试验4 注册表.docx
- 文档编号:7419266
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:13
- 大小:149.13KB
试验4 注册表.docx
《试验4 注册表.docx》由会员分享,可在线阅读,更多相关《试验4 注册表.docx(13页珍藏版)》请在冰豆网上搜索。
试验4注册表
1、禁止用户可以进行远程操作注册表
Windows2000/xp支持通过网络使用注册表编辑器对注册表的数据进行修改,默认的系统配置下,用户可以进行远程操作。
为了提高系统的安全性,避免自己机器的注册表被人通过网络修改,可以禁用此功能。
步骤如下:
(1)打开注册表编辑器。
(2)选择HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\SecurePipeServers\winreg子键
(3)在右侧窗口中新建一个Dword值,命名为RemoteRegAccess,将数值设为“1”即可。
2、禁用系统升级功能
步骤如下:
(1)打开注册表编辑器。
(2)选择HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Policies\Explorer子键。
(3)新建一个数据类型为二进制的键值项,命名为NoWindowsUpdate,然后将键值设为“01000000”即可。
3、禁用IE属性中的“安全”选项卡
通过设置IE浏览器的“安全”属性,用户可以限制本机浏览一些色情、暴力方面的站点,同时也可以启用一些受信任的站点。
如果担心非法用户随意更改IE的“安全”属性,可通过修改注册表将IE属性对话框中的“安全”选项卡隐藏:
(1)打开IE属性,查看安全选项
(2)打开注册表编辑器。
(3)选择HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\controlPanel子键(需要新建InternetExplorer子键和controlPanel子键)。
(4)新建一个数据类型为Dword的键值项,命名为SecurityTab,将键值设为“1”
(5)不用重新启动计算机,设置生效,再次打开IE属性,查看安全选项。
对比并截图。
(6)将修改的注册表本键值改回初始状态,即将“安全”选项恢复,执行(7)下面文件
(7)编写REG文件
运行:
REGEDIT/SC:
\文件名,再次观察IE是否有安全选项
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\controlPanel]
"SecurityTab"=dword:
0000001
注:
仔细阅读后面关于注册表的文件,再编写一个程序能够恢复“安全”功能。
4、禁止修改IE主页
通常每个上网用户都会有一些自己经常访问的站点,为了每次登录IE都可直接打开自己喜欢的网页,用户可以将IE默认打开的网页地址(即IE主页)设置为自己经常访问的网页地址。
为了限制其他用户随意更改IE主页,可通过修改注册表禁用IE主页设置选项:
(1)打开注册表编辑器。
(2)选择HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\controlPanel子键(需要新建InternetExplorer子键和controlPanel子键)。
(3)新建一个数据类型为Dword的键值项,命名为HomePage,将键值设为“1”即可。
5、在图形界面下隐藏某个驱动器图标
为防止普通用户无意之中的破坏,我们可能希望将保存系统文件的磁盘分区以及光驱、软驱隐藏起来,不允许他们对这些磁盘分区进行访问,为此我们可以进行如下设置:
①展开
HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer分支;
②新建二进制值NoDrives,该二进制值就是用于设置是否隐藏某个驱动器的,它由4个二进制字节构成,每个字节的每一位都分别对应一个磁盘驱动器盘符,当某位为1时,资源管理器及我的电脑中的相应驱动器图标即会隐藏起来。
驱动器的值是这样确定的,A~Z的值依次为2的0~25次方,把要禁止的驱动器的值相加,转换成十六进制就是NoDrives的键值,如要禁止A、D、E则值为1+8+16=25,转换成十六进制为19,修改NoDrives的键值为19000000即可。
00000000FFFFFF隐藏所有驱动器
6、更改TTL
黑客们攻击入侵别人计算机的时候,通常做的第一件事就是判断主机是否在线。
判断的方法很简单,就是借助Ping命令来完成。
其方法是在命令提示符下输入“PingIP地址”,如果返回类似这样的信息“Replyfrom221.231.114.219:
bytes=32time=23msTTL=128”,那么则说明主机在开,即对方的电脑正在使用之中。
由于不同的操作系统的漏洞、入侵方法是不同的,因此黑客们还会根据ping命令返回的信息判断对方使用的操作系统。
