注册表简介
1.注册表是Windows 系统中一个非常重要的数据库,它存储着计算机的软、硬件设置。例如:Windows XP的系统核心设置、
硬件设备参数、网络相关项的设置、硬件配置文件、应用程序的设置等。注册表是按照根键(HKEY)、键、子键以及值
项的层次结构来组织的,每个值项有三方面属性:名称、数据类型及值,如图所示
2.注册表的根键:类似于一个磁盘内的根文件夹,注册表有五大根键。
3.键与子键:键与子键的结构就类似于文件夹与子文件夹。在键中可以包含值项与子键。
4.值项:每个注册表项或子项都可以包含称为值项的数据。有些值项存储特定于每个用户的信息,而其他值项则存储应用于计
算机所有用户的信息。值项的数据类型说明见下表 。
以冰河木马为例来简述流氓软件及木马病毒对于注册表修改的过程
1.冰河木马攻击实现流程简介:
G_Server.exe是被监控端后台监控程序(运行一次即自动安装,开机自启动,可任意改名,运行时无任何提示)。运行G_Serv
er.exe后,该服务端程序直接进入内存,并把感染机的7626端口开放。而使用冰河客户端软件(G_Client.exe)的计算机可以
对感染机进行远程控制。
2.冰河木马原理以及对修改注册表信息过程:
“冰河”的服务端G_server一旦运行,它首先会修改启动组,以便在每次启动时自动加载。这就是在注册表的HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows\CurrentVersion\Run和Runservice键值中加上了“C:\windows\system\kernel32.exe” ,然后将HK
EY_CLASSES_ROOT\txtfile\shell\open\command下的键值由“C :\windows\notepad.exe %1”改为“C:\windows\system\sysexplr.exe
%1”,同时在C:\windows\system目录下生成kernel32.exe 和sysexplr.exe 这两个文件。第二项是将TXT文件改为用sysexplr.exe打开
,而这个文件和kernel32.exe 互通有无。
3.一旦服务机运行G_Server.exe客户机就可以来控制电脑。
注册表的维护方法
- 打开注册表编辑器.注册表编辑器(regedit.exe或regedt32.exe)是修改注册表的工具。打开注册表编辑器的方法:单击“开始”→“运行”→输入
“regedit”→单击“确定”。打开的注册表编辑器。
2.在注册表中更改项和值查找字符串、值或项在注册表编辑器中,依次单击菜单命令“编辑”→“查找”,输入要查找的目标,可根据情况选择“项”、“值”、
“数据”和“全字匹配”等复选框,然后单击“查找下一个”按钮即可。
3.在注册表中更改项和值将注册表项添加到收藏夹在注册表编辑器中,选择要添加到收藏夹的分支(如HKEY_CURRENT_USER\SOFTWARE\MICROSOFT),依
次单击菜单命令“收藏夹”→“添加到收藏夹”,如图所示。则以后通过收藏夹定位到该分支即可。 在注册表中更改项和值在注册表中修改值在注册表编
辑器中,选中要修改的值项(例如,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system\NoDispSettingsPage),
双击或选择菜单“编辑”→“修改”,输入该值项的新数据。在注册表中删除项或值选中要删除的注册表项或值,依次选择菜单命令“编辑”→“删除”。
4.导入或导出注册表
导出注册表:
1.在注册表编辑器中,选中要导出的分支,单击“文件”→“导出”,导出范围默认是选中“所选分支”,输入文件名,选择保存类型及位置。
2.要想导出全部注册表,选择导出范围应改为“全部”。
导入注册表
如果在实际应用中需要恢复注册表,则可以将导出的注册表文件导入到注册表中。若导出的是注册文件reg类型,则直接双击就可以导入了。或者在
注册表编辑器中,单击“文件”→“导入”,选择要导入的文件即可。
