注册表安全防护工具

于 2023-03-20 19:00:49 发布
阅读量309 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/npu_nazi/article/details/129673626
版权

一.实验目的

本次实验主要通过编程实现注册表子键的创建、删除,以及子键键值查询和

修改功能,加深对注册表的理解。同时了解注册表在微软系统安全方面的作用,

深入分析注册表部分关键键值的功能(如系统启动项,文件关联等注册表键值)。

深刻理解在注册表安全防护方面的实现原理后,设计注册表安全防护工具。

二.实验内容及步骤

0. 本实验我是用python完成,并打包了exe。

1. 学习使用winreg包创建,修改,删除注册表键中的明明值项。

winreg打开注册表键

#打开指定的键,返回一个处理对象

winreg.OpenKey(key, sub_key, reserved=0, access=winreg.KEY_READ)

winreg.OpenKeyEx(key, sub_key, reserved=0, access=winreg.KEY_READ)

#key:HKEY_ 常量

#sub_key:指定键的子键

#reserved:一个保留的证书,必须是零。默认值为零

#access:访问权限

winreg创建新的注册表键

winreg.CreateKey(key,sub_key)

winreg.CreateKeyEx(key,sub_key,reserved=0,access=winreg.KEY_WRITE)

#key:HKEY_ 常量

#sub_key:指定键的子键

#reserved:一个保留的证书,必须是零。默认值为零

#access:访问权限

winreg删除注册表中指定的键

winreg.DeleteKey( key,sub_key) #不能删除带有子项的键

winreg.DeleteKeyEx(key,sub_key,reserved=0,access=winreg.KEY_WOW64_64KEY)#不能删除带有子项的键

winreg.DeleteValue(key, value)#从某个注册键中删除一个命名值项

#用法与上面相同,只是结果是删除罢了

winreg枚举注册表键

winreg.EnumKey(key,index) #枚举打开的注册表键的子键,并返回一个字符串

winreg.EnumValue(key,index)#枚举打开的注册表键值,并返回一个元组

#index:一个整数,用于标识所获取键的索引

winreg刷新注册表键

winreg.FlushKey(key)  #同步某个键的所有属性写入注册表

2. 使用PyQt编写GUI, 并编写后端代码。详情见附件。

三.实验结果

1. 注册表增删改工具:(具体修改的位置为SOFTWARE\test2\test2)

创建:

修改:

 

删除:

删除失败(命名值项不存在):

 

2. 注册表安全防护工具:

 检查:

修复:

启动项增删改:

四.实验总结

通过本次实验,学习了增删改查注册表, 增强了安全防护意识.

五.程序源码

1.注册表编辑器

from __future__ import print_function
import winreg
import ctypes
import sys

from PyQt5 import QtWidgets
from PyQt5.QtWidgets import QMainWindow
from StaticUI.registerMainWindow import Ui_MainWindow


class MainWindow(QMainWindow, Ui_MainWindow):
    def __init__(self):
        super(MainWindow, self).__init__()
        self.setupUi(self)
        self.bind_button()

    def bind_button(self):
        self.pushButton.clicked.connect(self.create_registry_value)
        self.pushButton_2.clicked.connect(self.modify_registry_value)
        self.pushButton_3.clicked.connect(self.delete_registry_value)
        pass

    def create_registry_value(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            second_name = self.lineEdit_3.text()
            second_value = self.lineEdit_4.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, "Software\\test2\\test2", 0,
                                       winreg.KEY_WRITE)
            winreg.SetValueEx(new_key, first_name, 0, winreg.REG_SZ, first_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  创建成功!")
            winreg.SetValueEx(new_key, second_name, 0, winreg.REG_SZ, second_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(second_name + "  创建成功!")
        except Exception:
            self.textEdit.append("创建失败!")

    def modify_registry_value(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            second_name = self.lineEdit_3.text()
            second_value = self.lineEdit_4.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, "Software\\test2\\test2", 0,
                                       winreg.KEY_WRITE)
            winreg.SetValueEx(new_key, first_name, 0, winreg.REG_SZ, first_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  修改成功!")
            winreg.SetValueEx(new_key, second_name, 0, winreg.REG_SZ, second_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(second_name + "  修改成功!")
        except Exception:
            self.textEdit.append("修改失败!修改的命名值项可能不存在!")

