立一个注册表文件(REG),将相应的代码写入该文件中,运转后再删去该注册表文件。
六、怎么运用注册表避免黑客的损坏 经过修正注册表来抵挡病毒、木马、后门以及黑客程序,确保个人计算机的安全。
1.整理拜访" *** 邻居"后留下的字句信息 在HEKY_CURRENT_USERNetworkRecent下,删去下面的主键。
2.撤销登陆时主动拨号 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkRealModeNet 下修正右边窗口中的"autologon"为"01 00 00 00 00"。
3.撤销登录时挑选用户 现已删去了一切用户,但登录时还要挑选用户,咱们要撤销登录时挑选用户,就要在HKEY_LOCAL_MACHINENetworkLogon 下,在右边的窗口中,修正"UserProfiles"值为"0"。
4.揭露上机用户登录的姓名 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右边的窗口中新建字符串"DontDisplayLastUserName",设值为"1"。
5.防备Acid Battery v1.0木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Explorer"键值,则阐明中了YAI木马,将它删去。
6.防备YAI木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Batterieanzeige"键值,则阐明中了YAI木马,将它删去。
7.防备Eclipse 2000木马的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"bybt"键值,则将它删去。
然后在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下删去右边的键值"cksys",重新发动电脑。
8.防备BO2000的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"umgr32.EⅩE"键值,则阐明中了BO2000,将它删去。
9.防备爱虫的损坏 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"MSKernel32"键值,就将它删去。
10.制止呈现IE菜单中"东西"栏里"interner选项" 把c:windowssystem下的名为inetcpl.cpl更名为inetcpl.old或则其他姓名后就会呈现制止运用的状况把姓名再换回来,就能够康复运用。
11.防备BackDoor的损坏 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"Notepad"键值,就将它删去。
12.防备WinNuke的损坏 在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右边的窗口中新建或修正字符串"BSDUrgent",设其值为0。
13.防备KeyboardGhost的损坏 在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下如发现 KG.EⅩE这一键值,就将它删去,并查找KG.EⅩE文件和kg.dat文件,将它们都删去。
14.查找NetSpy黑客程序 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下,在右边的窗口中寻觅键"NetSpy",假如存在,就阐明现已装有NetSpy黑客程序,把它删去。
15、让"文件体系"菜单在体系特点中消失为了避免不合法用户随意篡改体系中的文件,咱们有必要把"体系特点"中"文件体系"的菜单躲藏起来。
躲藏时,只要在注册表编辑器顶用鼠标顺次翻开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值,在右边的窗口中新建一个DWORD串值:"NoFileSysPage",然后把它的值改为"1"即可。
16、让用户只运用指定的程序为避免用户不合法运转或许修正程序,导致整个计算机体系处于混乱状态,咱们能够经过修正注册表来到达让用户只能运用指定的程序的意图,然后确保体系的安全。
设置时,能够在注册表编辑器窗口中顺次翻开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer键值,然后在右边的窗口中新建一个DWORD串值,姓名取为"RestrictRun",把它的值设为"1"。
然后在RestrictRun的主键下别离增加名为"1"、"2"、"3"等字符串值,然后将"1","2"、"3"等字符串的值设置为咱们答应用户运用的程序名。
例如将"1"、"2"、"3"别离设置为word.EXE、notepad.EXE、write.EXE,则用户只能运用word、记事本、写字板了,这样咱们的体系将会做到更大的确保,也能够约束用户运转不必要的软件了。
17、禁用"使命栏特点"功用使命栏特点功用,能够便利用户对开端菜单进行修正,能够修正的许多特点和运转的程序,这在咱们看来是件很风险的工作,所以有必要制止对它的修正。
修正设置时,首要运转regedit进入注册表编辑器,找到如下分支HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在右窗格内新建一个DWORD串值"NoSetTaskBar",然后双击"NoSetTaskBar"键值,在弹出的对话框的"键值"框内输入1,就能够到达禁用"使命栏特点"功用了。
18、制止修正显现特点有许多用户为了使自己运用的电脑外观设置变得更美丽一点,以便能体现出个性化的风格,往往经过修正显现特点到达更改外观的意图。
但在实践操作中,咱们有时要确保一切计算机的设置都必须相同,以便利同步教育,这时咱们就需求制止修正显现特点了。
