您的位置:360文档中心› 构建防御盾 -注册表的单行其道

构建防御盾 -注册表的单行其道

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

小科普
操作系统的核心。它实质上是一个庞大的数据库, 注册表是 Windows 操作系统的核心。它实质上是一个庞大的数据库,存放有计算机硬件 和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、 和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件 设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、 设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、网络的操 作都是源于注册表的。 作都是源于注册表的。
注册表的组成
系统配置注册表文件 台配置备份文件 网络管理注册表文件
系统配置注册表备份文件 用户平台配置注册表文件 用户平
网络管理注册备份文件
a.注册表 5 个子目录树的作用 注册表
1.hkey classes root 记录各种文件的关联信息 2.kkey current user 记录桌面,墙纸,程序的设置保存,个性化等 3.hkey local machine 注册表的核心部分,各种软,硬件配置 4.hkey user 显示当前登录用户和默认用户的配置 5.hkey current config 硬件配置
b.注册表被破坏的表现 注册表被破坏的表现
1.找不到.dll 等或程序部分丢失不能定位 2.找不到服务器上的嵌入对象 3.找不到应用程序打开 XX 类型的文档
对于主动防御来说,前面已经讲过,其中一项是注册表防护。例如像 IE 主页,如果被篡改, 均可以在注册表中将相应的键值中进行修改 1.regedit 的打开方法

2.注册表的小小小知识快速磨刀 注册表的小小小知识快速磨刀
HIPS 防护注册表关键位置整理

在次感谢 qqq123123 的“主机入侵防御系统”进阶之注册表防护。以下收纳了其的文 以下收纳了其的文 章 需要说明一下如何使用,免得大家看了不知道怎么用。本篇是讲注册表 本篇是讲注册表,因此类 在此之前,需要说明一下如何使用 型选项要选择注册表。
关于相关注册表的含义,我在相关的注册表后注明了含义, 关于相关注册表的含义,我在相关的注册表后注明了含义,个别哪些需要注意键值 还是键项,我也进行了书写和说明 还是键项,我也进行了书写和说明
对象一栏填入一下你中意的防护项目 IE 浏览器相关 *\Software\Microsoft\Internet Explorer Internet Explorer\Main\Default_Page_URL 篡改 IE 的默认页
*\Software\Microsoft\Internet Explorer Internet Explorer\Main\Enable Browser Extensions
启用浏览器扩展
*\Software\Microsoft\Internet Explorer ernet Explorer\Main\Start Page (禁止键值修改 IE 默认连接首页被修 改)
*\Software\Microsoft\Internet Explorer Internet Explorer\Main\Window Title
IE 标题栏被修改
*\Software\Microsoft\Internet Explorer Internet Explorer\MenuExt\*
IE 右键菜单被修改

*\Software\Microsoft\Internet Explorer\Search\*
IE 默认搜索引擎被修改 默认搜索引擎被修改
HKEY_CLASSES_ROOT\http\shell\open\command
浏览器默认设置
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 典 禁止删除
登录界面会变成经
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL
禁止修改键值防止病毒 禁止
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 修改键值 繁殖病毒篡改 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ 加载时会自动启动一次 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ RunServicesOnce 之后启动的程序 HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ 只会被执行一次 HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\ 程序在每次启动登录时都会按顺序自动执行 HKCU\Control Panel\Desktop 桌面属性 继
系统
旗下程序
其下的所有
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 毒启动 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run 算机启动项的注册表信息

控制计
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
这是许多应用软件自动启动的常用位置,Windows 自动启动放入该文件夹的所有快捷方式
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 程启动项
保护进

相关文档
最新文档