教你认识批处理二(教程).doc

教你认识批处理二（教程） 五.如何用批处理文件来操作注册表在入侵过程中经常回操作注册表的特定的键值来实 现一定的目的，例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建 一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性 ，这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文 件来操作注册表.(我们可以用批处理来生成一个REG文件) 关于注册表的操作，常见的是创建、修改、删除。 1.创建 创建分为两种，一种是创建子项(Subkey)我们创建一个文件，内容如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker] 然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个 名字为“hacker”的子项。另一种是创建一个项目名称 那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下 ： Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Invader=Ex4rch Door=C:\\WINNT\\system32\\door.exe Autodos=dword:02 这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下 新建了:Invader、door、about这三个项目 Invader的类型是“String ＆#118alue” door的类型是“REG SZ ＆#118alue” Autodos的类型是“DWORD ＆#118alue” 2.修改 修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后 导入（regedit /s）即可。3.删除 我们首先来说说删除一个项目名称，我们创建一个如下的文件：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Ex4rch=- 执行该脚本， [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的 Ex4rch就被删除了；我们再看看删除一个子项，我们创建一个如下的脚本： Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 执行该脚本， [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删 除了。相信看到这里，.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创 建特定内容的.reg文件了，记得我们前面说道的利用重定向符号可以很容易地创建特定 类型的文件。samlpe1:如上面的那个例子,如想生成如下注册表文件 Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Invader=Ex4rch door=hex:255 Autodos=dword:000000128 只需要这样： @echo Windows Registry Editor Version 5.00Sample.reg@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]Sample.reg @echo Invader=Ex4rchSample.reg @echo door=5C:\\WINNT\\system32\\door.exeSample.reg @echo Autodos=dword:02Sample.reg samlpe2: 我们现在在使用一些比较老的木马时,可能会在注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、 Runservices、Runexec)]下生