标签 ‘注册表’ 下的日志

vbs创建注册表项

作者:lcx

利用vbs创建注册表值较简单,创建注册表项的话,网上多是用wmi来,例如代码:

const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe"  ‘创建sethc.exe项
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath

阅读全文 »

Tags: , ,

注册表也LINK—REG_LINK

作者:MJ0011

NTFS有HARDLINK~ 注册表也有个REG_LINK类型
顾名思义,就是可以把一个真实存在的注册表映射成一个symbolic link类似的注册表~

实 际过程是使用ZwCreateKey创建一个REG_OPTION_CREATE_LINK的注册表键,然后给其设置SymbolicLinkValue 键值,DATA即是要创建连接的注册表名,然后就能自动link上了,操作被LINK的注册表项同操作原注册表项实质上一样,系统的SAM ControlSet等映射都是通过这个实现的~
阅读全文 »

Tags: ,

枚举注册表搜索病毒痕迹的实现思路

作者:灰狐
来源:灰狐's Blog

注:本文已发表在<黑客防线>2008年第1期,转载请注明出处.

在第11期的《黑客防线》中,我那篇关于algsrvs病毒专杀的文章中有点不太完美的地方,就是没有把清理注册表那一部分写完整,一个原因就是我在那里说的因为当时我已经把病毒清理干净了,没有记录下每一个相应键值的位置;还有一个原因就是就算我记录下来了,也是一件相当麻烦的事情,因为病毒在注册表中写入的信息相当地多,大概有几十处,这样一个一个删还不把人累死?

当然也不是没有办法,我今天就用一种比较简单的思路来进行演示:首先完整枚举所有项,检查其键值是否被病毒修改过,然后进入子项中递归调用此函数完成遍历注册表的功能。

为了程序的通用性,今天我就不用VCL库中的Registry类了,改用Windo 阅读全文 »

Tags: ,

隐藏注册表键代码

鬼仔注:备份

来源:VirVir'S Blog

这个代码某人说是他写的,不过我在国外一个网站上找到了一份差不多的,谁借鉴谁的,我也不管了,说不清……

代码下载

Tags:

一段隐藏注册表项的代码

作者:zzzevazzz
来源:EVA的回收站

发一段隐藏注册表项的驱动代码,可以过目前最新的IceSword1.22。

以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。

原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。
阅读全文 »

Tags:

整蛊之注册表终极操作

作者: 风泽[E.S.T]  来源:http://evilhsu.neeao.com/

你有没有遇到注册表被锁定,无法打开注册表来手工修复呢?HOHO~~很多人都为这个头疼吧,相信你被锁定一次就知道他的操作原理了:

修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的DisableRegistryTools值为1
解锁的方法也有几种,比如程序用API函数调用注册表直接删除,做一个REG文件直接导入,写一个脚本…………

今天我就教大家写个程序来实现另类锁定,哈哈~~是不是很好奇了?跟我来。

实验环境:windows2000
实验目的:锁定注册表(本方法利用了Cracker的思路来实现,直接让程序修改程序指令,使调用注册表程序禁止。)
实现方法:C程序

首先我们要按照Crac 阅读全文 »

Tags: