Windows注册表的攻击与防护.pdfVIP

Windows注册表的攻击与防护 一、注册表的介绍： 微软 Windows 注册表是 Windows 操作系统的核心。它实质上是一个庞大的数据 库，存放有计算机硬件和全部配置信息、系统和应用软件的初始化信息、应用软 件和文档文件的关联关系、硬件设备说明以及各种网络状态信息和数据。 可以说计算机上所有针对硬件、软件、网络的操作都是源于注册表的。由于 注册表是操作系统核心，因此一旦Windows注册表损坏或被病的恶意修改，则会 造成文件不能打开，某些功能操作不能进行。而且不少流行的网络病毒一旦启动 后，会自动在计算机系统的注册表启动项中遗留有修复选项，待系统重新启动后 这些病毒就能恢复到修改前的状态了，很难被根本清除。 二、注册表的数据结构： 注册表由键（或称“项”）、子键（子项）和值项构成。一个键就是分支中 的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。 一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。 一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称 为空，则该值为该键的默认值。 三、注册表的数据类型 注册表的数据类型主要有以下四种： 显示类型（在编辑器中） 数据类型 说明 REG_SZ 字符串 文本字符串 REG_MULTI_SZ 多字符串 含有多个文本值的字符串 REG_BINARY 二进制数 二进制值，以十六进制显示。 REG_DWORD 双字 一个 32 位的二进制值，显示为 8 位的十六进制值。 四、破解注册表的锁定： 1、INF 文件之法 INF （设备信息文件）是微软公司为硬件设备制造商发布硬件设备驱动程序 推出的一种文件格式。在INF 文件中包含了操作（如安装、卸载、驱动等）硬件 设备的各种信息（或脚本），诸如显示器、打印机、Modem 等设备的安装就是通 过它来完成的。 所以，利用INF 文件的命令也能解锁注册表编辑器。具体的操作步骤如下： (1)在“记事本”中输入以下语句，并保存为.inf 文件： [Version] Signature=$CHICAGO$ [Defaultinstall] DelReg=ClsReg [ClsReg] HKCU,Software\Microsoft\windows\currentwersion\policies\system,disabl ergeistrytools (2)用鼠标右键单击该.inf 文件；在弹出的右键快捷菜单中，选择“安装”即可。 2、JS 文件之法 JScript 是一种解释型的、基于对象的脚本语言（Scripting Language）。 用该语言编写的文件以.js 作为文件名的扩展名。.js 文件既可以在网页中被调 用，又可以像可执行程序那样直接双击运行。 利用 JScript 语言中的命令同样能解锁注册表编辑器，具体的操作步骤如 下： (1)在“记事本”中输入以下语句，并保存为.js 文件： var wshshell=wscript.createobject(wscript.shell); wshshell.regwrite (HKCU Software Microsoft windows currentwersion policies syste m disablergeistrytools,o,reg_dword); wshshell.regdelete (HKCU\\Software\\Microsoft\\windows\\currentwersion\\policies\\syste m\\); (2)直接用鼠标双击该.js 文件即可。 在输入语句时需注意：“;”符号表示一个命令的结束，必须放在命令行尾； “//”后的文字只是起注释的作用，不会被执行；注册表中的各分支项必须用 “\”分隔。 3、组策略功能 Windows 2000/XP/2003 的用户可以利用系统中的“组策略”功能来解锁注 册表编辑