判断的依据就是TTL的值。
八哥网()提醒大家一般来说Windows2000/XP的计算机TTL值为120、128,而Unix/Linux的系统返回的TTL值则为64或255。
我们都知道,Unix/Linux的漏洞以及入侵方法要比Windows难的多,因此我们可以修改系统返回TTL值,从而达到欺骗黑客的目的。
运行“regedit”后打开注册表编辑器,选择“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters”,新建一个“DefaultTTL”Dword键值,并将该值修改为十进制的“255”或十六进制的“FF”,重新启动计算机使设置生效。
现在只要对方再ping计算机时,就会返回错误的TTL值,让对方误以为使用的操作系统为Unix/Linux,从而起到南辕北辙的效果,让其在错误的道路上越走越远。
7、禁止光盘的自动运行功能
Windows2000的光盘的自动运行功能也是系统安全的隐患,光盘中只要存在autorun.inf文件,则系统会自动试图执行文件中open字段后的文件路径(市场上已经出现了破解屏保密码的光盘,如果不禁止光盘的自动运行功能,以上所做的设置都将是白费),步骤为:
⑴展开HKEY_LOCAL_MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支;
⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun,改值为1。
8、禁止运行任何程序(一定最后作)
如果用户将出去一段时间,而在此期间不希望其他用户使用计算机,可以为计算机设置开机密码进行保护。
另外,还可以通过修改注册表来禁用所有应用程序的方法来保护计算机。
(1)打开注册表编辑器。
(2)选择HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Policies\Explorer子键。
(3)新建一个数据类型为Dword的键值项,命名为RestrictRun,然后将键值设为“1”即可。
以上重新启动后就生效,
以下不一定成功。
(4)另外,用户还可以指定其他用户只能运行几个程序。
例如:
只允许用户使用Word编辑文档,使用Winzip压缩文件。
这样需要首先在Exporer子键下创建一个名称为RestrictRun的子键。
然后在该子键下创建若干个名称分别为1,2,3,4的字符串类型的键值项。
然后将这些键值项的值设为允许运行的应用程序的名称。
例如:
本例分别在1和2的键值项中输入了Winword.exe和winzip.exe。
(5)重启计算机后,设置生效。
以下内容可作为知识补充:
通常情况下我们要删除注册表中的某个键或者键值,都是打开“注册表编辑器”,然后定位到相关分支进行删除操作。
但如果我们要对多台计算机做同样的操作呢?
或者这种删除操作是需要常常进行的呢?
这就不方便了。
其实可以通过将删除操作做成*.reg文件的形式,双击该*.reg文件即可完成删除操作。
删除某个注册表分支:
打开“注册表编辑器”,将要删除的分支导出为*.reg文件,用“记事本”打开该文件,将形如“[HKEY_LOCAL_MACHINE\SOFTWARE\……]”的字段修改为“[-HKEY_LOCAL_MACHINE\SOFTWARE\……]”即可。
删除某个注册表键:
同样将该键导出为*.reg文件,用“记事本”打开该文件,将要删除键的键值修改为“-”即可,如要删除某名为“cfan”的键,则修改为形如:
"cfan"=-。
修复EXE文件的注册表关联 中了木马之后其实最麻烦的并不是查杀,而是查杀之后的系统设置恢复过程,由于木马普遍都对注册表比较感兴趣,而在查杀之后杀毒软件又不会自动修复注册表,所以经常出现杀毒后反而无法正常使用的情况。
EXE文件的注册表关联就是最典型的例子,如何快速修复它呢?
(1)由于无法运行EXE文件,而又需要通过Regedit.exe来修改注册表,所以先要把C:
\Windows目录下的Regedit.exe文件重命名为R,运行R启动“注册表编辑器”。
(2)定位到[HKEY_CLASSES_ROOT\.exe],将右侧窗口中“默认”的键值改为“exefile”。
(3)依次展开[HKEY_CLASSES_ROOT\exefile\shell\open\command]分支,然后将右侧窗口中的“默认”的键值改为“"%1"%*”(不要外侧引号)。
(4)关闭“注册表编辑器”,运行一个EXE文件检查是否正常,如果还下载一个“EXEFileAssociationFix”文件,解压后将文件合并到注册表中即可。
4.自动备份注册表 [HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]这两个分支是黑客程序、后门、病毒及恶意网站最常攻击的目标,一旦这两个分支下的数据被病毒修改,要一一排查被修改的数据是件非常困难的事,而手动地输入命令备份相当麻烦,如何快速备份和恢复被“劫持”的系统呢?