    def delete_registry_value(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            second_name = self.lineEdit_3.text()
            second_value = self.lineEdit_4.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, "Software\\test2\\test2", 0,
                                       winreg.KEY_WRITE)
            winreg.DeleteValue(new_key, first_name)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  删除成功!")
            winreg.DeleteValue(new_key, second_name)

            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(second_name + "  删除成功!")
        except Exception:
            self.textEdit.append("删除失败!删除的命名值项可能不存在!")


def is_admin():
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False


if __name__ == '__main__':
    if not is_admin():
        if sys.version_info[0] == 3:
            ctypes.windll.shell32.ShellExecuteW(None, "runas", sys.executable, __file__, None, 1)
    else:

        app = QtWidgets.QApplication(sys.argv)  # 初始化app
        test = MainWindow()
        test.show()
        sys.exit(app.exec_())

2.注册表安全防护工具

from __future__ import print_function
import winreg
import ctypes
import sys

from PyQt5 import QtWidgets
from PyQt5.QtWidgets import QMainWindow
from StaticUI.registerProtection import Ui_MainWindow


class MainWindow(QMainWindow, Ui_MainWindow):
    def __init__(self):
        super(MainWindow, self).__init__()
        self.setupUi(self)
        self.bind_button()
        self.txt = True
        self.ie = True
        self.word = True

    def bind_button(self):
        self.pushButton.clicked.connect(self.check)
        self.pushButton_2.clicked.connect(self.repair)
        self.pushButton_5.clicked.connect(self.create_registry)
        self.pushButton_3.clicked.connect(self.alter_registry)
        self.pushButton_4.clicked.connect(self.delete_registry)
        pass

    def check(self):
        self.textEdit.append("一. 查询Windows启动项:")
        try:
            key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE,
                                 r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
                                 access=winreg.KEY_READ)
            i = 0
            while True:
                name, value, reg_type = winreg.EnumValue(key, i)
                self.textEdit.append(str(name) + " :  " + str(value))
                i += 1
        except WindowsError:
            winreg.CloseKey(key)
            self.textEdit.append("Index end!")
        self.textEdit.append("\n二. 查询问本文文件txt关联情况:(win11)")
        try:
            key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE,
                                 r"SOFTWARE\Classes\txtfilelegacy\shell\printto\command",
                                 access=winreg.KEY_READ)
            i = 0
            name, value, reg_type = winreg.EnumValue(key, i)
            self.textEdit.append(str(name) + " :  " + str(value))
            if str(value) == "%SystemRoot%\system32\\notepad.exe /pt \"%1\" \"%2\" \"%3\" \"%4\"":
                self.textEdit.append("文本文件关联正确.")
                self.txt = True
            else:
                self.textEdit.append("文本文件关联错误!!!")
                self.txt = False
        except WindowsError:
            winreg.CloseKey(key)
            self.textEdit.append("Index end!")
        self.textEdit.append("\n三. 查询IE主页关联情况:")
        try:
            key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE,
                                 r"SOFTWARE\Microsoft\Internet Explorer\Main",
                                 access=winreg.KEY_READ)
            i = 0
            while True:
                name, value, reg_type = winreg.EnumValue(key, i)
                if str(value) == "http://go.microsoft.com/fwlink/p/?LinkId=255141":
                    self.ie = True
                    self.textEdit.append(str(name) + " :  " + str(value))
                    self.textEdit.append("IE主页关联正确.")
                    break
                i += 1
        except WindowsError:
            self.textEdit.append("IE主页关联错误!!!")
            self.ie = False
            winreg.CloseKey(key)
            self.textEdit.append("Index end!")
        self.textEdit.append("\n三. 查询Word关联情况:")
        try:
            key = winreg.OpenKey(winreg.HKEY_CLASSES_ROOT,
                                 r"Word.Document.12\shell\Open\command",
                                 access=winreg.KEY_READ)
            i = 0
            name, value, reg_type = winreg.EnumValue(key, i)
            self.textEdit.append(str(name) + " :  " + str(value))
            if str(value) == "\"C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE\" /n \"%1\" /o \"%u\"":
                self.textEdit.append("Word文件关联正确.")
                self.Word = True
            else:
                self.textEdit.append("Word文件关联错误!!!")
                self.Word = False
        except WindowsError:
            winreg.CloseKey(key)
            self.textEdit.append("Index end!")

