注册表的危险操作项目,安全配置

最新推荐文章于 2023-10-07 15:49:36 发布
最新推荐文章于 2023-10-07 15:49:36 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 第一阶段 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CZLwlaq/article/details/106788404
版权

注册表危险项
1.映像劫持
简单来说就是当目标程序被映像劫持的时候,当我们启动目标程序时,启动的是劫持后的程序而不是原来的程序,操作如下:
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CueeentVersion\Image File Execution Option添加一个项sethc.exe然后在这个项重中添加一个debugger键,键值为我们恶意程序的路径如图:
在这里插入图片描述
此时连续按5次Shift键的粘滞键被替换成了CDM
2.注册表自启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
A.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_
LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Policies\Explorer\Run],也要仔细查看。
B.RunOnce键
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft
Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.用户登录初始化
Userinit的作用是用户在进行登录初始化设置时,WinLogon进程会执行指定的login scripts,所以我们可以修改它的键值来添加要执行的程序,注册路径为:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Useri

最低0.47元/天 解锁文章
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
扫描至计算机功能被禁用,我用电脑管家扫描怎么一直都有个风险项(显示隐藏文件设置被禁用,可能是恶意软件所为)还不能修好,点击...
weixin_39710288的博客
07-23 1169
在桌面新建一个文件记事本文件把一下的粘贴到记事本去:REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden]Text=隐藏文件Type=groupBitmap=C:\\WINDOWS\\SYSTEM\\SHDOC401.DLL,4HelpID=upda...
恶意代码分析实战 Lab 11-2 习题笔记
isinstance的博客
04-25 1527
问题 题目提示是: 假设一个名为Lab11-02.ini的可疑文件与这个恶意代码一同被发现 我们这次把分析过程放在上面 我们还是一样的先做一些静态的分析 这里有一个我们以前没见过的函数叫CreateToolhelp32Snapshot 这个函数在MSDN里面的定义是这样的 获取指定进程的快照, 以及这些进程使用的堆、模块和线程 书中对这个导入函数的解释是 搜...
注册表内容+危险操作内容+安全配置
DrzhongYu的博客
06-17 1141
windows注册表 一、什么是注册表 注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息,从而方便了管理,增强了系统的稳定性。 二、注册表的功能 刚才我们看到了,注册表
梳理注册表的一些危险操作注册表安全配置,以及对于注册表的总结
Duncelhy的博客
06-16 3108
本次文章为大家梳理一些注册表常见的危险操作,希望可以帮大家规避一些在日常使用中可能会遇到的问题。 映象劫持IFEO(Image File Execution Options) 在低版本的windows中,我们可以简单地替换程序,但是在高版本的windows中替换的文件收到了系统的保护,所以这里我们要使用另外一个知识点:“映像劫持”。 是为一些在默认环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修
注册表危险
qq_39871572的博客
06-16 620
注册表作为Windows系统的中心资料库,强大的功能在带来方便的同时也可能被不良分子用来破坏。 **1.Windows Load** 这个注册表项是为了保持与旧的Win.ini配置文件兼容而设置的,可支持多个自动加载的值。“Load”字符串值可以是各种可执行文件,比如“C:\Windows\notepad.exe等。恶意程序可以利用这个键值实现自动加载,最危险的是通过这条路可以逃过大多的安全程序的检查。 **2.Windows Run** "Run"字符串值与"Load"字符串值类似,也可支持各种可执行文件
注册表有关安全设置项的说明
孤独的狼
05-17 1674
注册表路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones    1.         Zones 项包含表示为计算机定义的每个安全区域的项。默认情况下,定义以下 5个区域(编号从 0  到  4): 值                
Windows 危险注册表
LYSM
07-18 1143