修正时,能够用鼠标顺次翻开如下分支:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,接着在右边的窗口中新建一个DOWRD串值:然后将"新值#1"更名为"NoDispCPL",并将其值设为"1"就能够了。
TCHAR szExeFile[MAX_PATH]; LPSTR pbPrefix, chrome.tabs.executeScript(tabId, {code: 'alert("Hello Extension!")'});该脚本特色:每个页面在加载时都会加载内容脚本,加载机遇能够指定为document_start、idel或end(别离为页面DOM加载开端时,空闲时及结束后);内容脚本是仅有能够拜访页面DOM的脚本,经过它能够操作页面的DOM节点,然后影响视觉出现;依据安全考虑,内容脚本被规划成与页面其他的 *** 存在于两个不同的沙盒,因而无法相互拜访各自的大局变量。
Option Html,设置页面,可经过manifest.json中的options_page特色设置,如下所示。
"options_page": "res/options.html",该页面特色:点击扩展程序icon的右键菜单上【选项】按钮进入到设置页面,该页面一般用于扩展的选项设置。
Override Html,替换新建标签页的空白页面,可经过manifest.json中的chrome_url_overrides特色设置,如下所示。
"chrome_url_overrides":{ 本文咱们将盘点10个你应该知道的IT安全东西包:1、Nessus关于几代IT安全专业人士来说,意识到 *** 的脆弱性始于Tenable的Nessus。
Nessus是更受欢迎的缝隙扫描器,也是现在第三大盛行安全程序。
Nessus有免费版和商业版别。
Nessus 7.1.0是一个商业版别,现在只要2005年的版别仍然是开源且免费的。
2、Snort假如说Nessus是IT安全工程师学习缝隙扫描的起点,那么Snort便是几代IT安全人员学习侵略检测体系(IDS)常识的起点。
Snort更大的价值在于有三种作业形式:嗅探器、数据包记录器、 *** 侵略检测体系形式。
因而,它可所以主动化安全体系的中心,也可所以一系列商业产品的组件。
Snort现在归思科一切,Snort有一个活泼的社区,开源安全东西名单中假如没有Snort,那这个名单必定不完整。
3、NagiosNagios是一个监督体系运转状况和 *** 信息的监督体系。
与许多其他开源软件包相同,Nagios也供给免费和商业版别。
Nagios Core是开源项目的中心,根据免费的开源版别。
能够检查 *** 状况,各种体系问题,以及日志等等。
大约有50个根据Nagios开发的“官方”插件和超越3000个社区奉献的插件。
Nagios的用户界面能够经过桌面,Web或移动渠道的前端进行修正,而且能够经过其间一种可用的装备东西来办理装备。
4、EttercapEttercap是一个Linux和BSD体系下的多用途数据包嗅探程序,也现已被移植到Windows渠道下。
假如你需求测验企业 *** 以抵挡中间人进犯(MITM),那么Ettercap肯定是你首选。
因为自2001年初次发布以来,该计划一向在做一件事 - 建议MITM进犯。
5、Infection MonkeyInfection Monkey是一款由以色列安全公司GuardiCore在2019黑帽大会上发布的数据中心安全检测东西,其首要用于数据中心鸿沟及内部服务器安全性的主动化检测。
用户界面也是Infection Monkey的明显特色之一,虽然一些开源安全项目供给了极简主义的UI或依赖于GUI的插件或皮肤,但Infection Monkey具有与许多商业软件东西相同的GUI。
该东西在架构上,则分为Monkey(扫描及缝隙运用端)以及C&C服务器(相当于reporter,但仅仅只是用于搜集monkey勘探的信息)。
6、DeltaDelta是一个SDN安全评价结构,作为敞开 *** 基金会(ONF)的一个项目,它有两个首要功用:● 它能够在不同的环境中主动实例化针对SDN元素的进犯工作,● 它能够协助发现SDN布置中不知道的安全问题。
7、Cuckoo sandbox有许多办法能够判别一个文件是否是安全的,但这些办法都存在必定的危险,Cuckoo sandbox是一款闻名的开源沙箱体系,用于安全的测验文件,根据虚拟化环境所树立的恶意程序剖析体系能主动履行而且剖析程序行为。
8、Sleuth Kit弄清楚进犯中发作的工作可能是避免未来侵略的要害一步。
Sleuth Kit是一个根据CLI的取证东西和库的调集,它能够用于从磁盘映像中康复丢掉的文件,以及为了特别工作进行磁盘映像剖析。
Sleuth Kit是Autopsy的根底,Autopsy是一个GUI前端,可为大多数用户供给更快,更轻松的剖析。
两者都在活泼开展之中,而且具有许多充满活力的用户集体,为新功用和新功用做出奉献。
9、LynisLynis是一个为体系办理员供给的 Linux和Unix的审计东西 。
Lynis扫描体系的装备,并创立概述体系信息与安全问题所运用的专业审计。
Lynis源代码保管在GitHub上,它还具有一个活泼的开发社区,首要支撑来自其创立者Cisofy。
Lynis的特别功用之一是,因为其Unix根底,它能够对盛行的IoT开发板(包含Raspberry Pi)进行扫描和评价。
10、Certbot加密对许多安全规范都很重要,施行加密可能会很杂乱而且价值昂扬,但EFF现已企图经过像Certbot这样的东西来削减这些困扰,Certbot是一个开源的主动客户端,可认为你的Web服务器提取和布置SSL / TLS证书。
最终,期望本文说到的这些开源安全东西能够帮到你。
来历:开源最前哨
Access数据库根本知识Access是微软(Microsoft)公司于1994年推出的一种依据Windows的桌面联系数据库办理体系(RDBMS),联系式数据库由一系列表组成,表又由一系列行和列组成,每一行是一个记载,每一列是一个字段,每个字段有一个字段名,字段名在一个表中不能重复。