注册表防注入病毒

最新推荐文章于 2021-04-13 21:34:41 发布
最新推荐文章于 2021-04-13 21:34:41 发布
阅读量831 收藏 7
点赞数 2
分类专栏: kali渗透 文章标签: 渗透工程 计算机网络安全 骇客注册表攻击 计算机病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasdhasd/article/details/97274307
版权

注册表的简单介绍

注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。

打开注册表

使用快捷键“win”+r

输入regedit

注册表文件介绍

HKEY_CLASSES_ROOT

管理文件系统。根据在windows中安装的应用程序的扩展名,该根键指明其文件类型名称,相应打开该文件所要调用的程序等信息。

HKEY_CURRENT_USER

管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码。在用     户登录Windows 98时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。

HKEY_LOCAL_MACHINE

管理当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。这个根键里面的许多子键与System.ini文件中设置项类似。

HKEY_USERS

管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。

HKEY_CURRENT_CONFIG

管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当前用户的Windows 98中文版的安装的信息。

病毒注入常见情况

计算机系统感染了网络病毒后,可能会在这些注册表中做修改

lHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

病毒经常修改的注册表键值

(1)IE起始页的修改

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 右半部分窗口中的Start Page 就是IE主页地址了 

(2)Internet选项按钮灰化&失效

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值 “Setting”=dword:1 “Links”=dword:1 “SecAddSites”dword:1 全部改为0之后 再将HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel 下的DWORD值“homepage”键值改为0 则无法使用“Internet选项”修改IE设置

(3)“源文件”项不可用

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions 的“NoViewSource”被设置为1了,改为0就可恢复正常

(4)“运行”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoRun”键值被改为1了,改为0就可恢复

(5)“关机”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoClose”键值被改为1了,改为0就可恢复

(6)“注销”按钮被取消&失效

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoLogOff”键值被改为1了,改为0就可恢复

(7)磁盘驱动器被隐藏

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer 的“NoDrives”键值被改为1了,改为0就可恢复

 

 

