- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
新手学习注册表 |
| 发布时间: 2012/7/2 9:59:45 |
|
括号里面的内容为本人的注释,写文件的时候就不需要那些小括号了,其他上面所列的都必须包括。注意引号输入时不能用中文输入的引号,必须用英文的引号,否则会出错。 那么,怎么写.reg文件呢?我们需要一个文本编辑器,用windows的记事本就可以了。单击鼠标右键,选择新建文本文档,然后在生成的文本文件里输入上面规格的内容就可以了,最后,选择另存为,输入你想要的文件名+.reg保存即可。比如你要生成test.reg,输入test.reg保存即可,你可以看到生成了一个带图标的test.reg.双击运行这个test.reg文件就能相应的修改注册表了,系统会提示“是否导入注册表”之类的信息,确定就可以了。OK,我们可以手动写注册表了。先别急,我们来看看一个标准范例,这是从注册表里面导出来的,大家慢慢学习,跟着模仿一下就能写出自己的.reg文件了。 REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"=dword:00000000 "NoRecentDocsMenu"=hex:01,00,00,00 "NoFavoritesMenu"=dword:00000000 "user"="sundrink" 大家可以看到,dword是16进制,hex是二进制,字符串则可以直接赋值。只要将上面的内容复制保存到文本文档里,然后另存为你想要的.reg文件运行就可以了。呵呵,原来也不是很难嘛,耐心一点就可以了。当然,你要模仿,要自己动手写.reg文件,用记事本就可以了。 说多两句,为什么要手写注册表?因为有时候我们会碰到一台锁定regedit的机子,有什么办法解开呢?呵呵,如果你会手写注册表文件的话,那很简单了......大家发挥想象吧!用不了很长时间的。 以上的手动修改的方法只针对那些电脑爱者来说的,一般新手朋友最好还是老实的用第三方软件里自带的方法来修改,这样既方便又能看的清楚,不过还是建议大家在修改前一定要做好备份工作。好,关于注册表的修改问题就说到这里了,网上有很多类似的教程,比如提高网速的,优化性能的都有很多,大家可以勤用google搜索一下,自己学习。其实电脑很多东西都是自己摸索出来的,只有自己勤去摸索,你的计算机水平才能得到真正的提高。闲话不再多说,我们继续。 现在我们说到了注册表的安全问题。从计算机病毒的发展趋势来看,蠕虫和木马类的病毒越来越多。与普通感染可执行文件的文件型病毒不同,此类程序通常不感染正常的系统文件,而是将自身作为系统的一部分安装到系统中。相对来说,此类病毒的隐蔽性更强一些,更不容易被使用者发觉。但是无论什么样的病毒程序在感染系统时都会留下一些蛛丝马迹。在此我们总结一下各种病毒可能会更改的地方,以便能够更快速地找到它们。 一、更改系统的相关配置文件。这种情况主要是针对95/98系统。 病毒可能会更改autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中将“shell=”更改。 二、更改注册表健值。 目前,只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 说明:在系统启动时自动执行的程序 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ 说明:在系统启动时自动执行的系统服务程序 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 说明:在系统启动时自动执行的程序,这是病毒最有可能修改/添加的地方。例如:Win32.Swen.B病毒将增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza="cxsgrhcl.exeautorun" HKEY_CLASSES_ROOT\exefile\shell\open\command 说明:此键值能使病毒在用户运行任何EXE程序时被运行,以此类推,..\txtfile\..或者..\comfile\..也可被更改,以便实现病毒自动运行的功能。 另外,有些健值还可能被利用来实现比较特别的功能: 有些病毒会通过修改下面的键值来阻止用户查看和修改注册表: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableRegistryTools= 为了阻止用户利用.REG文件修改注册表键值,以下键值也会被修改来显示一个内存访问错误窗口 例如:Win32.Swen.B病毒会将缺省健值修改为: HKCR\regfile\shell\open\command\(Default)="cxsgrhcl.exeshowerror" 通过对以上地方的修改,病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行,已达到自动激活的目的。 总结完了各种木马、病毒可能会更改的地方,下面就接着谈防御问题了。当然,在谈之前继续一贯强调的备份注册表,说实话,应对越来越厉害的木马、病毒们,光靠现有的几种办法是远远不够的,备份一个“彻底干净”的注册表就是重中之重。备份的方法依然很多,网上铺天盖地都有,这里也不再多做阐述,google一下就可以了。 安全隐患:在Windows2000/XP系统中,默认Messenger服务处于启动状态,不怀好意者可通过“netsend”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。 解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。 安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(RemoteRegistry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。 解决方法:我们可将远程注册表服务(RemoteRegistry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。 找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项,右键点击该项选择“删除”(图1),将该项删除后就无法启动该服务了。 在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。 安全隐患:大家都知道在Windows2000/XP/2003中,系统默认开启了一些“共享”,它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。 解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous项设置为“1”,这样就可以禁止IPC$的连接。 对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项。如果系统为Windows2000Server或Windows2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows2000PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。 安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。 解决方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击“DocumentsandSettings→ALLUsers→Documents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。 提示:如果已经禁止了DR.WATSON程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。 安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX控件私自运行程序。 解决方法:ActiveX控件是通过调用Windowsscriptinghost组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样ActiveX控件就不能调用Windowsscriptinghost了。然后,在注册表中找到“HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。 安全隐患:Windows2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。 解决方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement”,将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。 这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。 安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。 解决方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。 安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢? 解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按钮,将Everyone账号导入进来,然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。 安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。 解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支,将Everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。 病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。养成良好的安全上网习惯,尽量不接触那些不安全的站点和下载不安全的软件、视频等,开机运行360和杀毒软件,备份一份安全的注册表文件,勤打补丁多学习,“防患于未然”才是我们应该追求的。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
