1、精選優質文檔-傾情為你奉上Windows注冊表的攻擊與防護一、注冊表的介紹：微軟Windows注冊表是Windows 操作系統的核心。它實質上是一個龐大的數據庫，存放有計算機硬件和全部配置信息、系統和應用軟件的初始化信息、應用軟件和文檔文件的關聯關系、硬件設備說明以及各種網絡狀態信息和數據。可以說計算機上所有針對硬件、軟件、網絡的操作都是源于注冊表的。由于注冊表是操作系統核心，因此一旦Windows注冊表損壞或被病的惡意修改，則會造成文件不能打開，某些功能操作不能進行。而且不少流行的網絡病毒一旦啟動后，會自動在計算機系統的注冊表啟動項中遺留有修復選項，待系統重新啟動后這些病毒就能恢復到修改前的

2、狀態了，很難被根本清除。二、注冊表的數據結構：注冊表由鍵（或稱“項”）、子鍵（子項）和值項構成。一個鍵就是分支中的一個文件夾，而子鍵就是這個文件夾中的子文件夾，子鍵同樣是一個鍵。一個值項則是一個鍵的當前定義，由名稱、數據類型以及分配的值組成。一個鍵可以有一個或多個值，每個值的名稱各不相同，如果一個值的名稱為空，則該值為該鍵的默認值。三、注冊表的數據類型注冊表的數據類型主要有以下四種： 顯示類型（在編輯器中）數據類型說明REG_SZ字符串文本字符串REG_MULTI_SZ多字符串含有多個文本值的字符串REG_BINARY二進制數二進制值，以十六進制顯示。REG_DWORD雙字一個32位的二進制值

3、，顯示為8位的十六進制值。四、破解注冊表的鎖定：1、INF文件之法INF（設備信息文件）是微軟公司為硬件設備制造商發布硬件設備驅動程序推出的一種文件格式。在INF文件中包含了操作（如安裝、卸載、驅動等）硬件設備的各種信息（或腳本），諸如顯示器、打印機、Modem等設備的安裝就是通過它來完成的。 所以，利用INF文件的命令也能解鎖注冊表編輯器。具體的操作步驟如下： (1)在“記事本”中輸入以下語句，并保存為.inf文件： Version Signature=$CHICAGO$ Defaultinstall DelReg=ClsReg ClsReg HKCU,SoftwareMicrosoftwi

4、ndowscurrentwersionpoliciessystem,disablergeistrytools (2)用鼠標右鍵單擊該.inf文件；在彈出的右鍵快捷菜單中，選擇“安裝”即可。 2、JS文件之法JScript是一種解釋型的、基于對象的腳本語言（Scripting Language）。用該語言編寫的文件以.js作為文件名的擴展名。.js文件既可以在網頁中被調用，又可以像可執行程序那樣直接雙擊運行。 利用JScript語言中的命令同樣能解鎖注冊表編輯器，具體的操作步驟如下： (1)在“記事本”中輸入以下語句，并保存為.js文件： var wshshell=wscript.createo

5、bject(wscript.shell); wshshell.regwrite (HKCUSoftwareMicrosoftwindowscurrentwersionpoliciessystemdisablergeistrytools,o,reg_dword); wshshell.regdelete (HKCUSoftwareMicrosoftwindowscurrentwersionpoliciessystem); (2)直接用鼠標雙擊該.js文件即可。 在輸入語句時需注意：“;”符號表示一個命令的結束，必須放在命令行尾；“/”后的文字只是起注釋的作用，不會被執行；注冊表中的各分支項必須用“

6、”分隔。 3、組策略功能Windows 2000/XP/2003的用戶可以利用系統中的“組策略”功能來解鎖注冊表編輯器。具體 的操作步驟如下： (1)依次單擊“開始”“運行”，在彈出的“運行”對話框的“打開”下拉文本框中輸入命令“gpedit.msc”，然后單擊“確定”按鈕。 (2)在彈出的“組策略”窗口中，依次展開左側子窗口中的“本地計算機策略” “用戶配置” “管理模板” “系統”子選項。 (3)在右側子窗口中，雙擊“阻止訪問注冊表編輯工具”項目。在彈出的“屬性”對話框的“設置”選項卡中選定“已禁用”單選項后，單擊“確定”按鈕即可。 這種方法實質上是通過將“Disableregistryt

7、ools”鍵直接刪除來解鎖注冊表編輯器的。此方法非常簡單，不需記憶命令語句。 4、防病毒軟件 現在的防病毒軟件幾乎都集成了修復注冊表的功能模塊，利用該功能模塊就能解鎖注冊表編輯器。360安全衛士、金山衛士都具有注冊表的清理功能,而且清理之后也會自動備份,以便恢復.五、注冊表的權限當你選中一個鍵值的時候，鼠標右鍵單擊，可以看到“權限”選項，用鼠標分別單擊各個用戶組就可以看到不同的權限限制，如果你覺得某一個用戶組的權利太高了，就可以在下方修改權限（注意：必須賦予Administrators組用戶完全權限，否則一旦你或相應的軟件、驅動程序要修改注冊表，但是由于所有的組用戶都沒有權限修改，所以你將不能

