木马编程DIY之注册表管理

最新推荐文章于 2017-12-07 16:23:00 发布
最新推荐文章于 2017-12-07 16:23:00 发布
阅读量2.8k 收藏 6
点赞数
分类专栏: 木马编写 C/SDK 原创文章 原创作品 文章标签: 编程 null access attributes token path
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinafe/article/details/1833784
版权
.





九九重阳了,再发篇文章,意思意思..........



木马编程DIY之注册表管理   文/图 冷风

前几期分别讨论了,系统服务,文件传输,网络文本语音和其它方面的内容,现在我们来讨论在木马中注册表的实现,就我自己感觉在木马中对注册表的使用并不多,写其它程序时反倒用的不少.不过注册表还是比较重要的学会它不会吃亏呵呵,我们自己实现的效果如图所示



一些基础

开始前先了解一些基础知识,对后面的工作会方便不少,其码不会出现散晕的现像,对注册表的历史也就不再说了有兴趣可以
查查新华字典呵呵.注册表的组织方式跟文件目录比较相似,主要分为 跟键,子键,键值项 三部分跟文件目录对应的话就是
跟目录,子目录,和文件.分别介绍一下,跟键为分5个分别为HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE
HKEY_USERS,HKEY_CURRENT_CONFIG把它们理解成磁盘的五个分区可以了,子键可以有多个子键和键值项,就像一个目录中可
以有多个子目录和多个文件一样,而键值项可以理解为文件它由三部分组成,分别为 名称,类型,数据. 类型又分为多种主要
包括如下:

REG_BINARY        二进制数据

REG_DWORD        32位双字节数据

REG_SZ            以0结尾的字符串

REG_DWORD_BIG_ENDIAN    高位排在底位的双字

REG_EXPAND_SZ        扩展字符串,可以加入变量如 % PATH %

REG_LINK        UNICODE 符号链接

REG_RESOURCE_LIST    设备驱动程序资源列表

REG_MULTI_SZ        多字符串

注册表数据项的数据类型有8种但最常用的主要是前3种而以,有了这些基础下面我们讨论如何编程实现对注册表的操作




打开 / 关闭注册表句柄



在对注册表操作前应该先打开指定的键,然后通过键的句柄进行操作,打开键句柄可以用API RegOpenKeyEx来实现其原形如下

RegOpenKeyEx(
        hKey,         // 父键句柄
        lpSubKey,     // 子键句柄
        dwOptions,     // 系统保留,指定为0
        samDesired,     // 打开权限
        phkResult,     // 返回打开句柄
        )

其中打开权限有多种 想方便的话可以指定为KEY_ALL_ACCESS 这样什么权限都有了,当函数执行成功时返回ERROR_SUCCESS

其实例代码如下:

    HKEY key;
    LPCTSTR data = " SOFTWARE/Microsoft/Windows/CurrentVersion/Run " ;
     if (RegOpenKeyEx(HKEY_LOCAL_MACHINE,data, 0 ,KEY_ALL_ACCESS, & key) == ERROR_SUCCESS)
     {
        /*需要执行的操作...*/
    }
    ::RegCloseKey(key);
要注意的是在使用后应该调用RegCloseKey();函数为关闭句柄.



木马编程DIY之注册表管理   文 / 图 冷风
获取子键 / 键值信息


在现实的编程操作中我们常常需要获取 子键 / 键值的信息比如:子键 / 键值的数量,长度,以及数据的最大长度等等这些信息可以
通过RegQueryInfoKey函数来获取

它的原型如下:

RegQueryInfoKey(
        hkey,             // 要获取信息的句柄
        lpClass,         // 接受创建健时的Class字符串
        lpcbClass,         // lpClass的长度
        lpReserved,         // 系统保留,指定为0
        lpcSubKeys,         // 子键数量
        lpcbMaxSubKeyLen,     // 子键中最长名称的长度
        lpcbMaxClassLen,     // 子键中最长Class字符串长度

        lpcVlaues,         // 键值数量
        lpcbMaxValueNameLen,     // 键值项中最长名称的长度
        lpcbMaxValueLen,     // 键值项数据最大长度
        lpcbSecurityDescriptor,     // 安全描述符长度
        lpftLastWriteTime,     // FILETIME结构,最后修改时间
        )
哈哈是不是挺吓人的 ? 其实看实际情况接受自己需要的就好了,不需要的可以放个NULL就OK了,还有一点需要注意就是它所返回
的长度都不包括结尾的0字符,所以在使用时应该用长度 + 1

