2.4 针对注册表的攻防

最新推荐文章于 2022-10-20 10:18:37 发布
最新推荐文章于 2022-10-20 10:18:37 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 网络攻击与防御实训 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/125783688
版权

1、预备知识:注册表

        注册表和组策略是Windows系统提供的两个对系统参数进行配置的应用服务。其中,修改组策略的本质是修改注册表的键值。

(1)注册表的概念

        从用户的角度看,注册表系统由注册表数据库和注册表编辑器两部分组成。其中,注册表数据库包括SYSTEM.DAT和USER.DAT两个文件。SYSTEM.DAT用来保存计算机的系统信息;USER.DAT用来保存每个用户的特定信息。注册表编辑器(rededit.exe)是一个专门用来编辑注册表的程序,使用它来进行注册表的基本浏览、编辑和修改操作。注册表的架构采用树形结构:子树目录、键与子键、数值。

        1)子树目录。也称根文件夹或者根键。其中,HKEY_LOCAL_MACHINE保存着本地计算机的设置数据,如硬件设置、设备驱动程序设置等信息,系统利用这些设置值来决定如何启动与设置计算机环境;HKEY_CLASSES_ROOT下保存着程序的文件类型关联信息,以及COM对象的设置数据;HKEY_CURRENT_USER下保存着当前登录者的用户配置文件,如用户的桌面设置、网络驱动器、网络打印机等;HKEY_USERS下保存着多个子键,其中“.DEFAULT”表示启动时显示“按Ctrl+Alt+Delete”登录窗口,“当前登录者的SID”保存着当前登录者的用户配置文件;HKEY_CURRENT_CONFIG下保存着当前的硬件配置文件数据。

        2)键与子键。键与子键之间的关系就相当于文件夹与子文件夹之间的关系,即在键下可以创建数值与子键。简单的将,在注册表左侧窗口中前面带“+”或“-”的项都称为键,而子树目录下创建的键称为子键。

        3)数值。每一条数值内包含数值名称、数值类型和数值数据三部分。不同的windows版本注册表支持的数据类型不同,下表列出了Windows server 2012支持的数据类型及说明:

windows server 2012支持的数据类型及说明
    数据类型                                    说    明
REG_SZ单一字符串
REG_MULTI_SZ多重字符串
REG_BINARY

二进制数值

REG_DWORD32位数值
REG_QWORD64位数值
REG_EXPAND_SZ包含变量(如%systemroot%)的字符串

(2)注册表的安全设置

        由于注册表的重要性,系统管理员可以通过加固注册表来提高系统的安全性,防止攻击者提高修改注册表来破坏系统。攻击者在入侵目标系统后提高权限提升拥有对注册表的修改权限,再通过修改注册表实现对系统的攻击或为下一次攻击做好准备。主要操作有:

        1)禁用注册表编辑器。在windows系统安装结束后,用户可以使用注册表编辑工具regedit.exe对注册表进行修改,存在较大安全隐患。对于提供信息服务的重要系统,可以通过禁止用户使用注册表编辑工具来提高系统的安全性。

        具体实现方法:运用注册表编辑工具regedit.exe,打开“注册表编辑器”窗口,依次展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polices\System,在“System”键(没有就新建一个)下新建一个子键“DisabkeRegistryTools”,将“数值数据”设置为“1”即可(系统默认0)。

        2)限制对注册表的远程访问。由于注册表是Windows系统的核心,而且默认情况下所有安装Windows操作系统的计算机注册表在网络上都是可以被访问的,攻击者完全可以利用这个漏洞来对目标主机进行注册表攻击,修改文件内容,插入恶意代码。为了保护Windows操作系统的安全,可以禁止对注册表的远程访问。具体方法是:在本地“服务”列表中找到“Remote Registry”服务,将其“启动类型”设置为“禁用”即可。