8、夠成功安裝。所以必須把完全權限賦予Administrators組用戶（系統默認）。六、注冊表中五個根鍵值的作用：1、HKEY_CLASSES_ROOT包含了所有應用程序運行時必需的信息：在文件和應用程序之間所有的擴展名和關聯;所有的驅動程序名稱; 類的ID數字(所要存取項的名字用數字來代替);用于應用程序和文件的圖標。2、HKEY_CURRENT_USER包含著在HKEY_USERS安全辨別里列出的同樣信息。任何在HKEY_CURRENT_USER里的改動也都會立即HKEY_USERS改動。所有當前的操作改變只是針對當前用戶而改變，并不影響其他用戶。3、HKEY_LOCAL_MACHINE是一

9、個顯示控制系統和軟件的處理鍵。HKLM鍵保存著計算機的系統信息。它包括網絡和硬件上所有的軟件設置。(比如文件的位置，注冊和未注冊的狀態，版本號等等)這些設置和用戶無關，因為這些設置是針對使用這個系統的所有用戶的。4、HKEY_USERS僅包含了缺省用戶設置和登陸用戶的信息。雖然它包含了所有獨立用戶的設置，但在用戶未登陸網絡時用戶的設置是不可用的。這些設置告訴系統哪些圖標會被使用，什么組可用，哪個開始菜單可用，哪些顏色和字體可用，和控制面板上什么選項和設置可用。5、HKEY_CURRENT_CONFIG是在HKEY_LOCAL_MACHINE中當前硬件配置信息的映射，包括了系統中現有的所有配置文

10、件的細節。七、Windows注冊表的安全：(1)備份整個注冊表單擊“開始運行”菜單項，在“運行”對話框中輸入“Regedit”，單擊“確定”按鈕后打開注冊表編輯器，如果要備份整個注冊表，要選擇注冊表根目錄(即“我的電腦”節點)，然后單擊鼠標右鍵，選擇“導出”命令，打開“導出注冊表文件”對話框，在“文件名”框中輸入注冊表文件的名稱及保存的路徑，單擊“保存”按鈕即可。注冊表備份文件擴展名為REG。(2)注冊表還原在Windows圖形界面下，可雙擊備份的REG文件即可將注冊表還原至備份時的狀態。(3)口令設置HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr

11、entVersion PoliciesNetwork下建立以下DWORD值，則相應的設置有效：“HideSharePwds”=1(使用星號(*)隱藏共享口令)“DisablePwdCaching”=1(禁用口令緩存;注意!請慎用此項設置，此時控制面板中的“密碼”屬性中無法更改密碼，登錄時該用戶使用任何一個密碼或不用密碼就可以登錄。)“AlphanumPwds”=1(使Windows口令必須為數字和字母)“MinPwdLen”=n(設置Windows口令的最小長度，n大于等于0小于等于8)(4)禁用注冊表編輯器HKEY_USERS“用戶名” SoftwareMicrosoftWindowsCur

12、rentVersionPolicies System下如果有DWORD值“DisableRegstryTools”=1，則禁止該用戶使用注冊表編輯工具。(5)禁用“MSDOS”方式、禁用單一模式的MSDOS應用程序HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 后，新建主鍵“WinOldApp” ，在該子鍵下新建DWORD值 “Disabled”=1，則該用戶的“MSDOS”方式被禁止;“WinOldApp”下如有DWORD值“NoRealMode”=1，則該用戶單一模式的MSDOS應用程序被禁用。(6)設置自啟動

13、的程序HKEY_LOCAL_MACHINESOFTWAREMic rosoftWindowsCurrentVersionRun其下的字符串值表示通過注冊表自啟動的程序;HKEY_LOCAL_MACHINESOFTWAREMic rosoftWindowsCurrentVersionRunOnce其下的字符串值表示只自啟動一次的程序HKEY_LOCAL_MACHINESOFTWAREMic rosoftWindowsCurrentVersionRunServices其下的字符串值表示通過Windows注冊表自啟動的服務程序;HKEY_LOCAL_MACHINESOFTWAREMic rosoft

14、WindowsCurrentVersionRunServicesOnce其下的字符串值表示只啟動一次的服務程序。由此，我們可以看出上面所有的DWORD值，如果其值為“1”時表示該值有效，其值為“0”時表示該值無效;我們可以通過改變DWORD值或刪除該 DWORD，來輕松地使相應的限制有效或無效。(7)限制顯示器屬性進入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Policies后，在子鍵“System”下新建以下DWORD值(=1時為有效)：NoDispAppearancePage 隱藏顯示屬性中的“外觀”屬性頁;NoDisp

15、BackgroundPage 隱藏顯示屬性中的“背景”屬性頁;NoDispCPL 禁止設置顯示屬性;NoDispScrSavPage 隱藏顯示屬性中的“屏幕保護”屬性頁;NoDispSettingsPage 隱藏顯示屬性中的“設置”屬性頁;(8)限制開始菜單和桌面1)開始菜單如果在HKEY_USERS“用戶名”SoftwareMicrosoftWindowsCurrentVersion PoliciesExplorer下有DWORD值“NoRun”=1時，則該用戶的開始菜單中的“運行”命令被禁止;如果有DWORD值“NoSetFolders”=1時，則該用戶的開始菜單中的“設置文件夾選項”命令

