木马爱修改的常见注册表项及其功能

最新推荐文章于 2025-02-27 18:16:39 发布
原创 最新推荐文章于 2025-02-27 18:16:39 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#microsoft #internet #windows #user #command #system

本文详细介绍了木马程序如何通过修改Windows系统的注册表来实现各种功能,包括控制IE浏览器的设置如下载目录、起始页、右键菜单,以及隐藏桌面图标、限制用户安全设置等。同时,还提到了一些防止系统更新和防火墙启动的注册表修改方法。通过对这些关键注册表项的了解,可以帮助用户识别和修复系统可能存在的恶意篡改行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IE相关:

设置IE多线程下载网页的线程数:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings     

MaxConnectionPerServer(字符串值)        10(设置最大同步下载连接数为10)

MaxConnectionPer1_0Server(DWORD值)    10(对于HTTP1.0服务器,设置最大同步下载连接数为10)

 

设置IE的缺省下载目录:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

DownLoadDirectory(字符串值)       C:\My Documents

 

设置IE起始页面:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Start Page(字符串值)     http://www.baidu.com

 

设置IE默认页:

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Default_Page_URL(字符串值)     http://www.baidu.com

 

设置IE主页跳转页:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

值:"C:\Program Files\Internet Explorer\iexplore.exe" www.baidu.com

则点击IE图标后,会跳转到www.baidu.com

设置IE标题栏:

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Window Title(字符串值)         IE欢迎你

 

设置IE右键菜单:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

 

IE默认搜索引擎被修改:

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Search\SearchAssistant

 

隐藏IE桌面图标:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}

值:0x00000001(1)

 

当windows为经典主题时,隐藏桌面IE图标:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}

值:0x00000001(1)

 

 

IE最近浏览网址25个历史记录:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

 

设置IE History、cookies、cache、Favorites的存储位置:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell Folders

History(字符串值)     D:\Smartdrv

cookies(字符串值)     ……

cache(字符串值)       ……

Favorites(字符串值)    ……

 

设置IE页面随滚动条平滑滚动:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

SmoothScroll(DWORD值)    0(跳跃式滚动)\1(平滑滚动)

 

关闭IE时清空临时文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Cache

Persistent(DWORD值)      0(清空临时文件)\1(不清空临时文件)

 

设置网页的背景颜色:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\Scripts

BackgroundColor(字符串值)    192,192,192

 

设置IE在网页中是否显示图片:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Display Inline Images(字符串值)    yes(显示图片)\no(不显示图片)

 

禁止用户添加安全区域中受限制站点:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings         

Security_zones_map_edit(字符串值)     0(启用)\1(禁用)

 

禁止用户在Internet选项-安全中更改Internet安全级别:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings

Security_options_edit(字符串值)      0(启用)\1(禁用)

 

设置Internet 选项中各选项卡访问权限:

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

generaltab(DWORD值)        0(允许使用常规选项卡)\1(禁止使用常规选项卡)

SecurityTab(DWORD值)       0(允许使用安全选项卡)\1(禁止使用安全选项卡)

contenttaba(DWORD值)       0(允许使用内容选项卡)\1(禁止使用内容选项卡)

connectiontab(DWORD值)     0(允许使用连接选项卡)\1(禁止使用连接选项卡)

ProgramsTab(DWORD值)      0(允许使用程序选项卡)\1(禁止使用程序选项卡)

Advancedtab(DWORD值)       0(允许使用高级选项卡)\1(禁止使用高级选项卡)

 

设置“常规”选项卡中按钮是否可用:

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

HomePage(DWORD值)         0(可以更改默认主页设置)\1(禁用更改默认主页设置)

settings(DWORD值)            0(可以更改Internet临时文件栏)\1(禁止更改Internet临时文件栏)

history(DWORD值)            0(可以更改历史记录栏)\1(禁止更改历史记录栏)

 

设置“内容”选项卡中按钮是否可用:

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

Ratings(DWORD值)            0(可以更改内容审查程序栏)\1(禁止更改内容审查程序栏)

Certificates(DWORD值)         0(可以使用证书栏中的发行商和证书按钮)\1(禁止使用证书栏中的发行商和证书按钮)

CertifPers\CertifSite(DWORD值)  0(可以使用证书栏中的证书按钮)\1(禁止使用证书栏中的证书按钮)

CertifPub(DWORD值)           0(可以使用证书栏中的发行商按钮)\1(禁止使用证书栏中的发行商按钮)

Profiles(DWORD值)             0(可以使用个人信息栏中的配置文件按钮)\1(禁止使用个人信息栏中的配置文件按钮)

 

设置“程序”选项卡中的按钮是否可用:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ControlPanel

Calendarcontact(DWORD值)      0(可以使用日历和联系人列表)\1(禁止使用日历和联系人列表)

messaging(DWORD值)           0(可以使用电子邮件、新闻组及Internet呼叫)\1(禁止使用电子邮件、新闻组及Internet呼叫)

