注册表的简单介绍
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
打开注册表
使用快捷键“win”+r
输入regedit
注册表文件介绍
HKEY_CLASSES_ROOT
管理文件系统。根据在windows中安装的应用程序的扩展名,该根键指明其文件类型名称,相应打开该文件所要调用的程序等信息。
HKEY_CURRENT_USER
管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用 户登录Windows 98时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。
HKEY_LOCAL_MACHINE
管理当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。这个根键里面的许多子键与System.ini文件中设置项类似。
HKEY_USERS
管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。
HKEY_CURRENT_CONFIG
管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当前用户的Windows 98中文版的安装的信息。
病毒注入常见情况
计算机系统感染了网络病毒后,可能会在这些注册表中做修改
lHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
病毒经常修改的注册表键值
(1)IE起始页的修改
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 右半部分窗口中的Start Page 就是IE主页地址了
(2)Internet选项按钮灰化&失效
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值 “Setting”=dword:1 “Links”=dword:1 “SecAddSites”dword:1 全部改为0之后 再将HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”键值改为0 则无法使用“Internet选项”修改IE设置
(3)“源文件”项不可用
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 的“NoViewSource”被设置为1了,改为0就可恢复正常
(4)“运行”按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoRun”键值被改为1了,改为0就可恢复
(5)“关机”按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoClose”键值被改为1了,改为0就可恢复
(6)“注销”按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoLogOff”键值被改为1了,改为0就可恢复
(7)磁盘驱动器被隐藏
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoDrives”键值被改为1了,改为0就可恢复