第一步:
打开“记事本”,输入下列内容,并保存为myregbak.bat:
@echooff setmypath="C:
\myfolder\"%date%""
ifexist"%mypath%"
rd/s/q"%mypath%"
md"%mypath%"
cd"%mypath%"
regexporthkcumyreg.reg
regexporthklmsysreg.reg 这段脚本的大意是:
首先定义一个变量并将其设置为C:
\myfolder下以当天的日期命名的一个目录,如果该目录不存在就根据变量值创建此目录。
然后将当前目录转到这个目录中,如果已经存在用户个人的注册表备份文件myreg.reg则删除,重新导出用户个人的注册表数据到文件。
如果已经存在系统的注册表备份文件sysreg.reg则删除,重新导出系统的注册表数据到文件。
Regedit.exe支持/s命令行开关,以便不显示这些消息。
例如,要从登录脚本批处理文件以无提示方式运行.reg文件(使用/s开关),请使用以下语法:
regedit.exe/spathof.regfile
命令编写注册表文件修改注册表项
2007-05-3122:
482007-05-3122:
48
2007-05-3122:
48
1、何谓REG文件
REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中。
利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的操作可以不受注册表编辑器被禁用的限制,因此功能更为强大、灵活,另外,由于REG文件可以用任何文本文件编辑工具(例如记事本)进行修改,因此通过它对注册表数据进行修改后,如果发生错误,还可以通过改回REG文件中的数据后再导入,从而实现恢复操作,因此它又较之直接用注册表编辑器修改更安全,所以熟练掌握REG文件的运用,有时可以起到事半功倍、意想不到的效果。
2、创建REG文件
REG文件的创建是非常简单的,可以通过任何一个文本文件编辑工具来实现。
我们就以创建一个可以解除注册表禁用限制的REG文件restore.reg为例来介绍一下具体过程。
打开记事本,在记事本文件中输入以下内容:
REGEDIT4
空一行
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:
00000000
保存此文件,在打开的“另存为”对话框中选择好保存路径,再单击“保存类型”中的下拉箭头选择“所有文件”(一定要选择此步,不然保存后的文件会自动加上TXT的扩展名),然后在“文件名”中输入“restore.reg”后按“保存”按钮。
以后你就可以通过双击这个restore.reg来直接解除禁用注册表的限制。
3、对REG文件进行修改
我们在利用REG文件对注册表进行操作时,要操作的对象有两种:
一种是对主键进行操作,一种是对主键下的键值项目进行操作。
对主键的操作有添加、删除两种,而对键值项目的操作则分为添加、修改和删除三种。
下面我们就一个一个来实现。
1、对主键的操作
(1)添加主键
要想利用REG文件在注册表中添加一个主键是非常方便的,只需要在文件体部分直接以“[]”的形式写上要添加的主键路径即可。
例如:
在HKEY_LOCAL_MACHINE\Software主键下添加一个名称为“软件工作室”的主键,内容如下:
REGEDIT4
空一行
[HKEY_LOCAL_MACHINE\Software\软件工作室]
(2)删除主键
要用REG文件在注册表中删除一个主键,在文件体部分“[]”括起来的主键路径前面加上一个“-”符号即可,删除主键操作将会一并删除该主键下的所有子键及其键值项目,所以这是个比较危险的命令,使用要十分注意。
例如要删除我们刚才添加的那个主键,内容如下:
REGEDIT4
空一行
[-HKEY_LOCAL_MACHINE\Software\软件工作室]
2、对键值项目的操作
(1)添加键值项目
添加键值项目的操作如同注册表编辑器中的“新建”命令,一般来说,键值的数据类型分为三种:
字符串值、二进制值和DWORD值。
在REG文件中我们也要设置添加的键值项目的数据类型,如果要添加字符串值,则“=”号后边要用英文的双引号引住数据;如果添加的为DWORD类型值,“=”号后边的格式为“dword:
数据”;如果添加的为二进制值,“=”号后边则为“hex:
数据”。
要设置默认值的键值数据时,“=”号前边的键值名称应为“@”符号,并且没有双引号。
例如我们要在“HKEY_LOCAL_MACHINE\Software\软件工作室”主键下设置默认键值为“工作室”,并分别添加“姓名”键值项目(字符串值)、“年龄”键值项目(二进制值)、“婚否”键值项目(DWORD值)。
相应的REG文件内容如下:
REGEDIT4
空一行
[HKEY_LOCAL_MACHINE\Software\软件工作室]
@="工作室"
"姓名"="徐徐徐"
"年龄"=hex:
23
"婚否"=dword:
00000000
在添加键值项目时,如果该键值所在的主键路径不存在的话,在添加键值项目的同时会自动新建该主键。
另外在添加字符串值的键值项目时还有一点值得注意的地方,当这个字符串值是包括文件路径的字符串值时,路径分隔符应用“\\”双斜杠表示,以示和注册表中的主键路径分隔符区别开来。
例如我们要在注册中“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run”主键下的启动组中添加位于“C:
\PROGRAMFILES\BOOBSOFT\屏幕保护控制器”目录下的一个应用程序“屏幕保护控制器.exe”的启动键值项目,REG文件内容如下:
REGEDIT4
空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"scr"="C:
\\PROGRAMILES\\BOOBSOFT\\屏幕保护控制器\\屏幕保护控制器.exe"
(2)修改键值项目
其实修改和添加很类似,对于已经存在的键值项目,我们要修改其数据时,只需要将正确的数据赋予对应的键值项目即可,新的数据会自动覆盖错误的旧数据,例如,当某些恶意网页修改了你的IE标题栏文字,在标题栏中总是显示那个网站的广告文字,很讨厌,我们知道修改IE标题栏文字是通过“HKEY_CURRENT_USER\Software\
Microsoft\InternetExplorer\Main”主键下的“WindowTitle”键值的数据进行设置的,那么我们就可以通过REG文件改回默认的IE标题栏文字。
REGEDIT4
空一行
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]
"WindowTitle"=""
(3)删除键值项目
用REG文件删除键值项目也是很方便的,和删除主键相类似,也是通过“=”号实现的,不过这次不是加在前面,而是把“-”符号放在键值项目的等号后面。
例如一些恶意网页在修改IE标题栏等设置的同时,还修改了开始菜单相关的键值项目数据,使得开始菜单中的“运行”、“查找”、“关闭”等命令都不见了,导入下面的这个REG文件删除相应的键值项目后就可以找回开始菜单中的这些命令了。
REGEDIT4
空一行
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=-(解除“运行”命令)
"NoClose"=-(找回“关闭系统”命令)
"NoFind"=-(找回“查找”命令)
4、将REG文件中的数据导入到注册表中
导入信息
当我们双击REG文件时,系统会首先提示“确实要把XXX.REG内的信息添加到注册表吗?
”的询问对话框,单击“是”按钮,系统就会按照REG文件中所描述的操作对注册表进行修改,完成以后并会给出提示“XXX.REG中的信息已经成功输入注册表”,把REG文件中的信息导入注册表的操作称为“合并”。
修改默认值
在REG文件上单击鼠标右键,有三个命令是关于REG文件的:
合并、Print、编辑,以粗体显示的就是“合并”操作,这也是默认的打开方式,也就是双击时执行的操作。
如果你不想让双击REG文件时执行“合并”的操作,你可以更改它的默认打开方式为“编辑”。
打开资源管理器,单击“查看”菜单中的“文件夹选项”命令,在打开的对话框中单击“文件类型”标签,然后在“已注册的文件类型”列表中找到并选中“注册表项目”,从下面的“打开方式”我们也可以看出:
原来REG文件默认的“合并”操作关联的是注册表编辑器Regedit呀!
接下来点击“编辑”按钮,打开“编辑文件类型”对话框,然后选择“操作”列表中的“编辑”,再点击“设为默认值”按钮即可,以后双击REG文件时就会用记事本来打开进行编辑。
在这里笔者顺便告诉大家一个独门绝技,如果你希望REG文件在导入时没有任何提示,你可以在图4所示的对话框中选中“合并”,然后单击“编辑”按钮,在弹出对话框的命令行中输入“regedit.exe/s"%1"”即可,这是使用了注册表编辑器Regedit的一个被称为安静导入模式的隐藏参数“/S”,在导入REG文件时如果加上“/S”参数,系统就不会再弹出任何提示对话框而直接导入了。
解除禁用
有时在某些电脑中设置了禁用注册表编辑器后,为了防止一些电脑高手使用REG文件,来解除对注册表编辑器的限制,会让REG文件的默认打开程序设置为其他无关程序,当然这时可以通过修改“文件夹选项”中的相关设置改回来,但还有一种更绝的办法可以使REG文件不能用系统默认的方式打开。
运行注册表编辑器,将“HKEY_CLASSES_ROOT.reg”下的默认值改为“txtfile”,这时REG文件的打开方式都指向了TXT文本文件。
这样更改后不知道的人即使修改“文件夹类型”中的“注册表项目”设置也无法改回来,当然这时系统也已经禁用了注册表编辑器,你是无法通过注册表编辑器修改了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 试验4 注册表 试验