Windows注册表的危险源安全配置总结

最新推荐文章于 2023-01-27 11:44:45 发布
最新推荐文章于 2023-01-27 11:44:45 发布
阅读量892 收藏 3
点赞数
分类专栏: windows操作系统 文章标签: windows 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiye622/article/details/106793510
版权

** 映像劫持*
就是Image File Execution Options(其实应该称为“Image Hijack”。)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
简单来说就是当目标被映像劫持时,当我们启动程序是劫持后的程序而不是原来的程序。操作也简单,在注册表的HKEY_LCOAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current\Image File Option下添加一个项sethc.exe,然后在sethc.exe这个项中添加debugger键,键值为我们恶意程序的路径,如下图:

在这里插入图片描述
注册表自启动项
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_
LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Policies\Explorer\Run],也要仔细查看。
B.RunOnce键
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft
Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
用户登录初始化
Userinit的作用是用户在进行登录初始化设置时,WlinLogon进程会执行指定的login scripts,所以我们可以修改它的键值来添加要执行的程序,注册表路径为:HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVerion\Winlogon\Userinit,添加需要自启动的程序,多个程序用逗号隔开
在这里插入图片描述
Logon Scripts
Logon Scripts优先于av先执行,我们可以利用这一点来绕过av的敏感操作拦截注册表路径为:HKEY_CURRENT_Environment,创建一个键为:UserInitMprLogonScript,其键值为我们要启动的程序路径在这里插入图片描述

最低0.47元/天 解锁文章
qiye622
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注册表简介和基础学习】
LongShuai0071的博客
08-24 6929
注册表概念:Windows的核心,存储着计算机的软、硬件配置信息,对计算机的所有操作都需要对注册表进行读写早期注册表:system.ini和win.ini(以.ini为扩展名的文件成为配置文件,保存计算机的配置信息)注册表文件:default、sam、security、software、system、userdiff;NTUSER.DAT注册表存储位置:%SystemRoot%\System32\config(C:\windows\System32\config)
注册表删除,重置时间
m0_46643324的博客
10-06 573
2.HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Data文件中所有只含一个info的文件全部删除。
Navicat12已过试用期(win10注册表解决办法)
weixin_40918145的博客
03-11 9826
关闭Navicat Win + R,输入regedit回车 删除HKEY_CURRENT_USER\Software\PremiumSoft\Data——这里是删除data整个文件夹。 展开HKEY_CURRENT_USER\Software\Classes\CLSID——这里是展开CLSID。 展开每一个子文件夹,如果里面只包含一个名为Info的文件夹,就删掉它。——这里是删掉整个info...
windows11改老版右键显示
最新发布
希望有点用
01-27 1591
windows11改老版右键显示
注册表删除方式解决Navicat到期问题
liuxuexiaoxiao的博客
06-22 1万+
1.关闭Navicat程序。 2.键盘按键win+R,输入regedit调出Windows系统注册表。 3.删除HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Data: 4.展开HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID,然后展开每一个子文件夹查看,如果里面只包含一个名为Info的文件夹,就删掉它: ...
Windows Server 2008R2做NTP服务器
12-20
Windows Server 2008R2作为网络时间协议(NTP)服务器的配置是一个关键步骤,确保网络中的设备保持精确的时间同步。NTP是互联网上广泛使用的标准,它允许计算机通过网络校准时间,这对于多台设备之间的协调操作至关...
注册表修改大全(作者:Sunny)
03-14
“控制面板”和“打印机”是Windows98系统配置的一个重要组成部分,为了避免让别人随便修改,可以将“设置”菜单中的“控制面板”和“打印机”选项禁用。 打开HKEY_CURRENT_USER\Software\Microsoft\Windows\...
VC写的注册表监控程序
09-12
注册表Windows操作系统中的一个重要组件,存储着系统配置信息和应用程序的设置数据。这个程序可能是为了帮助用户追踪和管理注册表的变化,或者用于调试和安全检测。 【描述】提到的"运行KeXTray.exe即可,含详细...
WINDOWS技巧全集
02-01
- **注册表编辑**:虽然危险,但理解基本的注册表编辑技巧可以帮助解决某些问题,不过务必谨慎操作。 2. **Windows 2000**: - **文件和文件夹权限**:在NTFS文件系统中,了解如何设置用户权限,确保数据安全。 ...
windows运行命令
11-17
3. **`regedit`**: 打开注册表编辑器,这是一个危险但功能强大的工具,可以查看和修改系统的注册表设置。修改前务必备份,以免造成系统问题。 4. **`control`**: 打开控制面板,用户可以在这里设置系统配置,如网络...
Windows11右键菜单太烦人,简单几步即可恢复旧版完整菜单
热门推荐
CUFEECR的博客
02-08 3万+
Windows 11已经推出一段时间了,相比Windows 10,界面确实美观了不少,同时也有很多新的设计。但是并不是每个人都能很快适应这种新设计。被广泛吐槽的一点就是右键菜单的改变,增加了显示更多选项 ,原来的很多右键选项被隐藏起来了,原本经常要用到的很多功能就需要点击显示更多选项才能展开,显然就很麻烦。选择使用修改注册表的方式来还原为原来的右键菜单:先打开注册表;(并找到注册表CLSID路径;右键点击CLSID项,新建一个项,在新建的项上再新建一个项,再双击回车新建项的默认条目,保存重启即可生效。
win11启用旧右键菜单(不折叠)的方案,亲测有效
haoxiaozi539的专栏
07-13 1万+
win11启用旧右键菜单(不折叠)
Win10桌面右键,显示设置报错,解决办法
linglongbayinhe的博客
11-22 2649
不知道自己装了什么,突然有一天右键显示设置报错了。 几经查询找到了如下办法: 1,Win+R,输入 regedit,进入注册表。 2,注册表找到对应文件。位置:HKEY_CURRENT_USER\Software\Classes\ms-settings。重命名ms-settings(如 重命名为ms-settings1) 大功告成! 现在,在桌面上右键,然后点开显示设置就能看到了! -------------------------------------------..
Navicat Premium 12注册表
wangchen24的博客
03-28 2598
手动方式 关闭Navicat Win + R,输入regedit回车 删除HKEY_CURRENT_USER\Software\PremiumSoft\Data——这里是删除data整个文件夹。 展开HKEY_CURRENT_USER\Software\Classes\CLSID——这里是展开CLSID。 展开每一个子文件夹,如果里面只包含一个名为Info的文件夹,就删掉它。——这里是删掉整个info所在的文件夹,而不是删掉info文件夹。 脚本方式 @echo off ::reg dele.
注册表编辑器没有html,win7系统注册表没有HKEY_CURRENT_USER\Software\Classes\.html该如何处理?...
weixin_39959298的博客
06-15 1488
win7系统注册表没有HKEY_CURRENT_USER\Software\Classes\.html该如何处理?好多小伙伴打开win7 32位系统注册表找不到HKEY_CURRENT_USER\Software\Classes\.html,一般文件类型可以在文件扩展名中看到,而扩展名会对应在注册表里面。那么有什么办法可以找回此文件?接下去一起看看具体方法。解决方法:1、在桌面右键点击新建一个文本...
注册表内容+危险操作内容+安全配置
DrzhongYu的博客
06-17 1004
windows注册表 一、什么是注册表 注册表windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息,从而方便了管理,增强了系统的稳定性。 二、注册表的功能 刚才我们看到了,注册表
梳理注册表的一些危险操作,注册表安全配置,以及对于注册表总结
Duncelhy的博客
06-16 2387
本次文章为大家梳理一些注册表常见的危险操作,希望可以帮大家规避一些在日常使用中可能会遇到的问题。 映象劫持IFEO(Image File Execution Options) 在低版本的windows中,我们可以简单地替换程序,但是在高版本的windows中替换的文件收到了系统的保护,所以这里我们要使用另外一个知识点:“映像劫持”。 是为一些在默认环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修
Windows注册表操作系统安全
"Windows注册表在系统安全中的重要性,以及相关的硬件安全保护技术和操作系统安全概念" Windows注册表操作系统的核心组成部分,它存储着系统和应用程序的各种配置信息,包括用户设置、硬件描述、软件安装路径...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值