原文出处:http://www.360doc.com/content/19/0718/17/65396457_849599208.shtml 欢迎大佬们再补充… 1、Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur...
注册表一些危险操作
qq_45510720的博客
06-16 746
1、映像劫持 “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”) 操作:在注册表中HKEY_MACHINE\SOFTWARE\Microsoft\windowsNT\CuretVersion\Image File Execution Option下面添加Seth.exe,然后在Seth.exe中添加debugger键, 此时连续按五次shift键粘贴被替换成cmd 2、注册表启动项 Run:该项下的键值即为开机启动项,每
Windows注册表危险安全配置总结
qiye622的博客
06-16 1081
** 映像劫持* 就是Image File Execution Options(其实应该称为“Image Hijack”。)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。 简单来说就是当目标被映像劫持时,当我们启动程序是劫持后的程序而不是原来的程序。操作也简单,在注册表的HKEY_LCOAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
Windows操作系统安全配置缺陷自动检测技术
weixin_46605806的博客
10-28 8113
目录一,绪论与背景1.1,绪论1.1.1,项目概述与背景1.1.2,定义与术语二,需求分析2.1,系统设计概述2.1.1,需求分析2.1.2,概要设计2.2,功能设计2.3,功能需求三,详细设计3.1,系统结构设计3.2,模块设计3.2.1,弱口令检测3.2.2,端口扫描检测3.2.3,本地安全检测3.2.4,系统版本及补丁检测3.2.5,网络配置检测3.2.6,安全日志检测3.3,程序函数清单设计成果设计心得 一,绪论与背景 1.1,绪论 近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通
远程桌面通过修改端口降低风险的步骤
weixin_44400506的博客
01-17 955
远程桌面的端口是黑客攻击的入口,一旦我们打开了远程桌面连接的端口以后,黑客很有可能就趁机会入侵了,这样是非常危险的。我们在使用远程桌面连接的时候,为了操作方便就会打开端口,但是为了防止恶意连接,我们就需要修改远程桌面的默认端口,这样就会降低风险了。FTP   远程桌面的默认端口:3389端口   修改端口方法:   1、打开桌面的开始菜单,点击运行,输入regedit;   2、找到HKEY_L...
Windows注册表安全
SXWZ的博客
04-18 3569
Windows注册表安全技巧 配置注册表提高系统安全 通过注册表,用户可以轻易的添加、删除、修改windows系统内的软件配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行适时的调整,同时注册表也成为入侵者攻击的目标,通过注册表种植木马,修改软件信息,甚至删除、停用或改变硬件的工作状态。     注册表根项说明 HKEY_LOCAL_MACHINE包含关于本地计算机系统的信息,包括硬件和操作系统数据。 HKEY_CLASSES_ROOT包含由各种OLE技术使用的信息技
Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 2214
在Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
映像劫持技术
whl0071的专栏
04-28 1026
映像劫持技术
玩转电脑|盘点一下Windows 10 注册表系统优化【 InsCode Stable Diffusion 美图活动一期】
Jum的博客
07-06 8607
Windows注册表是 Windows 和应用程序可以使用的设置的集合。它是一个目录,用于存储 Microsoft Windows 操作系统的设置和选项。它包含所有硬件、操作系统软件、大多数非操作系统软件、用户、电脑 首选项等的信息和设置。
激活windows10时出现,“ 0x803f7001 在运行Microsoft Windows 非核心版本的计算机上,运行“ slui.exe 0x2a 0x803f7001 ””
最新发布
winnerasheng123的博客
10-07 1万+
解决 0x803F7001在运行Microsoft Windows非核心版本的计算机错误。打开"运行",输入 regedit 后回车,打开注册表。然后再注册表下输入地址。,双击打开后,将数值。
Win11 预览体验计划空白无显示的一种解决方案
weixin_42174385的博客
08-30 6889
Win11 预览体验计划空白无显示 升级win11——此版本Windws不支持该处理器、该电脑必须支持TPM2.0等问题解决
bat 脚本(批处理)操作注册表
GoodFaith008的博客
05-11 8562
关于操作注册表的命令reg的对应帮助信息,如下所示: C:\Users\Administrator>reg /? REG Operation [Parameter List] Operation [ QUERY | ADD | DELETE | COPY | SAVE | LOAD | UNLOAD | RESTORE | COMPARE | EXPORT | IMPORT | FLAGS ] 返回
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值