鬼仔's Blog

作者：lcx

利用vbs创建注册表值较简单，创建注册表项的话，网上多是用wmi来，例如代码：

const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"  ‘创建sethc.exe项
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath

阅读全文 »

作者：MJ0011

NTFS有HARDLINK~ 注册表也有个REG_LINK类型
顾名思义，就是可以把一个真实存在的注册表映射成一个symbolic link类似的注册表~

实 际过程是使用ZwCreateKey创建一个REG_OPTION_CREATE_LINK的注册表键，然后给其设置SymbolicLinkValue 键值，DATA即是要创建连接的注册表名，然后就能自动link上了，操作被LINK的注册表项同操作原注册表项实质上一样，系统的SAM ControlSet等映射都是通过这个实现的~
阅读全文 »

作者：灰狐
来源：灰狐's Blog

注:本文已发表在<黑客防线>2008年第1期,转载请注明出处.

在第11期的《黑客防线》中，我那篇关于algsrvs病毒专杀的文章中有点不太完美的地方，就是没有把清理注册表那一部分写完整，一个原因就是我在那里说的因为当时我已经把病毒清理干净了，没有记录下每一个相应键值的位置；还有一个原因就是就算我记录下来了，也是一件相当麻烦的事情，因为病毒在注册表中写入的信息相当地多，大概有几十处，这样一个一个删还不把人累死？

当然也不是没有办法，我今天就用一种比较简单的思路来进行演示：首先完整枚举所有项，检查其键值是否被病毒修改过，然后进入子项中递归调用此函数完成遍历注册表的功能。

为了程序的通用性，今天我就不用VCL库中的Registry类了，改用Windo 阅读全文 »

鬼仔注：备份

来源：VirVir'S Blog

这个代码某人说是他写的，不过我在国外一个网站上找到了一份差不多的，谁借鉴谁的，我也不管了，说不清……

代码下载

作者：zzzevazzz
来源：EVA的回收站

发一段隐藏注册表项的驱动代码，可以过目前最新的IceSword1.22。

以前驱动开发网悬赏挑战IceSword时写的，不过最后没公开。那时流氓软件势头正劲，我可不想火上浇油。现在反流氓软件日渐成熟，也就没关系了。知道了原理，防御是非常容易的。

原理很简单，实现的代码也很短，啥都不用说，各位直接看示例代码吧。
阅读全文 »

作者： 风泽[E.S.T]　　来源：http://evilhsu.neeao.com/

你有没有遇到注册表被锁定，无法打开注册表来手工修复呢？HOHO~~很多人都为这个头疼吧，相信你被锁定一次就知道他的操作原理了：

修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的DisableRegistryTools值为1
解锁的方法也有几种，比如程序用API函数调用注册表直接删除，做一个REG文件直接导入，写一个脚本…………

今天我就教大家写个程序来实现另类锁定，哈哈~~是不是很好奇了？跟我来。

实验环境：windows2000
实验目的：锁定注册表（本方法利用了Cracker的思路来实现，直接让程序修改程序指令，使调用注册表程序禁止。）
实现方法：C程序

首先我们要按照Crac 阅读全文 »