吃小朋友的大坏蛋
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言熊猫病毒源代码,病毒:注册表的认识以及用c语言编写一个“百分之一熊猫烧香”...
weixin_32389427的博客
05-22 1374
众所周知,熊猫烧香是一个威力强大的病毒.曾经的电脑只要被感染以后就只有重装系统这条路. 当然,现在可能对这种病毒已经有所御,所以威胁没有以前那么大了. 熊猫烧香一个比较明显的特点就是会感染所有exe可执行文件. 当然,其他一些功能也很牛逼,但是无奈我水平有限,目前只能做到感染exe文件.不过如果你们愿意,可以将电脑上的任何类型文件进行感染,我这次仅仅是用exe文件做示范.一.预先要知道的东西我们...
注册表清除计算机病毒(转)
cuankuangzhong6373的博客
07-11 546
木马藏身地及通用排查技术  木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马...
修改注册表对付病毒木马后门及黑客
03-03
在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。本文介绍通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全
计算机病毒护:SQL注入原理.ppt
06-10
单击此处添加标题 * * 目录页 SQL注入原理 SQL注入的原理 动态页面有时会通过脚本引擎将用户输入的参数按照预先设定的规则构造成SQL语句来进行数据库操作,SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,改变原有的SQL语句的语义来执行攻击者所要的操作,其主要原因是程序没有采用必要的措施避免用户输入内容改变原有SQL语句的语义。 存在SQL注入的风险 SQL注入的危害 获取敏感数据:获取网站管理员帐号、密码等。 文件系统操作:列目录,读取、写入文件等。 注册表操作:读取、写入、删除注册表等。 执行系统命令:远程执行命令。 绕过登录验证:使用万能密码登录网站后台等。 SQL注入的危害-绕过登录 某高校招聘录入系统登录框存在SQL注入漏洞: SQL注入的危害-数据盗取 智慧医疗安全之云信医疗主站存在SQL注入漏洞,涉及近500W+用户数据: SQL注入的分类 SQL注入测试方法 判断注入漏洞的依据是什么? 根据客户端返回的结果来判断提交的测试语句是否成功被数据库引擎执行,如果测试语句被执行了,说明存在注入漏洞。 构造测试语句 提交请求 分析返回结果 符合预期结果
如何使用注册表病毒
weixin_34272308的博客
04-08 412
2019独角兽企业重金招聘Python工程师标准>>> ...
【警惕注册表中的木马病毒
南山鹿场
06-30 1182
尽管如今杀毒软件已经够厉害了,但似乎还是抵挡不住病毒和木马的侵扰,特别是注册表,经常黑客或者病毒会通过它进入系统使我们财产受损,因此要警惕注册表中的病毒和木马,可是该怎么查杀呢?   一款好的杀毒软件和安全软件是怎么做出来的?   是根据流氓软件、病毒木马的行为习惯加以分析,对起可能利用的漏洞或者隐身场所加以范。   一款“毒”的恶意软件病毒木马是怎么做出来的?   是根
注册表注入
Lyntion的Blog
10-02 1933
在Windows NT/2000/XP/2003中,有一个注册表键值: HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsHKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Windows/AppInit_DLLs。当某个进程加载User32.dll时,这里面列出的所有的DLL都将U
注册表清除计算机病毒
编程爱好者
03-01 886
【IT168 实用技巧】木马藏身地及通用排查技术  木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。  ●在Win.ini中启动木马:  在Win.ini的[Window
注册表注入 推荐下载
09-09
2. **安全软件**:安装并更新反病毒软件,确保其具有针对注册表注入护功能。 3. **权限控制**:限制非管理员用户的注册表访问权限,止恶意软件随意修改关键键值。 4. **谨慎操作**:不随便下载不明来源的...
驱动源码 进程保护_调试_注册表保护_文件夹保护
07-02
在IT领域,驱动程序开发是操作...这些技术对于开发病毒软件、系统安全工具或者增强现有软件的安全性都有着重要的实际应用价值。通过学习和实践,开发者能够提升对操作系统底层的理解,同时提高构建安全系统的能力。
DLL注入工具.rar
04-04
DLL注入是一种技术,常用于软件调试、性能监测、恶意软件活动中,通过将动态链接库(DLL...不过,需要注意的是,DLL注入技术如果被滥用,可能会成为制作木马、病毒的手段,因此在学习和使用时应遵循合法、合规的原则。
DLL注入模块.rar
04-04
4. 注册表注入:修改注册表键值,使目标进程在启动时自动加载指定的DLL。 5. 远程过程调用(RPC):通过网络或本地进程间通信机制,让一个进程请求另一个进程加载特定的DLL。 DLL注入在合法的应用场景中,如调试、...
实验一——病毒注册表操作
Onlyone_1314的博客
09-20 9125
【实验内容】 (1)强制隐藏.exe文件的扩展名 刚开始应用程序的exe扩展名都是可见的 1、注册表项:HKEY_CLASS_ROOT\exefile, 2、新建字符串值:取名为NeverShowExt。 用Mytool工具: 直接在注册表中添加 3、重启计算机 重启之后,所有exe文件的扩展名都被隐藏。 (2)隐藏“文件夹选项”子菜单项 刚开始“文件夹选项”子菜单选项是可以用的 1、注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
操作注册表删除病毒
edg_edu的专栏
04-06 1508
病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke) 病毒类型:盗号木马 病毒发作现象及危害: 病毒采用VC++语言编写,Aspack加壳。运行后,会在后台悄悄运行,窃取《传奇》游戏玩家的用户名、密 码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以 及其他一些软件出现故障,无法使用。 如何判断是否感染此木马病毒: 该病毒
【通过注册表让黑客攻击无所遁形】
南山鹿场
06-19 656
在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行、破坏和传播等目的。以下是笔者在网上收集的,通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全。   1.清理访问“网络邻居”后留下的字句信息   在HEKY_CURRENT_USERNetworkRec
木马病毒隐身穿墙术解密之文件注入和反弹连接
HIT_ZOE的博客
09-18 1415
作者: 刘源 比特网  2010-04-01 12:05:08                                                                                               木马病毒隐身穿墙术解密之文件注入和反弹连接   对于木马病毒当前所使用的隐身和穿墙术,到这篇已经是第三篇了,虽然每篇的篇
找不到注册表中HKEY_CURRENT_USER的问题
weixin_43330974的博客
04-13 4629
找不到注册表中HKEY_CURRENT_USER的问题 一开始通过regedit打开注册表后,按照H字母开头的顺序寻找HKEY_CURRENT_USER未果,之后发现HKEY开头都在注册表的最下面
xxxxdfgfdgfdgd
最新发布
07-14
xxxxdfgfdgfdgd

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值