注册表与木马(一)——注册表读写

最新推荐文章于 2024-04-26 20:42:24 发布
最新推荐文章于 2024-04-26 20:42:24 发布
阅读量195 收藏
点赞数
文章标签: 操作系统 数据库
原文链接:https://yq.aliyun.com/articles/604933
版权

 木马是什么?

    木马(网络程序) = 客户端程序(控制端) + 服务端(被控端)

    服务端程序开启远程后门

    客户端使用Telnet进行远程控制

    服务端程序需要在每次电脑开机时运行,这就需要在注册表中添加开机启动。

   注册表:

               木马的自启动,在Windows启动时,自动加载。

      注册表编辑器 :  RegEdit (一个有关Windows的巨大的数据库)

         

    

      

    有关注册表关于开机启动的键值可以自行百度。(除了最基础的3种,其实expleror.exe这个进程所在的键值也是病毒木马经常用来实现自启动的位置)

    

  接下来是Windows关于注册表读写的方法

      注册表内部结构:

          Key -> subkey -> value -> 名称,类型,数据

      读写函数:

         RegCreateKey()           |      RegCreateKeyEx()

         RegOpenKey()    |   RegOpenKeyEx()

         RegQueryValue()   |   RegQueryValueEx()

         RegDeleteKey()     |    RegDeleteKeyEx()

         RegCloseKey()      |

                                                 (分为新旧两种)

   

 

   读取实例  读取CPU信息 :

 1 #include<stdio.h>
 2 #include<windows.h>
 3 #include<iostream>
 4 #include <tchar.h>
 5 using namespace std ;
 6 
 7 int main(){
 8     HKEY hkey ;
 9     TCHAR p[64] ;
10     long ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE,_T("HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0"),0,KEY_QUERY_VALUE,&hkey) ;
11     if(ret==ERROR_SUCCESS){
12         // 打开成功
13         cout << "Open  !" << endl ;
14         DWORD size = sizeof(p) ;
15         ret = RegQueryValueEx(hkey,_T("ProcessorNameString"),NULL,NULL,(LPBYTE)p,&size);
16         if(ret==ERROR_SUCCESS){
17             // 读取成功
18             cout << "Read  !" << endl ;
19             cout << p << endl;
20         }else {
21             cout << "Read error !" << endl ;
22         }
23     }else {
24         cout << "Open error !" << endl ;
25     }
26     return 0 ;
27 }

  运行结果:

 

    

  写入实例  :

  接上CPU信息读取方法,在同一 subkey 下写入键值 hello :  helloRegedit 

  代码如下:

 1 #include<stdio.h>
 2 #include<windows.h>
 3 #include<iostream>
 4 #include <tchar.h>
 5 using namespace std ;
 6 
 7 int main(){
 8     HKEY hkey ;
 9     TCHAR p[64] ;
10     long ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE,_T("HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0"),0,KEY_QUERY_VALUE,&hkey) ;
11     if(ret==ERROR_SUCCESS){
12         // 打开成功
13         cout << "Open  !" << endl ;
14         DWORD size = sizeof(p) ;
15         ret = RegQueryValueEx(hkey,_T("ProcessorNameString"),NULL,NULL,(LPBYTE)p,&size);
16         if(ret==ERROR_SUCCESS){
17             // 读取成功
18             cout << "Read  !" << endl ;
19             cout << p << endl;
20             ret = RegCreateKey(HKEY_LOCAL_MACHINE,_T("HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0"),&hkey);
21             if(ret==ERROR_SUCCESS){
22                 ret = RegSetValueEx(hkey,_T("hello"),0,REG_SZ,(const BYTE*)("helloRegedit"),12);
23                 if(ret==ERROR_SUCCESS){
24                     // 写入成功
25                     cout << "Write Ok !"
26                 }else {
27                     // 写入失败
28                     cout << "Write filed !"
29                 }
30             }
31         }else {
32             cout << "Read error !" << endl ;
33         }
34     }else {
35         cout << "Open error !" << endl ;
36     }
37     return 0 ;
38 }

运行结果:

 

 

 

