- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
教你认识批处理二(教程)
教你认识批处理二(教程)
五.如何用批处理文件来操作注册表在入侵过程中经常回操作注册表的特定的键值来实
现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建
一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性
,这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文
件来操作注册表.(我们可以用批处理来生成一个REG文件)
关于注册表的操作,常见的是创建、修改、删除。
1.创建
创建分为两种,一种是创建子项(Subkey)我们创建一个文件,内容如下:Windows
Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]
然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个
名字为“hacker”的子项。另一种是创建一个项目名称
那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下
:
Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Invader=Ex4rch
Door=C:\\WINNT\\system32\\door.exe
Autodos=dword:02
这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下
新建了:Invader、door、about这三个项目
Invader的类型是“String &#118alue”
door的类型是“REG SZ &#118alue”
Autodos的类型是“DWORD &#118alue”
2.修改
修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后
导入(regedit /s)即可。3.删除
我们首先来说说删除一个项目名称,我们创建一个如下的文件:Windows Registry
Editor Version
5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Ex4rch=-
执行该脚本,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的
Ex4rch就被删除了;我们再看看删除一个子项,我们创建一个如下的脚本:
Windows Registry Editor Version
5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
执行该脚本,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删
除了。相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创
建特定内容的.reg文件了,记得我们前面说道的利用重定向符号可以很容易地创建特定
类型的文件。samlpe1:如上面的那个例子,如想生成如下注册表文件
Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Invader=Ex4rch
door=hex:255
Autodos=dword:000000128
只需要这样:
@echo Windows Registry Editor Version 5.00Sample.reg@echo
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]Sample.reg
@echo Invader=Ex4rchSample.reg
@echo door=5C:\\WINNT\\system32\\door.exeSample.reg
@echo Autodos=dword:02Sample.reg
samlpe2:
我们现在在使用一些比较老的木马时,可能会在注册表的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、
Runservices、Runexec)]下生
文档评论(0)