您的位置: 首页  >  文章  >  注册表的危险操作项目,安全配置

注册表的危险操作项目,安全配置

分类: 文章 2022-10-26 23:57:02

注册表危险项
1.映像劫持
简单来说就是当目标程序被映像劫持的时候,当我们启动目标程序时,启动的是劫持后的程序而不是原来的程序,操作如下:
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CueeentVersion\Image File Execution Option添加一个项sethc.exe然后在这个项重中添加一个debugger键,键值为我们恶意程序的路径如图:
注册表的危险操作项目,安全配置
此时连续按5次Shift键的粘滞键被替换成了CDM
2.注册表自启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
A.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_
LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Policies\Explorer\Run],也要仔细查看。
B.RunOnce键
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft
Windows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.用户登录初始化
Userinit的作用是用户在进行登录初始化设置时,WinLogon进程会执行指定的login scripts,所以我们可以修改它的键值来添加要执行的程序,注册路径为:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,添加需要自动启动程序,多个程序用逗号隔开
4.Logon Scripts
Logon Scripts优先于av先先执行,我们可以利用这一点来绕过av的敏感操作拦截注册表路径为:HKEY_CURRENT_USER\Environment,创建一个键为:UserInitMprLogonScript
注册表的危险操作项目,安全配置
5.屏幕保护程序
在对方屏幕保护的情况下,我们可以修改屏保程序为我们的恶意程序从而达到后门持久化的目的其中屏幕保护的配置储存在注册表中,我位置为:HKEY_CURRENT_USER\Control Panel\Desktop,关键键值如下:
SCRSAVE.EXE 默认屏幕保护程序,我们可以把这个键值改为我们的恶意程序
ScreenSaveActive 1表示屏幕保护是启动状态,0表示屏幕保护是关闭
ScreenSaverTimeout 指定屏幕保护程序启动前系统的空闲事件,单位为秒,默认为15分钟
注册表的危险操作项目,安全配置
6.影子用户
影子用户就是一个隐形用户,只能通过注册表查看这个用户,其他方式找不到这个用户信息。在一个用户后面+$可以创建一个匿名用户,创建完毕后我们在吧这个用户添加到administrator组
第一步:由于涉及注册表的权限修改,所以必须使用具有管理员权限的账户登录系统。
第二步:打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE\SAM\SAM],右击该项选择“权限(Windows 2000中要使用regedt32.exe修改权限)”,选中“组或用户名称”列表中的“Administrators”,勾选“完全控制”后点击“确定”(见图5)。
第三步:按F5刷新一**册表就会发现可以打开该项的下级分支了,找到[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names],其下的子项就是系统中的账户名,这是最保险的查看方式。
注册表安全配置
注册表与计算机安全配置 
1. 隐藏“运行”菜单项 
运行注册表编辑器,展开如下分支:
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 在右侧的窗口新建一个DWORD值并命名为NoRun,设置其值为1即可隐藏“运行”菜单项。 
2.隐藏“设置”菜单项 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 在右侧的窗口新建一个DWORD值并命名为NoSetFolders,设置其值为1,即可隐藏“设置 ”菜单项。
 3.隐藏“文档”菜单项 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 
在右侧的窗口新建一个DWORD值并命名为NoRencentDosMenu,设置其值为1,即可隐藏“文档”菜单项。 
4.隐藏“网上邻居”菜单项 运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 
在右侧的窗口新建一个DWORD值并命名为NoNetHood,设置其值为1,即可隐藏“网上邻居”菜单项。 
5.禁止使用控制面板 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 在右侧的窗口新建一个二进制值NoSetFolders,设置其值为“01 00 00 00”即可禁止使用控制面板。 
6.禁止使用MS_DOS方式 运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 
在分支下新建主键并命名为WinOlaApp,选中此主键,在右侧的窗口新建一个DWORD值Disabled,设
置其值为“1”即可禁止使用MS_DOS方式。 
7.禁止修改“显示”属性 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\System 在右侧的窗口新建一个DWORD值NoDispCPL,设置其值为“1”即可禁止修改“显示”属性。 
8.屏蔽资源管理器中的文件菜单 运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Explorer 在右侧的窗口新建一个DWORD值NoFileMenu,设置其值为“1”即可屏蔽资源管理器中的文件菜单。 
9.百度禁止远程修改注册表(!!!) 运行注册表编辑器,展开如下分支: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\WinReg 
在右侧的窗口中修改“默认”值为1,即可实现禁止远程修改注册表的目的。 
10.恢复首页修改权 
有些网站为了增加访问量,会在用户浏览其首页时,不经用户允许直接将自己的网页设置为浏览器的首页。更有甚者,还会通过修改注册表将IE浏览器的“工具”\“Internet选项”\“常规”\“主页”栏里面的更改主页设置的
“URL地址”变为灰色的不可修改状态。遇到这种情况,可以通过修改注册表恢复首页的修改权。 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Internet Explorer 
新建一个名为“ControlPanel”的主键,选中该值然后在右侧的窗口中新建一名为“HomePage”的DWOR值,
设置其值为0,即可恢复首页修改权。 
11.禁止使用reg文件 
运行注册表编辑器,展开如下分支: 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command 
在右侧窗口中更改“默认”值为“txtfile”即可。 
12.禁止IE下载文件 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Internet Settings\Zones\3 在右侧窗口找到1803这个DWORD值,将其键值修改为3即可禁止IE下载文件,如果要取消的话,只需
要还原DWORD值为0。 
13.禁止文件共享 
如果要在局域网中准备禁止文件共享,可以执行如下步骤。 
运行注册表编辑器,展开如下分支: 
HKEY_CURRENT_USER\Software\Micosoft\Windows\CurrentVersion\Policies\Network 
转载:https://wenku.baidu.com/view/b0af113167ec102de2bd89f2.html

注册表总结
注册表是Microsoft Windows 中的一个重要的数据库,用于储存系统jeep应用程序的设置信息。

通过Windows+R键可以打开命令提示界面,输入regedit、regedit.exe、regedt32、regedit32.exe四个名称均可

注册表的危险操作项目,安全配置

结构说明:
根键:这个称为HKEY…,某一项的句柄项:附加一个文件夹和一个或多个值
五大根键为:
注册表的危险操作项目,安全配置
1.HKEY_CALSS_ROOT(HKCR)
该根键包括应用程序所需要的信息,包括扩展名与文档之间的关系,图标等
2.HKEY_CURRENT_USER(HKCU)
该根键包括当前登录用户的配置信息,包括环境变量,个人程序及桌面等。
3.HKEY_LOCAL_MACHINE(HKLM)
该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息。
4.HKEY_USERS(HKURE、HKUD)
这些信息告诉系统当前用户使用的图标,**的程序组,开始菜单内容和颜色字体
5.HKEY_CURRENT_CONFIG(HKCC)
其中的信息是从HKEY_LOCAL_MACHINE映射出来的
子项:某一个项(父项)下面出现的项(子项)
值项:带有一个名称和一个值的有序值,每个项都可以包括任何数量值项

在计算机使用过程中可能经常添加或删除应用程序;在上网时也会遇到恶意网站,向注册表强行添加信息,原来的应用程序卸载后没有删除,启用时出现没找到某某应用程序多余注册表的子项可能造成浪费或降低启动速度,因此我们需要优化注册表
1.清除多余的DLL文件
HKEY_LOCAL_MACHINE\

相关推荐