 可以发现已经写入了注册表中,利用注册表的读写,可以使木马的自启动,隐藏用户等操作很容易实现

weixin_33695082
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ProcessMonitor
07-25
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且已并入微软旗下,可靠性自不用说。
【学习知识】木马病毒在windows系统中的几种启动方式 - 病毒防治中心 - 360百科
liuyukuan的专栏
11-04 1799
( Fri, 22 Aug 2008 11:26:42 +0800 )Description:如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。<br /><br />其实我们只要能破坏这些病毒的启动条件,就可以达到清除病毒的目的,为此,就本人在这方面的一些经验提供给大家,以供参考。<br /><br />病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和
[转载] 注册表实用详解(3)
Captain_Pirate的专栏
05-14 1212
三、注册表高级应用  工具软件可对注册表进行一系列的优化等操作。但碰到特殊的个案,就不灵了,还是需要我们手动进行。在对 注册表操作之前,切记切记做好备份,否则极容易“一失足成千古恨”。 (一)修改注册表表现个*   改变一般图标大小(像素):更改[HKEY-CURRENT-USER\Control Panel\desktop\WindowMetrics] ,令 S
木马爱修改的常见注册表项及其功能
晴天的专栏
02-28 2242
IE相关: 设置IE多线程下载网页的线程数: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings      MaxConnectionPerServer(字符串值)        10(设置最大同步下载连接数为10) MaxConnectionPer1_0Server(DWORD值)
【转载】病毒隐藏在注册表中的位置总结
shakatian的博客
04-14 1650
一、Run 启动项。常见的启动项如下: 1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 2、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce 3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
病毒或木马修改注册表,导执可执行文件无法执行的处理办法
C#,SQL,Castle,Hibernate,MVC,Spring.net
04-14 3193
这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.
桌面右键弹出IE的木马
Building New Life
10-19 859
<br />每天第一次开机后,在桌面点右键会弹出好几个IE广告页面,进程里还一堆iexplore.exe,很长时间都找不到原因。看样子像是文件管理器explorer.exe的插件,用procexp看了一下,都是微软自己的dll,后来终于在360用户求助里看到了。流氓软件的dll注册成一个COM组件,在右键的注册表里能看到HKEY_CLASSES_ROOT/Directory/Background/shellex/ContextMenuHandlers/{FCO94F33-9210-4A7D-AAE9-BB0
修改注册表对付病毒、木马、后门及黑客程序
eickandy的专栏
09-17 1950
修改注册表对付病毒、木马、后门及黑客程序
【警惕注册表中的木马病毒】
南山鹿场
06-30 1115
尽管如今杀毒软件已经够厉害了,但似乎还是抵挡不住病毒和木马的侵扰,特别是注册表,经常黑客或者病毒会通过它进入系统使我们财产受损,因此要警惕注册表中的病毒和木马,可是该怎么查杀呢?   一款好的杀毒软件和安全软件是怎么做出来的?   是根据流氓软件、病毒木马的行为习惯加以分析,对起可能利用的漏洞或者隐身场所加以防范。   一款“毒”的恶意软件病毒木马是怎么做出来的?   是根
木马编程DIY之注册表管理
冷风
10-20 2843
.九九重阳了,再发篇文章,意思意思..........木马编程DIY之注册表管理   文/图 冷风 前几期分别讨论了,系统服务,文件传输,网络文本语音和其它方面的内容,现在我们来讨论在木马注册表的实现,就我自己感觉在木马中对注册表的使用并不多,写其它程序时反倒用的不少.不过注册表还是比较重要的学会它不会吃亏呵呵,我们自己实现的效果如图所示一些基础开始前先了解一些基础知识,对后
processmonitor
08-11
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表读写操作过程;有了Process Monitor,使用...
计算机应用基础第一章测试题含答案.doc
06-04
计算机应用基础第一章测试题 班级____________ 姓名_____________分数_______________ 一、填空题(20分) 1、从数据中获得有意义的内容称为_____信息_______ 2、计算机系统都是由____________和___________两个部分...
【专题四】Rootkit的学习与研究
05-29
10)另一种读写进程内存空间的方法 11)完整驱动感染代码 12)Hook Shadow SSDT 13)ring0检测隐藏进程 对于rootkit的研究,涉及到的内容比较多,需要在充分学习理解这些技术的前提下,透过目前网络上出现的一些...
游戏画面就弹出内存不能为read修复工具
09-02
在使用动态分配的应用程序中,有时会有这样的情况出现:程序试图读写一块“应该可用”的内存,但不知为什么,这个预料中可用的光标已经失效了。有可能是 “忘记了”向操作系统要求分配,也可能是程序自己在某个时候...
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 461
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
指令和界面【Linux】
qq_74013365的博客
04-23 849
Linux操作系统提供了丰富的命令行界面和图形用户界面工具,用户可以根据自己的需求选择适合的界面进行操作。命令行界面更加灵活和高效,适合熟悉命令的用户;图形用户界面更加直观和友好,适合新手用户。严格意义上讲,光光学习Linux操作是远远不够的。还有系统,网络。
各大系统安装GO语言环境基本方法
赛时科技
04-26 187
请注意,上述步骤可能会根据具体的操作系统版本和Go语言版本有所不同。在安装过程中,如果遇到任何问题,建议查阅Go语言的官方文档或相关社区资源以获取帮助。安装Go语言环境主要涉及到下载和安装Go语言的编译器和工具链。来验证Go语言环境是否成功安装。如果成功安装,你将看到安装的Go语言版本号。安装完成后,你可以通过在终端或命令提示符中输入。
LINUX系统编程:动静态库的制作
最新发布
W2155的博客
04-26 119
gcc -o main mian.c -L./ -lmymath //库的名字是去掉前缀和后缀的libmymath.a mymath。例:我写了一个函数,我想让别人使用,但是并不像让使用者看到我写的代码,就可以把我的代码制作成一个库,提供给使用者。ar -rc libmymath.a add.o sub.o//-rc(crate和replace)将add.c sub.c add.h sub.h 制作成静态库。1.首先要将add.c sub.c编译生成.o文件。使用-L选项制定库的路径,-l指定库的名称。
鸿蒙 harmonyos 线程 并发 总结 async promise Taskpool woker(四)多线程并发 Worker管理
qq_28641891的博客
04-25 333
多线程并发 Worker管理的管理 分发 监听
c++ 注册表读写
09-17
C 注册表读写类是一种用于管理和操作Windows操作系统注册表的类。注册表是Windows操作系统的核心组件之一,用于存储系统配置和应用程序设置的信息。 C 注册表读写类提供了一组方法和属性,用于读取、写入、修改和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值