在Windows操作系统下,主要有2个文件夹和8个注册表键项控制程序的自启动,下面主要介绍这2个文件夹和8 个注册表项: 1.用户专用启动文件夹-——最常见的自启动程序文件夹,它位于系统分区盘下,路径为...3.LOAD注册键: 位于:[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load] 描述:一般埋藏的比较深的注册表项...] 描述:一般情况下其默认值为“userinit.exe”,由于该子键的值中可用使用逗号分隔开多个程序,所以 在键值的数值中可以加入其它程序,系统启动时加载程序的。...\CurrentVersion\RunOnce] 描述:位于[HKEY_LOCAL_MACHINE]根键下的“RunOnce”子键在用户登录后及其它注册表的Run键值加载程序前加 载相关联的程序...位于[HKEY_CURRENT_USER]根键下的“RunOnce”子键在操作系统处理完其它注册表Run子键及自启动文件 夹内的程序后再加载 系统为Windows
Windows注册表(Registry)是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。...以下是注册表的一些基本概念: 键(Key): 注册表中的数据结构,类似于文件夹,用于组织和存储相关的信息。每个键可以包含子键和/或值。...子键(Subkey): 位于注册表中的键的层次结构中的更深一层的键。子键可以包含其他子键或值。 值(Value): 存储在注册表中的数据单元,通常与键相关联。值可以包含配置信息、用户设置等数据。...Windows注册表的作用包括: 存储系统配置信息: 注册表中存储了操作系统的配置信息,包括系统启动时需要加载的驱动程序、系统服务、文件关联等。...它可以用来遍历注册表键中的所有值,以便你可以获取键中包含的信息。
1 Windows 注册表是什么 简单来说,注册表是一个存储操作系统配置设置的数据库:内核、设备驱动程序、服务、SAM、用户界面和第三方应用程序都使用注册表,这使得注册表成为攻击者非常关注的一个点。...检查 regedit.exe 中的注册表后,它们的排列方式似乎与文件系统类似,每个 hive 都有许多键,键可以有多个子键,键或子键用来存储值。注册表项由名称和值组成,成一对。...例如,如果将上述命令中的路径 software\microsoft\windows nt\currentversion\schedule 替换为 software,则输出将列出 HKEY_LOCAL_MACHINE...读取值 现在让我们尝试读取子键的值,对于示例,将读取 Drivers32 子键 (定义应用程序的 Windows NT DLL) 的值。...@(2147483650, "software\microsoft\windows\currentversion\run", 32) 上图中的 bGranted 属性告诉我们是否可以访问注册表中的特定项目
注册表包含Windows在运行期间不断引用的信息,例如,每个用户的配置文件、计算机上安装的应用程序可以创建的文档类型、正在使用哪些端口以及包含了有关计算机如何运行的信息。...病毒对注册表的利用 (注:最好在虚拟机中实验)打开注册表,点开如下路径,右键->新建字符串,可以自由取名,然后双击编辑,在数值数据中填入记事本程序所在路径。...\SOFTWARE\Mircrosoft\Windows\CurrentVersion\RunOnceEx] 该键是windows xp/2003 特有的自启动注册表项 2.Run相关以外的自启动项 (...NT\CurrentVersion\Windows\load] 这个win7也没有找到 查看注册表自启动项的工具 Autoruns.exe 该工具可列举所有能够实现程序自启动的注册表项,并且进行分类,...还可以修改各个启动项的值使其直接在注册表中生效,同时可以通过右键菜单的jump to功能定位到注册表中相应的位置 利用注册表改变文本文件所关联的程序 各种类型的文件都要关联一个程序,从而使其可以被直接打开
早期的图形操作系统,如Win3.x中对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问...注册表包含了每个计算机用户的配置文件,以及有关系统硬件、已安装的程序和属性设置的信息。 可以使用注册表编辑器检查并修改注册表。...所有的数据都是通过一种树状结构以键和子键的方式组织起来,就象我们的磁盘文件系统的目录结构一样。 每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关联的。...在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。...在“数值数据”框中,键入该值的新数据,然后单击“确定”。 1.4.3.5 删除注册表项或值 单击要删除的注册表项或值项。 在“编辑”菜单上,单击“删除”。 注意:可以从注册表中删除注册表项和值。
1、软件自启动原理 软件自启动的原理要从Windows的注册表聊起,在Windows操作系统下,主要有2个文件夹和8个注册表键项控制程序的自启动,这部分的详细介绍可以参看博客http://www.cnblogs.com...它的位置在[HKEY_CURRENT_USER\Softvvare\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\...Microsoft\Windows\ CurrentVersion\Run]。...设置指定的名称/值对;RegistryKey.DeleteValue 方法 (String, Boolean)是从此项中删除指定的值。 ...在3编程实践中,对checkbox控件的Checkedchanged事件进行设置,在设置开机自启动中,启动软件JK信息写入“Run”键值;取消开机自启动中,删除软件JK信息“Run”键值中的值。
