注册表是操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据,通过它可以控制硬件、软件、用户环境和操作系统界面的数据信息文件。
注册表文件的数据信息保存在system.dat和user.dat中、 利用regedit.exe程序能够存取注册表文件(regedt32.exe是一样的)。在运行里键入regedit就可以进注册表编辑器。
实现文件关联
相关表项:HKEY_CLASSES_ROOT/exefile/shell/open/command
记住上述表项,我们需要根据这个结构完成创建相关表项。
实验环境:windows xp系统
1.利用win+r regedit进入win xp系统注册表
2. 在boot中新建项 .cjc(你可以取你想要的文件后缀名)
修改默认编辑数值数据
3. 在boot中创建项cjcfile,在cjcfile中创建两个项,第一个为default用于标记图标;第二个shell用于关联文件实施劫持
将default中默认项数值数据修改为相关图标路径。图标为iso格式,你可以选择你想改的图标作为你创建格式文件的默认图标!
4.在shell项中创建open项,在open项中创建command项。其中open不需要修改,将command默认值改为关联文件路径名,并在最后加”1%”
5. 创建新文件,打开系统计算器calc.exe
在桌面创建.cjc后缀文件,双击之后便打开了计算器完成文件关联劫持,此技术可用于木马启动。不建议在较高windows版本中实现,此后加入了很多防护机制。