主要负责人和安全管理人员安全培训课件

注册表项简介及基于注册表的病毒防御
SwordDancer23
一、系统根键简介
1>HKEY_CLASSES_ROOT
基层类别键，定义了系统中所有已经注册的文件扩展名、文件类型、文件图标等。

2>HKEY_CURRENT_USER
当前用户键，定义了当前用户的所有权限，包含用户的登录信息。

3>HKEY_LOCAL_MACHINE
本地计算机信息键，定义了本地计算机的所有软硬件的全部信息。

4>HKEY_CURRENT_CONFIG
当前配置键，定义了计算机的当前配置情况，如一些可选外部设备（打印机，显示
器）及其相关的设置信息。

二、注册表病毒防御
1>阻止通过网页启动
计算机系统感染病毒后，一般会在一下注册表分支下的键值中发现有诸如.htm之类
的内容：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
这类启动键值主要用于在计算机系统启动后，自动访问带有病毒的网站，若不及时
删除这些键值，会导致病毒反复发作。

2>阻止通过后门启动
某些病毒为了避开用户的手动查杀，会在注册表项中伪装自己。

例如：一些病毒会
自动创建一个名为system32的启动项键，并将键值设为“regedit –s 病毒程序路径”；
-s标记的参数是系统注册表的后门参数，用于导入注册表并产生*.vbs文件。

因此，当在注册表中发现存在regedit –s之类的键值时，应予以删除。

3>阻止通过文件启动
定期打开位于系统安装目录中的Win.ini文件，检查“run=”与“load=”后面是否
包含一些不正常的内容，若有，需将“=”后面内容清除。

三、病毒经常修改的注册表键值
1>IE起始页
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
选中该键值，将右边窗口里的Start Page一项即主页地址。

2>Internet选项按钮灰化或失效
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ControlPanel
将该键值下的Setting、Links、SetAddSite三项的DWORD值被置为0；同时
HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\ControlPanel下homepage的DWORD值被设为0时，“Internet选项”将无法使用。

3>“运行”按钮被取消或失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er下的NoRun被改为1，改为0即可恢复。

4>“关机”按钮无法使用或消失
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er下的NoClose被改为1，改为0即可恢复。

5>“注销”按钮无法使用或消失
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er下的NoLogoff被改为1，改为0即可恢复。