    def repair(self):
        if not self.txt:
            try:
                if not self.txt:
                    key = winreg.OpenKey(winreg.HKEY_LOCAL_MACHINE,
                                         r"SOFTWARE\Classes\txtfilelegacy\shell\printto\command",
                                         access=winreg.KEY_WRITE)
                    winreg.SetValueEx(key, "", 0, winreg.REG_EXPAND_SZ,
                                      "%SystemRoot%\system32\\notepad.exe /pt \"%1\" \"%2\" \"%3\" \"%4\"")
                    winreg.FlushKey(key)
                if key is not None:
                    self.textEdit.append("文本文件关联修复成功!")
            except Exception:
                self.textEdit.append("文本文件关联修复失败!")
        else:
            self.textEdit.append("txt文件关联正确!")

        if not self.ie:
            pass
        else:
            self.textEdit.append("IE主页关联正确!")
        if not self.word:
            pass
        else:
            self.textEdit.append("Word文件关联正确!")

    def create_registry(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 0,
                                       winreg.KEY_WRITE)
            winreg.SetValueEx(new_key, first_name, 0, winreg.REG_SZ, first_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  创建成功!")
        except Exception:
            self.textEdit.append("创建失败!")

    def alter_registry(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 0,
                                       winreg.KEY_WRITE)
            winreg.SetValueEx(new_key, first_name, 0, winreg.REG_SZ, first_value)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  修改成功!")
        except Exception:
            self.textEdit.append("修改失败!命名值项可能不存在!")

    def delete_registry(self):
        try:
            first_name = self.lineEdit.text()
            first_value = self.lineEdit_2.text()
            new_key = winreg.OpenKeyEx(winreg.HKEY_LOCAL_MACHINE, r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 0,
                                       winreg.KEY_WRITE)
            winreg.DeleteValue(new_key, first_name)
            winreg.FlushKey(new_key)
            if new_key is not None:
                self.textEdit.append(first_name + "  删除成功!")
        except Exception:
            self.textEdit.append("删除失败!命名值项可能不存在!")
        pass


def is_admin():
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False


if __name__ == '__main__':
    if not is_admin():
        if sys.version_info[0] == 3:
            ctypes.windll.shell32.ShellExecuteW(None, "runas", sys.executable, __file__, None, 1)
    else:

        app = QtWidgets.QApplication(sys.argv)  # 初始化app
        test = MainWindow()
        test.show()
        sys.exit(app.exec_())