ResetWebSettings(DWORD值)     0(可以使用重置web设置按钮)\1(禁止使用重置web设置按钮)

check_if_default(DWORD值)      0(可以使用检查Internet Explorer是否为默认浏览器复选框)\1(禁止使用检查Internet Explorer是否为默认浏览器复选框)

 

设置“安全”选项卡中的按钮是否可用:

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

SeeChangeSettings(DWORD值)      0(可以更改安全级别)\1(禁止更改安全级别

SecAddsites(DWORD值)            0(可以使用站点按钮)\1(禁止使用站点按钮)

 

设置“连接”选项卡中的按钮是否可用:

ConnectionSettings(DWORD值)    0(可以使用局域网设置按钮)\1(禁止使用局域网设置按钮)

Connwizadmin lock(DWORD值)     0(可以使用Internet连接设置按钮)\1(禁止使用Internet连接设置按钮)

 

 

              

映像劫持:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Image File Execution Options

 

 

无法显示隐藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002    (修复类型为dword,键值为1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL    CheckedValue dword:00000000     (修复为1)

 

 

修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

 

 

删除以下注册表项,使用户无法进入安全模式:

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

 

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

 

 

不常见的自启动项:

HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"生成的随机CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"随机字符串" "病毒文件全路径"

 

 

Svchost的分组信息:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost

 

 

木马程序可通过文件关联加载:

HKEY_CLASSES_ROOT xtfileshellopencommand 关联TXT文件
HKEY_CLASSES_ROOTdllfileshellopencommand 关联DLL文件
HKEY_CLASSES_ROOTexefileshellopencommand 关联EXE文件
HKEY_CLASSES_ROOTcomfileshellopencommand 关联COM文件
HKEY_CLASSES_ROOTatfileshellopencommand 关联BAT文件
HKEY_CLASSES_ROOThtafileshellopencommand 关联HTA文件
HKEY_CLASSES_ROOTpiffileshellopencommand 关联PIF文件
HKEY_LOCAL_MACHINEsoftware xtfileshellopen command 关联TXT文件
HKEY_LOCAL_MACHINEsoftwaredllfileshellopen command 关联DLL文件
HKEY_LOCAL_MACHINEsoftwareexefileshellopen command 关联EXE文件
HKEY_LOCAL_MACHINEsoftwarecomfileshellopen command 关COM联文件
HKEY_LOCAL_MACHINEsoftwareatfileshellopen command关联BAT文件
HKEY_LOCAL_MACHINEsoftwarehtafileshellopen command关联HTA文件
HKEY_LOCAL_MACHINEsoftwarepiffileshellopen command关联PIF文件
在上述十四处位置中,“COMMAND”子键的默认键值均应为“%d” %*,如果被改为VirusFileName.exe“%d” %*,则双击以上扩展名文件时,木马病毒VirusFileName将立即自动启动。

 

 

Active-X控件,先于任何Run键运行的程序(包括杀毒软件)执行:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents

Stubpath    pathfileVirusFileName.exe

 

 

NTFS格式的硬盘没有安全选项:

打开一个文件夹,点菜单栏-工具-选项-查看-把“使用简单文件共享(推荐)”前的勾取消-确定。就有“安全”选项卡了。

 

 

注册表编辑器收藏夹注册表键:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites

 

 

禁止和解禁注册表编辑器:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools(DWORD类型)           1(禁止)\0(允许)

 

 

组策略解禁注册表:

1、  单击“开始→运行”(win+r),输入“Gpedit.msc”后回车,打开“组策略”。

2、依次展开“用户配置→管理模板→系统”,双击右侧窗口中的“阻止访问注册表编辑工具”。
3、在弹出的窗口中选择“已禁用”“确定”后再退出“组策略”,即可为注册表解锁。

 

 

禁用任务管理器:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr(DWORD类型)         1(禁止)\0(允许)

 

 

系统启动时弹出对话框:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon

LegalNoticeCaption           (代表提示框标题)

LegalNoticeText              (代表提示框文本内容)

删除这两个字符串即可。

 

 

设置从睡眠或挂起状态恢复时输入密码:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Power

PromptPasswordOnResume(DWORD类型)            1(需要密码)\0(不需要密码)

 

 