        3)禁用注册表的启动项。一些恶意代码或攻击程序通过注册表的启动项(RUN值)来加载运行。出于安全考虑,可以在注册表编辑器中依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run,将子键“RUN”的权限设置为“读取”,取消对“完全控制”权限的选择。

2、实验清单

        windows server 2003、Filemon、directory monitor、regmon

3、实验步骤

(1)运行file.exe文件,运行该文件之后,该文件会将所有与文件相关的操作全部记录下来,选项栏以此是序号、时间、进程、请求、路径等。

(2)如果需要查看相关的进程,可以在选取了指定进程后右击,在出现的快捷菜单中选择“进程属性”选项;

(3)双击某个进程,可以打开该进程所在的文件夹;

(4)复制某个文件夹,运行directorymonitor.exe,新增监视项

(5)对监视的文件夹进行修改、访问、删除等都会被记录下来;

(6)运行regmon.exe, 可以查看注册表信息;

 (7)双击任意进程,可以看到该进程所在注册表的具体位置。

 

PT_silver
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【建议收藏】Windows注册表运行键安全攻防指南
HBohan的博客
08-24 612
Windows注册表是一个庞大而复杂的话题,因此,我们根本不可能通过一篇文章讲清楚。然而,从安全的角度来看,一个特别值得关注的领域是注册表运行键。在这篇文章中,我们将探讨谁在使用运行键,如何发现该键的滥用情况,以及如何根除系统中的恶意运行键。 运行键简介 什么是注册表运行键?运行键是注册表的一种开机运行机制:当用户登录或机器启动时,在Windows系统上执行一些程序。 由于运行键很容易引发安全问题,所以,它自然会成为攻击者的研究对象。例如,Fancy Bear(也被称为APT28)、TA456和Group
【通过注册表让黑客攻击无所遁形】
南山鹿场
06-19 656
在网络给我们的工作学习带来极大方便的同时,病毒、木马、后门以及黑客程序也严重影响着信息的安全。这些程序感染计算机的一个共同特点是在注册表中写入信息,来达到如自动运行、破坏和传播等目的。以下是笔者在网上收集的,通过修改注册表来对付病毒、木马、后门以及黑客程序,保证个人计算机的安全。   1.清理访问“网络邻居”后留下的字句信息   在HEKY_CURRENT_USERNetworkRec
windows常用注册表学习以及攻防利用(保姆级教学)
qq_59950255的博客
06-18 3750
windows注册表学习前言什么是注册表注册表结构注册表里根键基本介绍常见攻防中利用1.远程桌面服务2.RID劫持(前文已经写过,具体可以参考前文,这里只做简单介绍)3.自启动(木马,蠕虫常会利用)4.隐藏账户检查5.文件关联 前言 windows注册表,用途十分的广泛,在权限维持中发挥了重要的作用,同时许多木马也是通过修改注册表信息,达到开机启动,隐藏进程。所以学习注册表知识十分有必要 什么是注册表 注册表本质上是一个数据库,储存了windows系统和应用程序的设置信息。 注册表结构 输入win+r打开c
Filemon
imJaron的博客
09-22 1364
Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。用途监视文件系统的性能,并且报告代表逻辑文件、虚拟内存段、逻辑卷和物理卷的I/O活动 。 命令: filemon [ -d ] [ -i T
filemon使用实例
weixin_33725807的博客
02-13 473
filemon使用实例 RegMon的大名想必对大多数玩家们来说是如雷贯耳,随便打开一台老鸟们的电脑,发现就像发现酷爱运动的人随身带一把瑞士×××一样简单。用RegMon 可以监视各种程序对注册表的种种操作,所以喜欢修改注册表的各位老鸟们,自然是随身得带上这样一把“瑞士×××”的了。   不过,今天的主角不是RegMon,而是RegMon的同门兄弟FileMo...
修改注册表防范DDOS攻击的方法
ysf0181的专栏
05-10 1330
注册表是一个服务器系统的核心,它不但能对服务器的功能进行配置,而且还能有效缓解一部分DDoS的攻击,下面我们就详细介绍一下如何利用注册表防御DDoS攻击的方法,在高防服务器的基础上,更能增加DDoS的防御性,但是需要注意的是,该设置的性能取决于服务器的配置,尤其是CPU的处理能力,如果你所租用的高防服务器为至强2.4G或以上,那么通过注册表防御能够将防御的性能提升承受1万个包的攻击量。 注册表防御...