其实例代码如下
最低0.47元/天 解锁文章
冷风
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改注册表对付病毒、木马、后门及黑客程序
eickandy的专栏
09-17 1966
修改注册表对付病毒、木马、后门及黑客程序
木马爱修改的常见注册表项及其功能
晴天的专栏
02-28 2276
IE相关: 设置IE多线程下载网页的线程数: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings      MaxConnectionPerServer(字符串值)        10(设置最大同步下载连接数为10) MaxConnectionPer1_0Server(DWORD值)
注册表木马(一)——注册表读写
weixin_33695082的博客
12-07 217
 木马是什么?     木马(网络程序) = 客户端程序(控制端) + 服务端(被控端)     服务端程序开启远程后门     客户端使用Telnet进行远程控制     服务端程序需要在每次电脑开机时运行,这就需要在注册表中添加开机启动。  注册表木马的自启动,在Windows启动时,自动加载。     注册...
【警惕注册表中的木马病毒】
南山鹿场
06-30 1190
尽管如今杀毒软件已经够厉害了,但似乎还是抵挡不住病毒和木马的侵扰,特别是注册表,经常黑客或者病毒会通过它进入系统使我们财产受损,因此要警惕注册表中的病毒和木马,可是该怎么查杀呢?   一款好的杀毒软件和安全软件是怎么做出来的?   是根据流氓软件、病毒木马的行为习惯加以分析,对起可能利用的漏洞或者隐身场所加以防范。   一款“毒”的恶意软件病毒木马是怎么做出来的?   是根
病毒或木马修改注册表,导执可执行文件无法执行的处理办法
dianmeilan7150的博客
08-13 199
这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.这回输入了regedit后,过了一会才出现注册表编辑器.觉得有...
vbs 注册表实现木马自启动
09-06
自己捣鼓了半天,终于写出了个脚本,实现flux在注册表中的启动,当然是更隐蔽的方法,别人知道了这个地方也就没戏了。
木马编程入门
12-09
本资源集是针对初学者的“木马编程入门”,包含了经典样本,旨在帮助理解木马的工作原理、编写方法以及如何防范。 首先,我们要明白木马的基本概念。木马并非病毒,它不自我复制,但通常与病毒或蠕虫结合使用,以绕...
精通注册表修改与编程
10-17
总之,《精通注册表修改与编程》这本书将带你走进注册表的世界,通过学习,你不仅可以提升系统管理技能,还能增强系统编程能力,为解决复杂IT问题提供有力工具。无论是系统管理员、软件开发者还是普通用户,都能从中...
HTML实现表白墙之旋转木马
最新发布
12-19
在这个"HTML实现表白墙之旋转木马"项目中,这三种技术协同工作,创造出一个既美观又互动的表白场景。 首先,HTML部分主要负责构建页面的基本框架,包括图片、文字和其他元素的布局。在表白墙的设计中,HTML可以用来...
php木马攻击防御之道
12-17
1、防止跳出web目录 首先修改httpd.conf,假如您只允许您的php脚本程式在web目录里操作,还能够修改httpd.conf文档限制php的操作路径。...假如错误显示打开的话会提示这样的错误: Warning: open_basedir ...
API函数大全(转载)
08-04 1万+
1. API之网络函数 WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同一个网络资源的连接 WNetCancelConnection 结束一个网络连接 WNetCancelConnection2 结束一个网络连接 WNetCloseEnum 结束一次枚举操作 WNetCo
【总结】用户权限设置和进程权限提升
热门推荐
华秋实的专栏
11-29 2万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一组Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
Windows API 函数大全
pl2597758的专栏
05-23 1077
WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同一个网络资源的连接 WNetCancelConnection 结束一个网络连接 WNetCancelConnection2 结束一个网络连接 WNetCloseEnum 结束一次枚举操作 WNetConnectionDia
注册表操作
Greless的后花园
05-09 1633
一、使用API函数操作注册表 1.RegCreateKey 该函数用于打开指定的键,如果键不存在,则新建一个键或子键 LONG RegCreatekey(HKEY hKey,LPCTSTR lpSubKey,PHKEY phkResult); hKey:打开键的句柄 lpSubKey:函数打开或创建的键名 phkResult:函数返回的打开或创建键的句柄指针 2.RegClo
Windows注册表木马查杀实战
利用注册表,我们可以管理启动项、修改系统设置、优化性能等,从而间接提升系统对抗木马的能力。 在实际操作中,要谨慎修改注册表,因为错误的操作可能导致系统不稳定或无法启动。在修改前,务必做好备份。此外,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值