注册表很神奇\\"东东\\",为什么这么神奇?因为可以用注册表破坏,也可以用注册表防止黑客破坏;\\"矛与盾\\"学习是本文的主要内容。
\\"好了,跟着我的文章开始学习吧!\\"
一、注册表的由来
从Windows 95开始,Microsoft在Windows注册表的概念被引入。注册表是表格吗?这种理解是不准确的,注册表是Windows各种参数存储在核心数据库的表中,直接控制Windows启动,装载硬件驱动程序和一些Windows如果注册表因某种原因损坏了应用程序用程序正常运行。Windows启动过程异常,重者可能导致整个过程Windows系统完全瘫痪。因此,正确理解和学习黑客入门学习登记表是非常必要的。
二、打开注册表的方法
1.您可以在开始菜单的操作中输入regedit
2.也可以在DOS下输入regedit
三、注册表结构
注册表由键、子键和值项组成,一键是分支中的文件夹,而子键是该文件夹中的子文件夹,子键也是一个键。一个值是由名称、数据类型和分配值组成的键的当前定义。一个值是一个键的当前定义,由名称、数据类型和分配值组成。一个键可以有一个或多个值,每个值的名称不同。如果一个值的名称是空的,则该值为键的默认值。
在注册表中,所有数据都是通过树状结构以键和子键的形式组织的,与目录结构非常相似。每个键都包含一组特定的信息,每个键的键名都是 与它包含的信息有关。如果该键包含子键,则在注册表编辑窗口中代表该键的文件夹左侧\\"+\\"符号表示文件夹中有更多内容。如果用户打开文件夹,则此文件夹\\"+\\"就会变成\\"-\\"。
六个按作用 :
1、HKEY_CLASSES_ROOT
该子树包含所有应用程序运行所需的信息;文件和应用程序之间的所有扩展名和所有驱动程序名。类的ID用于应用程序和文件的图标(所需存取项的名称用数字代替);
在Windows用户图形界面下的一切、文件、目录、小程序、连接和驱动都被视为一个对象,每个对象都有一定的属性与之连接。HKCR列表包含对象类型及其属性。
HKCR主要功能设置为;
对象类型与扩展名相关;
对象类型与图标相关;
对象类型与命令行动有关。
相关菜单选项的定义对象类型和非对象类型属性选项。
2、HKEY_CURRENT_USER
本键(子树)记录了当前用户的配置数据信息,用户可以使用本键下的子键进行修改Windows许多环境配置。
HKEY_CURRENT_USER按键中的主键
(1)AppEvents主键包括注册的各种应用事件。
(2)Console主键Windows控制台系统存储设置,控制台系统运行所有基于字符的应用程序。
(3)Control Panel主键包含与控制面板相关的内容。
(4)Environment已登录用户表示环境变量的数据项值的主键。
(5)Identities它是当前用户的ID,但不是主要的ID。在HKEY_USERS在中间,每个用户都ID。与之匹配。
(6)Keyboaed Layout存储安装键盘的布局信息,包括硬件和驱动设置。
(7)Network只有当前用户有图像的网络磁盘才存在。不保留重要数据的是父项。
(8)Printers计算机打印机上的相关信息包括用户设置的配置选项。
(9)Session Information它包含与当前会话中使用的应用程序相关的信息。
(10)Software用户设置和程序变量存储和登录用户的特定应用程序
(11)Volatile Environment 当前用户会话设置。
3、HKEY_LOCAL_MACHINE
关键是保存影响所有计算机用户配置选项(安全和软件设置)的计算机、硬件、设备驱动器等相关信息。它包含5个项目。
(1)HARDWARE Ntdetect.com(Windows 2003硬件识别程序)在启动过程中,从零开始建立项目内容。保存信息RAM计算机所有硬件组件信息都保存在子项的层次结构中。
(2)SAM 存储用户和数据组的安全账户管理器,SAM数据由所有本地用户组成,包括用户访问文件夹、文件和外设权限。
(3)SECURITY 保存安全策略和用户组策略的配置信息。
(4)SOFTWARE 操作系统将计算机设置保存在这里,包括组战略配置的有效设置、安装的软件、版本等。
(5)SYSTEM 启动控制操作系统。对于计算机配置的正确性,几乎控制操作系统所做的一切(尤其是内核服务)。
4、HKEY_USER
计算机默认用户的配置文件和已知用户的配置文件的子项。
5、HKEY_CURRENT_CONFIG
保存计算机启动时使用的与硬件配置文件相关的信息。它是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profilescurrent的别名。
6、HKEY_DYN_DATA