SQLSERVER2008针对注册表项一致性验证失败处理方法
01-14
安装sql2008时,注册表项一致性验证失败的处理方法。
google浏览器注册表配置
最新发布
11-07
标题中的“google浏览器注册表配置”指的是在Windows操作系统中,通过修改注册表来实现Google浏览器的顺利安装或优化其运行环境。注册表是Windows系统中存储配置信息的关键数据库,包括软件设置、硬件设备配置等。当...
WINDOWS修改注册表日期格式
09-24
日期格式为yyyy-MM-dd HH:mm:ss,由于sqlserver日期格式要求,系统日期时间有误
使用PowerShell修改注册表
01-20
下面的例子里, PowerShell修改了注册表键值, 完成了Security loop disable, 和loopbackcheck disable. 代码如下: #Security loop disable so that you can look at it on the same machine if(($gchn = Get-Item...
filemon regmon 系统文件监视 注册表监视
06-14
filemon regmon 系统文件监视 注册表监视
windowsIPC$telnet 注册表入侵
10-12
windowsIPC$telnet 注册表入侵
C语言实现遍历注册表
01-31
在IT领域,尤其是在系统编程和软件开发中,对注册表的操作是至关重要的。注册表是Windows操作系统中的一个重要组件,它存储着系统配置、应用程序设置和硬件设备信息等关键数据。本篇文章将深入探讨如何使用C语言来...
内网渗透-----权限分析及防御
qq_43590351的博客
10-20 3038
内网权限提升及防御
计算机注册表常用知识
qq_53162179的博客
02-21 4471
一.打开注册表编辑器 1.开始——>运行———>对话框中输入regedit——>确定 2.windows键+R——>对话框中输入regedit——>确定 二.注册表基本构成 层次分明:根键——>主键——>子键 根键: 1.HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息,只是一个公共配置信息单元,对于读者来说,只需做一个大致的了解即可。 HKEY_LOCAL_MACHIN..
FileMon、REGMON使用实例.mht
weixin_34205826的博客
05-04 118
test希望对大家有用 转载于:https://blog.51cto.com/xiaofei/25701
c语言熊猫病毒源代码,病毒:注册表的认识以及用c语言编写一个“百分之一熊猫烧香”...
weixin_32389427的博客
05-22 1374
众所周知,熊猫烧香是一个威力强大的病毒.曾经的电脑只要被感染以后就只有重装系统这条路. 当然,现在可能对这种病毒已经有所防御,所以威胁没有以前那么大了. 熊猫烧香一个比较明显的特点就是会感染所有exe可执行文件. 当然,其他一些功能也很牛逼,但是无奈我水平有限,目前只能做到感染exe文件.不过如果你们愿意,可以将电脑上的任何类型文件进行感染,我这次仅仅是用exe文件做示范.一.预先要知道的东西我们...
[转]基于注册表的网络攻击分析及解决方案
小枫晚归
06-21 453
源地址:http://www.suzhou.cyberpolice.cn/shownews.asp?id=242 =====================================================================   在上网过程中,有人不慎浏览一些恶意不良网站,这些网站通过网络对用户的注册表进行恶意的攻击,强行修改用户的IE,指向恶意的连接,改写主页地...
通过修改注册表来增强系统抵抗DDOS攻击[1]
蓄势待发
07-24 510
 防范DDOS攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -an more或者网络综合分析软件:sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。如果

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值