windows注册表详解
今日鸡汤
立于皓月之变,不弱星光之势。
一:windows注册表结构
Windows注册表是Windows操作系统中的一个关键组件,用于存储系统和应用程序的配置信息。注册表是一个层次结构的数据库,它由多个键(key)和值(value)组成。
1.注册表的基本结构:
- 根键(Root Keys):注册表的最顶层包含5个根键,分别是
跟键的详细介绍
-
HKEY_CLASSES_ROOT(HKCR):包含文件扩展名与相应应用程序之间的关联信息,以及系统中注册的COM组件和类的信息。
-
HKEY_CURRENT_USER(HKCU):存储当前用户的个人配置信息,如桌面背景、文件夹选项等。
-
HKEY_LOCAL_MACHINE(HKLM):存储计算机的全局配置信息,如硬件、操作系统设置等。
-
HKEY_USERS(HKU):存储每个用户的配置信息,每个用户都有一个对应的子键。
-
HKEY_CURRENT_CONFIG(HKCC):存储当前计算机的硬件配置信息。
-
子键(Subkeys):根键下可以有多个子键,用于进一步组织和存储配置信息。子键可以有多级嵌套关系,形成一个树状结构。
-
值(Values):键下可以有多个值,用于存储具体的配置数据。每个值都有一个名称和对应的数据类型,常见的数据类型包括字符串、整数、二进制数据等。
2.注册表的功能:
1.查询连接网络信息
- 无线接入点信息,记录曾连接过无线接入点信息,从而定位到无线AP的位置。HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion NetworkList\Profiles
2.查询打开文档信息
- RecentDocs键,可以通过文件扩展来跟踪系统上使用或打开的最新文档。可在以下位置进行查找:
HKEY CURRENT USERSOFTWARE Microsoft Windows CurrentVersion Explorer RecentDocs
3.查询浏览器搜索url信息
- TypedURLs键,当用户在Internet Explorer中输入URL时,该值将被存储在以下注册表中HKEY_CURRENT_USER Software Microsoft Internet Explorer TypedURLs
没有该浏览器,就不展示了。
4.查询IP,子网掩码信息
- IP地址信息,跟踪用户接口的IP地址,可以查看分配给接口的IP地址、子网掩码及DHCP服务器租用IP的时间。
可以由此信息判断攻击者在入侵或犯罪时是否使用了某个特定的IP。
HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters nterfaces
5.查询启动项信息
- 启动项信息,记录应用程序或服务在系统启动的信息。攻击者很可能会通过这种方式来启动他们在目标机器上种植的木马程序,以与远程服务器建立连接。
- 系统开机自启动项:
HKEY_LOCALMACHINE\Software\Microsoft\Windows\ CurrentVersion\Run
- 特定用户登录时启动:在以下键中,键值将在特定用户登录时运行HKEY_CURRENT_USER\Software Microsoft\Windows\CurrentVersion\Run
- .RunOnce启动: 如果攻击者只是希望软件在启动时运行一次,则可以在此设置子键HKEY LOCAL MACHINESoftware Microsoft Windows CurrentVersion RunOnce
3.注册表的保护方式
- 由于注册表是最重要的系统文件之一,因此对于它的保护和备份就特别重要。系统在每次成功启动之后都将此次启动时的注册表作一个备份。一般保护注册表安全主要是通过禁止修改注册表这是主动防御;其次对注册表进行备份,在注册表遭受入侵破坏后还原注册表。
在注册表编辑器界面,点击左上角的文件,有导入与导出,即对应还原与备份,导出时可以选择导出的范围。