SharPersist 概述 SharPersist的创建是为了帮助使用多种不同的技术在Windows操作系统上建立持久性。...Service 创建新的 Windows 服务 service Yes Yes No Registry 注册表键/值创建/修改 reg No Yes No Scheduled Task Backdoor...注册表持久性 SharPersist中支持的注册表项的完整列表如下表所示。 注册表项代码 (-k) 注册表项 注册表值 是否需要管理权限? 支持 Env 可选附加组件(-o env)?...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值,其值为“cmd.exe/c calc.exe...我们正在删除先前创建的“Test”注册表值,然后我们列出了“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”的所有注册表值,以验证其是否已被成功删除
在Windows系统中,注册表本质上就是一个数据库,其中存放着硬件、软件、用户、操作系统以及程序相关设置信息。...我们除了使用regedit,也可以通过编程读取并操作系统注册表,以下以Python3为例。...一、访问注册表 具体代码如下,可访问用户账户列表: 该设置位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList...(None, HKEY_LOCAL_MACHINE) subDir = r'SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList' # 2....,从而间接获取用户账户信息: 二、修改注册表数据 以下以修改注册表中防火墙的公网和家用网络的开启和关闭为例。
每个计划任务都有一个唯一的 ID,用于标识和区分不同的任务。 Index:这个值指示任务在计划任务树中的索引位置。它表示任务在树中的相对位置,可以用来确定任务的顺序或层次关系。...创建 svchost.exe 进程:根据注册表中的配置信息,操作系统创建一个或多个 svchost.exe 进程,并为每个进程分配一个唯一的服务组标识。...它是一个注册表键值,AppInit_DLLs 注册表项的作用是指示操作系统在每个用户登录时加载指定的 DLL 文件 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows...NT\CurrentVersion\Windows中 Appinit_Dlls 的值 【 Windows Server 2016 】默认情况 AppInit_DLLs键的值是空的 3....在该注册表项中,每个子项对应一个已知的DLL文件,并且以DLL文件的名称作为子项的名称。
Windows会默认执行的相关注册表: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER...添加debugger键名 值为指向的路径。...7、Com劫持 程序在读取注册表信息中的DLL或者EXE功能的路径上,让程序提前读取设置好的恶意DLL或者EXE,原理其实和DLL劫持相近。...它负责收集有关计算机及其性能的各种技术数据,并将其发送给Microsoft进行Windows客户体验改善计划以及用于Windows操作系统的升级过程中。...而在CompatTelRunner.exe更新版本之前,这些检查将不会执行,并且将执行注册表项中的Command命令,而与windows版本无关。
Windows会默认执行的相关注册表: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER...debugger键名 值为指向的路径。...Com劫持 程序在读取注册表信息中的DLL或者EXE功能的路径上,让程序提前读取设置好的恶意DLL或者EXE,原理其实和DLL劫持相近。...它负责收集有关计算机及其性能的各种技术数据,并将其发送给Microsoft进行Windows客户体验改善计划以及用于Windows操作系统的升级过程中。...而在CompatTelRunner.exe更新版本之前,这些检查将不会执行,并且将执行注册表项中的Command命令,而与windows版本无关。
我们来确认一下,有没有安装什么软件把注册表给封了。如杀毒软件,防火墙等。把这些软件关了之后,再安装软件试试;如果不行,就把杀毒软件卸载了,再安装软件试试。 2....我们可以看到窗口右侧有很多选项,在“组策略”选项中找到:“阻止访问注册表编辑工具”,左键双击:“阻止访问注册表编辑工具”; ? 6....在弹出的“阻止访问注册表编辑工具”窗口中,选择:“已禁用”并点“确定”,退出“本地组策略编辑器”,则已经为注册表解锁。 image.png 7....第三步:通过上述操作后,如果还不能正常安装软件,可能是系统中毒了,我们可以使用专用的杀毒软件进行全盘杀毒,并把隔离区的病毒文件删除,防止二次病毒感染。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 对应的值,并且调用 Loadlibrary 来载入这个字符串中指定的每个...DLL的时候,会调用每个DLL中的DLLMain函数,并将参数 fdwReason 的值设置为 DLl_PROCESSS_ATTACH,这样每一个DLL就能对自己进行初始化。...由于注册表项中的DLL 在进程创建的早期就被User32.dll加载到了进程中,User32.dll不会检测每个DLL的载入是否成功,所以调用这些DLL中的函数可能会出问题。...注入32位进程,应该修改的注册表键为: # 将下面注册表的键对应的值设置为 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion...CurrentVersion\Windows\LoadAppInit_DLLs 注入64位进程,应该修改的注册表键为: # 将下面注册表的键对应的值设置为 1 HKEY_LOCAL_MACHINE\SOFTWARE
