Windows系统注册表初涉
概念
注册表是Microsoft Windows操作系统中的一个重要数据库,用于储存系统和应用程序的设置信息。
打开注册表编辑器
打开windows开始菜单的运行,然后键入regedit,便打开了Windows自带的注册表编辑器。
初步读懂注册表编辑器内容
1. 根键(HKEY)与主键
注册表左侧有五项(xp有六项)最大的文件夹为**根键 **,根键打开后的第一级文件夹目录都是主键,子键就是子文件夹,很好理解。
Paste_Image.png
-
【HKEY_CLASSES_ROOT】。该根键包含有关OLE的信息,以便在系统工作过程中实现对各种文件和文档信息的访问。具体内容包括已注册的文件扩展名、文件类型、文件图标、从win.ini文件中引入的扩展名的数据等,此外还包括诸如“我的电脑”、“回收站”及“控制面板”等标志,该根键的数据适用于所有用户。
-
【HKEY_USERS】。该根键中包含了用户根据个人爱好所设置的诸如桌面、背景、开始菜单程序项、应用程序快捷键、显示字体及显示器节能设置等信息。其中的大部分设置都可以通过控制面板进行修改,有经验的用户也可以直接在注册表中对这些设置进行修改。
-
【HKEY_CURRENT_USER】。该根键中保存了当前登录用户的配置信息及登录信息,实际上它就是根键HKEY_USERS中.Default分支下的一部分内容。如果在HKEY_USERS.default分支下没有用户登录的其他内容,那么这两个根键所包含的内容是完全相同的。
-
【HKEY_LOCAL_MACHINE】。该根键包含了本地计算机(相对于网络环境而言)系统软件和硬件的全部信息。当系统硬件配置和软件设置发生变化时,该根键下的相关项也就发生相应的变化,其中的数据适合于所有用户。
-
【HKEY_CURRENT_CONFIG】。该根键包含所有连接到本计算机上的硬件的配置数据,这些数据会根据当前计算机连接的网络类型、硬件配置以及应用软件的安装的不同而不所变化。它实际上是指向HKEY_LOCAL_MACHINE\Config分支的指针,其下的主键及内容与HKEY_LOCAL_MACHINE\Config\0001分支下的主键和内容是完全相同的。
-
(【HKEY_DYN_DATA】。该根键包含了系统运行过程中的动态数据信息,比如系统性能和即特即用的动态信息等。此外,它还包含了那些需要更新和检索的数据。该根键实际上是指向根键HKEY_LOCAL_MACHINE的一个分支,所以在xp之后的系统上已不再出现,直接是HKEY_LOCAL_MACHINE。)
因为主键过多,我们就不多说了,稍后可能会挑几个要用到的提一下,具体大家可以参考这里的关于主键的说明(别吐槽,这是我千辛万苦能找到的唯一的注册表学习教程,大家如果能找到更好的一定要告诉我/(ㄒoㄒ)/~~)
2. 键值对
注册表大概的格式就是由 键 和 值项 ** 组成。键**就是那些分支的文件夹,而 值项 由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。
注册表的数据类型主要有以下四种:显示类型(在编辑器中)数据类型说明
显示类型
3. reg文件书写
创建文本文档,即可开始写入
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Directory\shell\cmd_here]
@="cmd here"
[HKEY_CLASSES_ROOT\Directory\shell\cmd_here\command]
@="cmd.exe /k cd %1"
第一行就是指定注册表编辑器格式,类似HTML的文档声明,2、4行是要创建的键,2、5是其对应的值。然后保存,记得后缀名改为.reg然后双击即可注入此注册表。
应用
1. 设置应用打开文件夹
刚刚的语法格式我们示范了如何以cmd右键打开文件夹,但是如何在文件夹中不选中文件夹,直接右键菜单中打开此文件夹呢?
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Directory\Background\shell\cmd_here]
@="cmd here"
[HKEY_CLASSES_ROOT\Directory\Background\shell\cmd_here\command]
@="cmd.exe /k cd %1"
这样写即可做到,有什么区别呢?我们可以看到这里创建键时是在主键Background中创建的,这意味着在文件夹背景中点击右键菜单会出现的应用扩展菜单。shell里创建键cmd_here,值表示在右键菜单中的名字,然后这里的子键command就表示会执行的命令,其中“/k”表示执行完后不关闭窗口“%1中%1”是“CD”命令的第一个(%1)参数(这里是路径)。不过为什么同样的格式会这样有不同的功能,这是系统自己的设置,毕竟注册表的前身就是Windows系统中的 ini 配置文件。我们只需遵循语法,注意所属目录是哪里的配置即可。
2. 镜像劫持
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options](IFEO,映像劫持,留给程序员调bug的)处新建一个以目标程序命名的项,例如22.exe。然后再创建一个子键"Debugger"="C:\WINDOWS\system32\drivers\33.exe"。以后只要用户双击 22.exe就会运行OSO的病毒文件33.exe,类似文件关联的效果。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]
"Debugger"="C:\WINDOWS\system32\drivers\33.exe"
但是现在的Windows系统因为权限问题,一般这样是不会成功将值写入注册表的,需要事先设置权限,然而,为了安全起见,谨慎修改写入注册表这些关键键的权限。