该按钮存储系统运行时的动态数据,每次显示时都会发生变化。因此,该按钮下的信息不在注册表中。
四、注册表主要内容
1.保存个人文件夹, 收藏夹路径
Hkey_local_machine/software/microsoft/windows/currentVersion/explorer/user shell folders
2.保存键盘使用的语言和各种中文输入法
Hkey_local_machine/system/currentControlSet/control/keyboard Layouts
3、保存IE输入浏览器地址栏的浏览器URL地址列表信息。清空文档菜单时。
Hkey_users/.Default/software/microsoft/internet explorer/typeURLs
4.保留程序菜单排序信息
Hkey_users/.Default/so../mi../wi../currentVersion/ex../menuOrder/startMenu
5、 保存\\"开始 * 运行...\\"程序列表信息行的信息,清除文档菜单时,将被清空
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/RunMRU
6.保存最近使用的15个文档的快捷方式(删除可以解决重复文档名称的问题),清空文档菜单时。
Hkey_users/.Default/so../microsoft/windows/currentVersion/explorer/ecents
7、 保存已安装的Windows卸载信息的应用程序。
Hkey_local_machine/software/microsoft/windows/currentVersion/uninstall
8、保存Windows记录应用程序的数据。
hkey_users/.default/software/microsoft/windows/currentVersion/applets
9.保存控制面板-添加硬件设备-设备类型目录。
Hkey_local_machine/system/CurrentControlSet/services/class
保存由控制面板设置的计算机启动时运行程序的名称,并在任务条右侧显示图标。[启动文件夹程序时,图标也在任务条的右侧]
Hkey_local_machine/software/microsoft/windows/currentVersion/run
11.保存用户设置的计算机启动时操作程序的名称,并在任务条右侧显示图标。
hkey_users/.default/software/microsoft/windows/currentVersion/run
在桌面上保存特殊图标,如回收站、收件箱等。
Hkey-local-machine/ software/ microsoft/ windows/ currentVersion/ explorer/ desktop/namespace
五、黑客用注册表能做什么?
\\"黑客\\"使用注册表的主要坏事是启动黑客程序,黑客会利用注册表来实现\\"病毒、木马\\"为了实现程序的远程控制,木马服务器始终在线,这样黑客就可以使用客户端来控制植入木马的用户的计算机。因此,使用注册表来实现程序的自启动是非常重要的。因此,使用注册表来实现程序的自启动是非常重要的。
那么如何通过修改注册表来实现自启动呢?
注册表中有许多表项可用,常见如下:
1. Run注册表键
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
需要注意的是,这里的RunOnce只运行一次,然后自动删除表项内容。
2. Load注册表键
HKCU \\ Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\load
3. Userinit注册表键
HKLM \\ SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit
注册键下通常有一个注册键userinit.exe,但该键允许指定多个用逗号分隔的程序,例如:userinit.exe,OSA.exe。
以下是编程修改HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run例如,我们的对话框在启动时自启动:
将上述代码添加到上一章中Main在函数中,重启计算机后,\\"病毒\\"可实现自操作。可在上述代码中修改相应的注册表代码,并将其添加到不同的注册表项中以实现自启动。可在上述代码中修改相应的注册表代码,并将其添加到不同的注册表项中以实现自启动。
这里再讲一 下整