输入法相关:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts

以及ControlSet001和ControlSet002下相关项

修改注册表对付病毒、木马、后门及黑客程序
eickandy的专栏
09-17 2060
修改注册表对付病毒、木马、后门及黑客程序
木马编程DIY之注册表管理
冷风
10-20 2916
.九九重阳了,再发篇文章,意思意思..........木马编程DIY之注册表管理   文/图 冷风 前几期分别讨论了,系统服务,文件传输,网络文本语音和其它方面的内容,现在我们来讨论在木马注册表的实现,就我自己感觉在木马中对注册表的使用并不多,写其它程序时反倒用的不少.不过注册表还是比较重要的学会它不会吃亏呵呵,我们自己实现的效果如图所示一些基础开始前先了解一些基础知识,对后
病毒或木马修改注册表,导执可执行文件无法执行的处理办法
dianmeilan7150的博客
08-13 250
这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.这回输入了regedit后,过了一会才出现注册表编辑器.觉得有...
黑客经常更改的系统配置文件及注册表(转)
08-12 586
黑客经常更改的系统配置文件及注册表(转)[@more@]目前,从计算机病毒的发展趋势来看,蠕虫/特洛伊类的病毒越来越多。与普通感染可执行文件的文件型病毒不同,此类程序通常不感染正常的系统文件,而是将自身作为系统的一部分安装到系统...
注册表木马(一)——注册表读写
weixin_33695082的博客
12-07 298
 木马是什么?     木马(网络程序) = 客户端程序(控制端) + 服务端(被控端)     服务端程序开启远程后门     客户端使用Telnet进行远程控制     服务端程序需要在每次电脑开机时运行,这就需要在注册表中添加开机启动。  注册表木马的自启动,在Windows启动时,自动加载。     注册...
104种常见木马的清除方法
11-21
- **v2.2**:此版本木马更为复杂,除了通过注册表添加启动项外,还会修改系统文件。清除步骤包括: - 使用MS-DOS方式删除被感染的文件,例如`C:\windows\system\kernel32.exe`。 - 在`Regedit`中检查并删除相关的...
有效防止ASP木马上传运行—小知识[网络安全技术]
10-28
与WScript.Shell类似,通过修改注册表中的HKEY_CLASSES_ROOT\Shell.Application\及其相关项来重命名或删除Shell.Application组件,可以有效地阻止ASP木马的利用。要确保更改注册表后重启Web服务,更改才能生效。同样...
注册表检测 可以检测你的注册表是否被黑客或某些程序更改过
05-14
注册表检测 可以检测你的注册表是否被黑客或某些程序更改过 注册表检测 可以检测你的注册表是否被黑客或某些程序更改过
常见web中间件及其漏洞概述
qq_45001989的博客
08-27 2565
常见web中间件及其漏洞概述 (一) IIS 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apache 1、解析漏洞 2、目录遍历 (三) Nginx 1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 (四)Tomcat 1、远程代码执行 2、war后门文件部署 (五)jBoss 1、反序列化漏洞 2、war后门文件部署 (六)WebLogic 1、反序列化漏洞 2、SSRF 3、任意文件上传 4、war后门文件部署 (七)其它中间件相关漏洞 1、FastCGI未授权
抢先了解最易被黑客利用的注册表位置(转)
cuie8092的博客
08-06 200
现在人们总会遇到这样地情况,某天打开自己mail中的一个附件,因为那个mail的地址和自己一个同事的地址很像,因此没有多考虑就将附件下载打开了。不想这个附件是个病毒,它让自己的机器变的很慢,杀毒之后也没有太大作用。   其...
剖析恶意网页修改注册表的十二种现象
suspension·成长之路·操作系统blog
10-10 1595
剖析恶意网页修改注册表的十二种现象近来,屡屡发生网友在浏览网页时,造成注册表修改,使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址(多为广告信息),更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告,而且有愈演愈烈之势,遇到这种情况我们该怎样办呢?    一、注册表修改的原因及解决办法   其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广
30个木马隐藏技巧与反制策略 不容错过!
最新发布
wangluoanquan111的博客
02-27 949
木马,作为网络安全领域的一大威胁,其反制与隐藏技术一直是黑客与安全专家关注的焦点。本文将深入探讨30个非常专业的木马反制与隐藏技巧,旨在帮助读者更好地理解木马的运作机制,并提升网络安全防护能力。
Windows 10 让所有程序默认为“以管理员身份运行”并且取消“确认”按钮
广而不精Zhu小白
01-03 5594
Windows 10 让所有程序默认为“以管理员身份运行”并且取消“确认”按钮
解决WIN10的权限问题.
jasonM2008的专栏
04-08 8672
WIN10上相比WIN7最大使用不便就是权限问题.解决办法:打开注册表: regeditHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System 修改这个路径下的键值:EnableLUA  从1 设置为0...
Windows基础】注册表
一起加油~
12-09 6250
本文详细介绍了Windows中的注册表的一些知识,然后介绍了几个利用注册表实现的操作,比如个性化时间设置,禁用任务管理器,禁用控制面板等等。然后介绍了注册表的维护和优化的一些方法。
Windows注册表内容详解
luoxiaojuan2的专栏
01-18 7809
第一课  注册表基础 一、什么是注册表     注册表windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。     注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注
主流DLL木马清除技术与远程控制策略
修改注册表来实现开机启动是木马常见的手段。学习如何安全地操作注册表,可以帮助用户或安全专家发现和删除这类木马。 ### 实际操作建议 在处理DLL木马时,需要特别小心,因为错误的操作可能会影响系统的稳定性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值