事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的”dubugger”键值名,并用其指定的程序路径来代替原始的程序...大家一定都知道映像劫持后门,在以下注册表中的sethc.exe项添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe...,如图: IFEO注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution...根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。...两个项值,如图: 那么,我们只需要需改对应的注册表即可: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
首先,已经很明确的知道对方Win7电脑存在默认共享,已经“启用文件和打印机共享”功能,而且有访问的账号(该账号可以正常登陆操作系统): image.png image.png 访问默认共享时提示...这就需要更改注册表,具体步骤如下: 编辑注册表 image.png HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies...右键新建键值类型为 DWORD (32-bit) 键名为 LocalAccountTokenFilterPolicy 设置值为1 已经测试:在不影响UAC功能的情况下,可以成功激活默认共享。...===把以下文本保存成reg文件双击直接导入注册表=============== Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE...\Microsoft\Windows\CurrentVersion\Policies\System] "LocalAccountTokenFilterPolicy"=dword:00000001
] 该目录下的内容与子目录结构与 Windows 操作系统类似,不再赘述。...app.getPath("userData"); 注册表键值 如果开发者使用 Electron 提供的开机自启动 API,为应用程序设置了开机自启动功能,那么在 Windows 操作系统下,用户注册表如下路径下会增加一个键值对...,有安装包势必就有卸载程序,操作系统一般会在注册表如下三个路径下记录系统的卸载程序路径: 计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion...这三部分联合起来最终构成了下载地址,每个部分都有其默认值,也有对应的重写该部分值的环境变量。 镜像部分的环境变量:ELECTRON_MIRROR。...和 Mac 操作系统下的缓存目录,这两个操作系统下的缓存目录作用是相同的、之后我们介绍了一个 Electron 应用会在 Windows 操作系统下留下哪些注册表信息、之后我们还介绍 Electron
[TOC] reg 命令 描述:reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项....以相应的子目录树开始路径.有效子目录树为HKCR、HKCU、HKLM、HKU以及HKCC WeiyiGeek.KeyName /v EntryName #指定操作的指定子项下的项名称 /ve #指定操作的注册表中的项为空值...基础示例: #查看 IEXPLORE.EXE 的路径(返回各个层中的所有子项和项) reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\...、项和值的文件复制到本地计算机的注册表中; 语法: reg import FileName 参数: FileName 指定将复制到本地计算机注册表中的文件的名称和路径,必须预先使用reg export...、项和注册表值的副本保存到指定文件中 语法: reg save KeyName FileName 参数: FileName:指定所创建的文件的名称和路径导入名称xxx.hiv 。
“启动”选项,打开“启动属性”窗口: 操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户时发现它确实存在: 但在本地安全策略中可看到...: 需通过在注册表中进行类似账号克隆的操作,分别将如下图所示的项分别导出为item1.reg和item2.reg: 在item1.reg中编辑F参数,通过复制Administrator在注册表中的...在注册表中添加启动自动运行后门 下图所示为注册表中启动自动运行的目标目录: 通过reg add "HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion...\Microsoft\Windows\CurrentVersion\RunServerOnce 只 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...值:恶意文件路径
然后打开注册表,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug子键分支,双击在它下面的Auto键值名称...Microsoft/Windows NT/CurrentVersion/Winlogon子键分支,双击在它下面的LegalNoticeCaption健值名称,打开“编辑字符串”窗口,在“数值数据”文本框中输入信息对话框的标题.../Windows/CurrentVersion的字符串ProductId HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion...在默认情况下,这个键值在注册表中是不存在的,必须自己建一个DWORD(双字节值)键值,命名为IOPageLockLimit。...4、设置CPU:Windows XP无法自动检测处理器的二级缓存容量,需要我们自己在注册表中手动设置,首先打开注册表(运行中输入“Regedit”),打开: HKEY_LOCAL_MACHINE/SYSTEM
领取专属 10元无门槛券
手把手带您无忧上云