16、被禁止;如果有DWORD“NoSetTaskbar”=1時，則該用戶的開始菜單中的“設置任務欄和開始菜單”命令被禁止;如果有DWORD值“NoFind”=1時，則該用戶的開始菜單中的“查找”命令被禁止; 如果有DWORD值“NoStartMenuSubFolders”=1，則該用戶“開始”菜單中的子文件夾被隱藏;如果有DWORD值“NoClose”=1時，則該用戶的開始菜單中的“關閉系統”命令被禁止;如果有DWORD值“NoStartBanner ”=1，WINDOWS啟動時出現在任務欄的箭頭標示和“單擊此處開始”字樣被隱藏;2)桌面進入如下路徑：HKEY_CURRENT_USERSoftwa

17、reMicrosoftWindowsCurrentVersion Policies后，在“Explorer”鍵值下新建下列DWORD值：NoDesktop=1時， 隱藏桌面上的所有圖標;NoDrivers 隱藏驅動器(DWORD值的低26個bit從低到高分別對應A-Z驅動器，各bit位=1時為有效);NoNetHood =1時，隱藏桌面的“網上鄰居”圖標;NoViewContextMenu=1時， 隱藏桌面空白處右擊鼠標時彈出的上下文菜單;NoTrayContextMenu=1時， 隱藏任務欄上按右鍵時彈出的菜單;NoEntireNetwork=1時， 隱藏“網上鄰居”中的“整個網絡”;NoS

18、aveSetting =1時，退出前不保存設置;（9）隱藏和禁止使用“控制面板” 控制面板是Windows系統的控制中心，可以對設備屬性，文件系統，安全口令等很多系統很關鍵的東西進行修改，你當然需要防范這些了。 打開HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem中新建DWORD值NoDispCPL，把值修改為1（十六進制）即可。（10）禁止使用任何程打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右邊

19、的窗口中新建一個DWORD串值：“RestrictRun”，把它的值設為“1”。這樣我們就能做到禁止在Windows98中運行任何程序。 （11）修改注冊表只允許用戶使用由你指定的程序 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右邊的窗口中新建一個DWORD串值：“RestrictRun”，把它的值設為“1”。然后在RestrictRun的主鍵下分別添加名為“1”、“2”、“3”等字符串值，然后將“1”，“2”、“3”等字符串的值設置為你允許用戶使用的程序名。例如將“1”、“2”、“3”

20、分別設置為word.EXE、notepa XE、empires.EXE，則用戶只能使用word、寫字板、帝國時代了，這樣你的系統將會做到最大的保障，也可以限制用戶運行不必要的軟件了。 （12）禁用任務欄屬性功能 任務欄屬性功能，可以方便用戶對開始菜單進行修改，可以修改Windows系統的很多屬性和運行的程序，這在我們看來是件很危險的事情，所以有必要禁止對它的修改。 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右窗格內新建一個DWORD串值NoSetTaskBar，然后雙擊NoSetTask

21、Bar鍵值，在彈出的對話框的鍵值框內輸入1。（13）禁止使用“控制面版”中的“密碼”圖標設置功能 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右側窗口中新建Dword串值，然后將“新值#1”更名為“NoSecCPL”，然后把它的值設置為1就行的了。 （14）禁止使用“密碼”下的“更改密碼”標簽 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右側窗口新建Dword串值，然后將“新值#1”更

22、名為“NoPwdPage”，然后把它的值設置為 1 即可。 （15）禁止使用“密碼”下的“遠程管理”標簽 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在右側窗口中新建Dword串值，然后將“新值#1”更名為“NoAdminPage”，然后把它的值設置為 1 即可。 （16）禁止使用控制面板中的系統管理程序 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionPoliciessystem，在右邊窗口新建DWORD串值“NoDevMg

23、rPage”并把它的值改為“1”就行。（17）禁止修改“開始”菜單 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplore，在右邊的窗口中新建一個DWORD串值：“NoChangeStartMenu”，并把它的值改為“1”。 （18）禁止屏幕保護使用密碼 打開HKEY_CURRENT_USERControlPaneldesktopScreenSaveUsePassword修改它的值，值為0或1，0為不設密碼，1則使用預設的密碼，你根據自己的需要設置就行的了。 (19)不允許改變啟動菜單 打開HKEY_US

24、ERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer在右邊的窗口中新建一個DWORD串值“NoChangeStartMenu”，并設值為“1”即可。 （20）禁止在“系統屬性”中出現“文件系統”的菜單 打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem，在右邊的窗口中新建一個DWORD串值：“NoFileSysPage”，然后把它的值改為“1”即可。 （21）禁止在“系統屬性”中出現“設備管理器”的菜單 打開HKEY_CURRENT_USERSoftwareMicro