最简单的黑客密钥（黑客入门学习之）

最简单的黑客密钥（黑客入门学习之）注册表由键、子键和值项构成，一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。三、注册表的结构二、注册表的打开方法1.大家可以在开始菜单中的运行里输入regedit2.也可以在DOS下输入regedit

“黑客”入门学习之“windows注册表”

注册表是一个很神奇的"东东"，为什么这么神奇？因为即可利用注册表来搞破坏，又可以利用注册表防止黑客搞破坏；"矛与盾"学习就是本片文章主要的内容。

"好的，跟着我的文章开始学习吧！"

一、注册表的由来

从Windows 95开始，Microsoft在Windows中引入了注册表的概念。注册表是表格吗？这样理解是不准确的，注册表是Windows的核心数据库，表中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序运行的正常与否，如果该注册表由于某种原因受到了破坏，轻者可以使Windows的启动过程出现异常，重者可能会导致整个Windows系统的完全瘫痪。因此对于黑客入门学习，正确地认识和学习注册表是非常有必要的。

二、注册表的打开方法

1.大家可以在开始菜单中的运行里输入regedit

2.也可以在DOS下输入regedit

三、注册表的结构

注册表由键、子键和值项构成，一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。

将上述代码加入到上一章的Main函数中，重启计算机后，"病毒"就可实现自运行。可以修改上述代码中相应的注册表代码，以添加到不同的注册表项中实现自启动。

这里再讲一下整个程序的执行流程。首先当双击这个可执行文件后，会弹出对话框，提示用户"中毒"，之后单击"确定"，对话框消失，程序将自身复制到Windows目录以及系统目录中，之后创建并执行批处理文件以删除自身与该批处理，最后将Windows目录下的Hacked.exe添加到注册表中，以实现自启动。

上述功能也可以用批处理实现：代码如下：

@echo off

echo Windows Registry Editor Version 5.00 >>1.reg

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] >>1.reg

echo "Hacked.exe"="C:\\Windows\\Hacked.exe" >>1.reg

regedit /s 1.reg

del /f 1.reg

上述批处理代码会首先创建一个注册表文件（REG），将相应的代码写入该文件中，运行后再删除该注册表文件。

六、如何利用注册表防止黑客的破坏

通过修改注册表来对付病毒、木马、后门以及黑客程序，保证个人计算机的安全。

1.清理访问"网络邻居"后留下的字句信息

在HEKY_CURRENT_USERNetworkRecent下，删除下面的主键。

2.取消登陆时自动拨号

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkRealModeNet 下修改右边窗口中的"autologon"为"01 00 00 00 00"。

3.取消登录时选择用户

已经删除了所有用户，但登录时还要选择用户，我们要取消登录时选择用户，就要在HKEY_LOCAL_MACHINENetworkLogon 下，在右边的窗口中，修改"UserProfiles"值为"0"。

4.公开上机用户登录的名字

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon下在右边的窗口中新建字符串"DontDisplayLastUserName"，设值为"1"。

5.预防Acid Battery v1.0木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Explorer"键值，则说明中了YAI木马，将它删除。

6.预防YAI木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"Batterieanzeige"键值，则说明中了YAI木马，将它删除。

7.预防Eclipse 2000木马的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"bybt"键值，则将它删除。

然后在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下删除右边的键值"cksys"，重新启动电脑。

8.预防BO2000的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下若在右边窗口中如发现了"umgr32.EⅩE"键值，则说明中了BO2000，将它删除。

9.预防爱虫的破坏

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"MSKernel32"键值，就将它删除。

10.禁止出现IE菜单中"工具"栏里"interner选项"

把c:windowssystem下的名为inetcpl.cpl更名为inetcpl.old或则别的名字后就会出现禁止使用的情况把名字再换回来，就可以恢复使用。

11.预防BackDoor的破坏

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下若在右边窗口中如发现了"Notepad"键值，就将它删除。

12.预防WinNuke的破坏

在HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDMSTCP下在右边的窗口中新建或修改字符串"BSDUrgent"，设其值为0。

13.预防KeyboardGhost的破坏

在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下如发现 KG.EⅩE这一键值，就将它删除，并查找KG.EⅩE文件和kg.dat文件，将它们都删除。

14.查找NetSpy黑客程序

在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下，在右边的窗口中寻找键"NetSpy"，如果存在，就说明已经装有NetSpy黑客程序，把它删除。

15、让"文件系统"菜单在系统属性中消失为了防止非法用户随意篡改系统中的文件，我们有必要把"系统属性"中"文件系统"的菜单隐藏起来。隐藏时，只要在注册表编辑器中用鼠标依次打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System键值，在右边的窗口中新建一个DWORD串值："NoFileSysPage"，然后把它的值改为"1"即可。

16、让用户只使用指定的程序为防止用户非法运行或者修改程序，导致整个计算机系统处于混乱状态，我们可以通过修改注册表来达到让用户只能使用指定的程序的目的，从而保证系统的安全。设置时，可以在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值，然后在右边的窗口中新建一个DWORD串值，名字取为"RestrictRun"，把它的值设为"1"。然后在RestrictRun的主键下分别添加名为"1"、"2"、"3"等字符串值，然后将"1"，"2"、"3"等字符串的值设置为我们允许用户使用的程序名。例如将"1"、"2"、"3"分别设置为word.EXE、notepad.EXE、write.EXE，则用户只能使用word、记事本、写字板了，这样我们的系统将会做到最大的保障，也可以限制用户运行不必要的软件了。

17、禁用"任务栏属性"功能任务栏属性功能，可以方便用户对开始菜单进行修改，可以修改的很多属性和运行的程序，这在我们看来是件很危险的事情，所以有必要禁止对它的修改。修改设置时，首先运行regedit进入注册表编辑器，找到如下分支HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer，在右窗格内新建一个DWORD串值"NoSetTaskBar"，然后双击"NoSetTaskBar"键值，在弹出的对话框的"键值"框内输入1，就可以达到禁用"任务栏属性"功能了。

18、禁止修改显示属性有许多用户为了使自己使用的电脑外观设置变得更漂亮一点，以便能体现出个性化的风格，往往通过修改显示属性达到更改外观的目的。但在实践操作中，我们有时要保证所有计算机的设置都必须相同，以方便同步教学，这时我们就需要禁止修改显示属性了。修改时，可以用鼠标依次打开如下分支：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System，接着在右边的窗口中新建一个DOWRD串值：然后将"新值#1"更名为"NoDispCPL"，并将其值设为"1"就可以了。