西瓜刀盹了
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
注册表锁定工具
11-24
此软件可以用于锁定系统注册表指定项目,使之无法被病毒或者其它软件更改,以维护系统的稳定性,适用于干净的已装完各类常用软件的情况下使用。软件内置了十余项最易被各类病毒感染的注册表的位置,通过锁定这些项目,可以很方便的阻挡各类病毒的扩散和入侵。列表文件可以自行修改以适应自己的需要。 运行环境:xp/2003/win7。 备注:如果您需要更改各个项目或者需要自行扩展或修改列表,可以在软件启动后用工具栏的保存按钮保存一下,列表会以名为Registry.dat文本文件保存于软件同一目录,你可以按自己的需要用记事打开这个文件自行修改,每一行一项,格式如下 1或0|说明项|注册表项 最前面的1或0表示是否默认是否选定此项目。 当有Registry.dat存在于软件同一目录下时,软件启动时会先从此文件读取。 静默已加入,参数/s /L 为静默加锁,/s /u为静默解锁
注册表专用防火墙,防止注册表被病毒修改
08-25
注册表专用防火墙,保护注册表的必备工具,可以有效保护你的注册表不被病毒修改!
VC:注册表与软件保护(CRegKey)
acass424022的博客
10-16 121
1、初始化函数中: CRegKey reg,reg2; DWORD dValue; CString str; extern BOOL flag; LPCTSTR lp="Software\\num\\"; if(reg.Open(HKEY_CURRENT_USE...
注册表保护
dingchangkejigongsi的博客
05-18 691
注册表保护(对指定的键值和项:禁止修改、删除、添加,支持xp\win7\win8\win8.1)。这里面用的技术主要采用的是主流的callback。 探讨加QQ:2740458587
Windows 文件保护注册表设置
Purpleendurer@CSDN
02-26 1504
http://support.microsoft.com/kb/q222473/察看本文应用于的产品function loadTOCNode(){} 文章编号 : 222473 最后修改
注册表Windows文件防护工具
08-08
在标题提到的"注册表Windows文件防护工具"中,很可能包含了一系列脚本或注册表项,用于关闭或调整文件防护的提示。这些工具可能包括: 1. **禁用文件防护弹窗**:通过修改`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\...
注册表取证工具.zip
10-20
注册表是Windows操作系统中的核心数据库,它存储了系统和应用程序的各种配置信息,包括硬件设备、软件设置、用户首选项等。注册表取证是网络安全和...因此,深入理解和使用这类工具对于提升网络安全防护能力至关重要。
注册表清理工具.zip
12-18
注册表清理工具是一款用于优化和维护计算机系统性能的软件,主要功能是对Windows操作系统中的注册表进行深度扫描,找出无效、过期或者错误的条目,然后进行修复或删除,以提高系统运行速度和稳定性。注册表是Windows...
可移动存储设备安全防护工具 USB Disk Security 6.6.0 中文多语免费版.zip
05-11
可移动存储设备安全防护工具 USB Disk Security 中文版可移动存储设备安全防护工具 USB Disk Security 中文版 USB Disk Security 软件亮点 1 USB Disk Security使用主动防御的方法阻止U盘病毒传播,阻止一切利用USB...
注册表桌面解锁直达工具
07-19
1. **安全使用**:尽管该工具能方便地解锁和查找注册表项,但直接修改注册表可能导致系统不稳定甚至崩溃。因此,使用前应确保备份重要的系统数据,并谨慎操作。 2. **键值路径**:输入全路径时,确保准确无误,因为...
禁止修改注册表 保护注册表的软件
05-03
禁止修改注册表 保护注册表的软件,可以防止病毒的侵袭,很实用的,有时候杀毒软件不一定好过他!
kis专业版维护工具
03-22
kis专业版维护工具1.6.1,网络上找到的,感觉还可以,大家可以试试。
kis/k3维护工具合集(超实用)
01-15
集齐kis/k3维护人员日常维护工具 查sa密码,查用户密码,年结等
KIS维护工具V1.4.8
03-23
这个是现在的最新版本 用过的人都知道好不好
利用CmRegisterCallback函数在Windows下保护注册表
diveintokernel的专栏
03-31 4318
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
注册表回调与注册表保护
qq_41490873的博客
01-30 793
#include <ntifs.h> #include<ntddk.h> #include <stdio.h> WCHAR KeyPath[1024] = { 0 }; WCHAR KeyName[128] = { 0 }; NTSTATUS RegisterCallBack( _In_ PVOID CallbackContext, _In_opt_ PVOID Argument1, _In_opt_ PVOID Argument2 ) { NTSTATUS stat
注册表清理工具
ko__ng的博客
03-13 7940
一款好用的注册表清理工具 有需要的可以下载 链接:https://pan.baidu.com/s/1-0cKGlYcgi-Aw9ETrVn-jw 提取码:fomc
病毒分析与防护实验1——注册表操作
郭同学如是说
03-05 4013
E01814234郭佳明——注册表操作 实验名称:病毒分析与防护——注册表操作 实验环境 VMware workstation pro Windows 10 虚拟机 实验目的 了解病毒传播的常见行为 了解注册表在病毒行为设置中的作用 实验原理 注册表是windows操作系统中使用的中央分层数据库,存储用户、应用程序和硬件设备配置系统所需要的信息。这些信息以树状结构存储在注册表(数据库)中。包括:用户的配置文件、安装的应用程序以及应用程序创建的文档类型、文件夹和应用程序图等、系统上存在哪些硬件
在应用程序中操作注册表
风行天下
08-10 1657
一、使用 Visual Basic .NET 函数访问注册表       如下:DeleteSetting从注册表中应用程序的项目中删除一段或一个项设置。GetSetting从注册表中应用程序的项目中返回一个项设置值。GetAllSettings从注册表中应用程序的项目中返回项设置及其值的列表。SaveSetting在注册表中创建或保存一个应用程序项目       SaveSetting("Acc
深入理解注册表防护与修复指南
- **注册表编辑器**:Windows自带的regedit工具是管理和查看注册表的主要工具,但误操作可能会导致系统不稳定甚至崩溃,因此使用时需谨慎。 - **备份与恢复**:定期备份注册表是防止意外修改造成损失的重要步骤,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值