玩转注册表

最新推荐文章于 2023-10-29 21:31:01 发布
最新推荐文章于 2023-10-29 21:31:01 发布
阅读量1.9k 收藏 10
点赞数 1
文章标签: windows 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61368098/article/details/128053104
版权
本文介绍了如何玩转Windows注册表,重点讲解了IFEO映像劫持、启动项设置、文件关联、屏幕保护程序、时间提供者和Netsh助手DLL等关键点,这些都是在网络安全中进行权限维持的实用技巧。通过修改这些注册表项,可以实现特定程序的自启动和权限提升。但同时警告,不当修改可能导致系统无法正常启动。
摘要由CSDN通过智能技术生成

       很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!

目录

注册表怎么打开?

IFEO(Image File Execution Options)映像劫持

 注册表里面的启动项

文件关联

 屏幕保护

时间提供者

Netsh助手DLL

winlogon用户初始化(千万千万千万不能乱改,搞不好会进不了系统)

注册表怎么打开

使用快捷键win+r打开运行窗口,输入命令  regedit,按下回车键即可打开注册表编辑器。

IFEO(Image File Execution Options)映像劫持

原理:当我们双击运行程序的时候。系统就会查询IFEO注册表。如果发现存在完全相同的子键,就会查询对应的子键中包含的"debugger"键值名,如果这个键值名不为空的情况下 系统则会吧debugger参数指定的程序文件来作为启动的程序

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

操作过程:这个路径下有很多的exe程序,我这里选择IE浏览器来进行测试,点击iexplore.exe,在空白的地方右键,点击新建,选择字符串值(S),把它命名成debugger,数值数据填你想要运行的程序,我这里打开的是cmd。

最后的效果:当点击IE浏览器时会弹出cmd的运行窗口。 

 

 注册表里面的启动项

路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
           HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer

最低0.47元/天 解锁文章
香蕉你个苹果菠萝批
关注
玩转注册表
08-12
一本非常实用的windows系列注册表工具书,详细讲解了注册表的修改技巧等。
玩转注册表——非常经典的注册表
03-04
玩转注册表 包括常用菜单,控制面板等等 "NoRecentDocsMenu"=dword:00000001(隐藏开始->文档菜单) "NoRecentDocsHistory"=dword:00000001(禁止将打开的文档存入历史记录) "ClearRecentDocsOnExit"=dword:00000001(退出系统自动清除历史记录,包括文档、运行和查找) "NoFavoritesMenu"=dword:00000001(隐藏开始->收藏夹菜单) "NoSMHelp"=dword:00000001(隐藏开始->帮助菜单)(WIN2000/ME/XP) "NoFind"=dword:00000001(禁用查找/搜索)
30秒钟玩转注册表
shiyan209的专栏
01-29 333
原文地址:http://windows.chinaitlab.com/regedit/873848.html    1.快速删除键值         通常情况下我们要删除注册表中的某个键或者键值,都是打开"注册表编辑器",然后定位到相关分支进行删除操作。但如果我们要对多台计算机做同样的操作呢?或者这种删除操作是需要常常进行的呢?这就不方便了。其实可以通过将删除操作做成*.reg文件的形
教你玩转注册表!!!
fanyuna的专栏
04-22 1634
1.1 注册表的诞生 在早期的Windows 3.x操作系统中,对硬件和软件的管理主要是靠system.ini、win.ini等.ini文件来管理。随着计算机硬件不断地更新以及软件的的发展,装入计算机中的应用程序越来越多,ini文件开始变大,导致管理上的难度和系统的混乱。在当时的Windows NT 3.51中已出现了注册表,但不为人知。直到Windows 95的开发成功,注册表随之诞生,它不但解
玩转注册表,技巧大搜罗(1)
于明远的专栏
04-13 786
1.自动刷新   每次在窗口添加一个文件夹或删除一个对象后,须要按键对窗口 进行重新刷新,很麻烦。通过修改注册表可以达到自动刷新的目的。点击HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTRO LSET/CONTROL/UPDATE,修改 "UPDATE MODE"值,由"1"改为"0"。   2.修改系统版权信息   点击HKEY_LOCAL_MACHINE/SOFTW
玩转注册表 系统注册表文件解锁奇招
09-16
### 玩转注册表 系统注册表文件解锁奇招 #### 一、引言 注册表Windows操作系统的核心数据库之一,它记录了系统的所有配置信息和应用程序所需的设置参数。一旦注册表被锁定,可能会导致无法进行必要的系统调整或...
注册表之天下无敌玩转注册表
10-09
注册表之天下无敌玩转注册表轻松掌握在手,绝对是好的查询资料
轻松玩转注册表与BIOS.pdf
11-25
BIOS与注册表全面介绍了BIOS的基本设置、高级设置、升级主板BIOS以及通过修改注册表文件对电脑的系统性能、安全性、网络设置、硬件及个性化方面进行优化等方面的知识
玩转注册表,技巧大搜罗(2)
于明远的专栏
04-13 701
7.禁用 "设置"菜单中的"控制面板"和"打印机"选项   "控制面板"和"打印机"是Windows98系统配置的一个重要组成部分,为了避免让别人随便修改,可以将"设置"菜单中的"控制面板"和"打印机"选项禁用。  打开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/explore分支,在右窗格内新建一个DW
注册表的常用设置让你玩转注册表
05-17
3 注册表主键介绍 在“开始”→“运行”中输入“regedit”并单击“确定”按钮后,可以打开“注册表编辑器”对话框,此时可以看见在左边的窗口中显示了注册表的所有主键。对于Windows98 来说包含了六个主键,而在Windows 2003/2000/XP 中没有HKEY_DYN_DATA 主键,所以对于Windows 2003/2000/XP 来说只有五个主键 1.HKEY_CLASSES_ROOT 该主键用于管理文件系统,记录的是Windows 操作系统中所有数据文件的信息,主要记录不同文件的 文件名后缀和与之对应的应用程序。当用户双击一个文档时,系统可以通过这些信息启动相应的应用程序。 2.HKEY_CURRENT_USER 该主键用于管理当前用户的配置情况。在这个主键中我们可以查阅计算机中登录的用户信息、密码等 相关信息。 3.HKEY_LOCAL_MACHINE 该主键用于管理系统中的所有硬件设备的配置情况,在该主键中存放的是用来控制系统和软件的设置。由 于这些设置是针对那些使用Windows 系统的用户而设置的,是一个公共配置信息,所以它与具体用户无关。 4.HKEY_USERS 该主键用于管理系统中所有用户的配置信息,电脑系统中每个用户的信息都保存在该文件夹中,如用 户在该系统中的一些口令、标识等。 5.HKEY_CURRENT_CONFIG 该主键用于管理当前系统用户的系统配置情况,如该用户自定义的桌面管理、需要启动的程序列表等信息。
注册表映像劫持的查看
03-26
用来检查系统有无异常的映像劫持
玩转注册表,这几个windowsAPI函数就够了
qq_31716541的博客
06-18 888
玩转注册表,这几个windowsAPI函数就够了
玩转电脑|盘点一下Windows 10 注册表系统优化【 InsCode Stable Diffusion 美图活动一期】
Jum的博客
07-06 7440
Windows注册表Windows 和应用程序可以使用的设置的集合。它是一个目录,用于存储 Microsoft Windows 操作系统的设置和选项。它包含所有硬件、操作系统软件、大多数非操作系统软件、用户、电脑 首选项等的信息和设置。
注册表映像劫持技术
nbedk_0812的专栏
01-06 2104
通常我们的自启动大多是通过注册表启动项,文件夹启动项,服务启动等,然而还有一种人们所不常见的自启动方法,他不同于文件关联启动,他却能劫持某一特定程序,以下解释来自百度百科:     “映像劫持”,也被称为“IFEO”(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身!),它的存在自然
解决注册表映像劫持
05-04 929
现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它
windows注册表详解与操作
最新发布
qq_63484934的博客
10-29 5737
HKEY_CLASSES_ROOT(HKCR):包含文件扩展名与相应应用程序之间的关联信息,以及系统中注册的COM组件和类的信息。HKEY_CURRENT_USER(HKCU):存储当前用户的个人配置信息,如桌面背景、文件夹选项等。HKEY_LOCAL_MACHINE(HKLM):存储计算机的全局配置信息,如硬件、操作系统设置等。HKEY_USERS(HKU):存储每个用户的配置信息,每个用户都有一个对应的子键。HKEY_CURRENT_CONFIG(HKCC):存储当前计算机的硬件配置信息。
注册表映像劫持
yygyyygy1233的博客
06-11 1618
现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它实效。可谓,将计就计,还治其人。 下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下: 第一步:先建
注册表的基础操作
ljw0001_2022的博客
09-11 2200
第五步——(第二部新建的新建项)下新建项command,修改值为.exe可执行文件文件路径+%1,如"D:\Program Files\JetBrains\IntelliJ IDEA 2018.2.8\bin\idea64.exe" “%1”第二步——找到路径计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 新建字符串值。第三步——修改新建的字符串值(#新项1)名字为任意名字(你需要新建的启动项的名字)
深入理解Windows注册表:结构、应用与安全
玩转注册表,不仅要熟悉其内在逻辑,还要学会如何安全地使用regedit.exe,避免对系统造成不可逆的损害。通过全面学习和实践,用户能够优化系统性能,实现个性化配置,从而让Windows系统发挥出最大的效能。注册表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值