玩转注册表

这篇具有很好参考价值的文章主要介绍了玩转注册表。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

       很多人都认识注册表,但是几乎没人搞懂过注册表。我来带大家玩转注册表,做这篇文章就想记录一下注册表里的一些路径(难找,记不住!),本文中我会介绍一些实用的利用注册表进行内网权限维持的一个思路和方法。没学网安的,会更了解注册表;大佬就复习复习怎么进行权限维持吧!

目录

注册表怎么打开?

IFEO(Image File Execution Options)映像劫持

 注册表里面的启动项

文件关联

 屏幕保护

时间提供者

Netsh助手DLL

winlogon用户初始化(千万千万千万不能乱改,搞不好会进不了系统)


注册表怎么打开?

使用快捷键win+r打开运行窗口,输入命令  regedit,按下回车键即可打开注册表编辑器。

IFEO(Image File Execution Options)映像劫持

原理:当我们双击运行程序的时候。系统就会查询IFEO注册表。如果发现存在完全相同的子键,就会查询对应的子键中包含的"debugger"键值名,如果这个键值名不为空的情况下 系统则会吧debugger参数指定的程序文件来作为启动的程序

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

操作过程:这个路径下有很多的exe程序,我这里选择IE浏览器来进行测试,点击iexplore.exe,在空白的地方右键,点击新建,选择字符串值(S),把它命名成debugger,数值数据填你想要运行的程序,我这里打开的是cmd。

玩转注册表

最后的效果:当点击IE浏览器时会弹出cmd的运行窗口。 

 玩转注册表

 注册表里面的启动项

路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
           HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

//如果改动里面的内容 不需要管理权限,针对于不同的用户。尽量写其他用户

玩转注册表
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

//如果改动里面的内容 需要管理员权限

玩转注册表

 

文件关联

文件关联就是将一种类型的文件与一个可以打开他的程序建立起一种关系

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command
          HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ratfile\Shell\Open\Command

 操作过程:复制HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\Shell\Open\Command,回车(我更改的是.txt后缀的文件,rat是其他后缀的文件),双击(默认),数值数据填你想要运行的程序,我这里打开的是cmd。
玩转注册表

 效果:当我打开.txt文件时运行了cmd。

玩转注册表

正常默认值是:C:\Windows\System32\NOTEPAD.EXE %1

 屏幕保护

屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。当我们更改了里面的值,用户在一段时间不活动后触发屏幕保护,也可以运行一些程序。因为屏幕保护程序是具有.scr文件扩展名的可执行文件,并通过scrnsave.scr实用程序执行。

屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是:                                         HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveActive
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaverIsSecure
           HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut

玩转注册表

 

时间提供者

WiThdows操作系统正在利用时间提供者体系结构,以便从网络中的其他网络设备或客户端获取准确的 时间戳。时间提供者以DLL文件的形式实现,该文件位于System32文件夹中。WiThdows启动期间将启 动服务W32Time并加载w32time.dll。DLL加载是一种已知的技术,通常使红队攻击者有机会执行任 意代码。

由于关联的服务会在WiThdows启动期间自动启动,因此可以将其用作持久性机制。但是,此方法需要管理 员级别的特权,因为指向时间提供者DLL文件的注册表项存储在HKEY_LOCAL_MACHINE中。根据 系统是用作NTP服务器还是NTP客户端,使用以下两个注册表位置。

路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSe rver

玩转注册表

 玩转注册表

 

Netsh助手DLL

Netsh是WiThdows实用程序,管理员可以使用它来执行与系统的网络配置有关的任务, 并在基于主机的 WiThdows防火墙上进行修改。可以通过使用DLL文件来扩展Netsh功能。此功能使红队可以使用此工具 来加载任意DLL,以实现代码执行并因此实现持久性。但是,此技术的实现需要本地管理员级别的权限。

可以通过Metasploit Framework 的“ msfvenom ”实用程序生成任意DLL文件

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh

玩转注册表

 

应该注意的是,某些可能安装在受感染系统上的VPN客户端可能会自动“ netsh ” 启动,因此可能不需要使用其他方法进行持久化。

winlogon用户初始化(千万千万千万不能乱改,搞不好会进不了系统)

winlogon.exe是windows中非常重要的进程,在用户还没有登录系统之前就存在。当用户登录时。winlogon进行负责将用户配置文件加载到注册表。有点像启动项。

路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
玩转注册表

Userinit的值只能增加,不能修改和删除,里面的值被修改或删除了,下次开机就会进不了系统,所以说不能乱改。进不了系统,不知道为什么,也可以往这个原因猜。文章来源地址https://www.toymoban.com/news/detail-450264.html

到了这里,关于玩转注册表的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows注册表清理

    伴随着系统运行时间不断增长,我们的电脑 注册表 中累积了许多垃圾文件。这些垃圾文件都是我们平常安装与卸载程序所留下的无用注册表信息,时间一长,垃圾文件与信息越来越多,我们电脑的运行速度越来越慢。 ​ 而且部分软件由于删除方式不对,导致一些残留注册表

    2024年02月08日
    浏览(50)
  • 注册表操作01

    注册表的组织方式主要分为 根键 、 子键 和 键值项 三部分。 (1)根键,可以把它们理解成磁盘的五个分区。 1.HKEY_CLASSES_ROOT; 2.HKEY_CURRENT_USER; 3.HKEY_LOCAL_MACHINE; 4.HKEY_USERS; 5.HKEY_CURRENT_CONFIG; (2)子键,可以有多个子键和键值项。 (3)键值项由三部分组成,分别为:名称

    2024年02月03日
    浏览(38)
  • 【Windows基础】注册表

    注册表是Windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的 核心\\\"数据库\\\" ,也可以说是一个非常巨大的 树状分层结构 的 数据库系统 注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插

    2024年02月04日
    浏览(57)
  • MFC 注册表

    2024年02月08日
    浏览(43)
  • Reg注册表读写

    在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备

    2024年02月09日
    浏览(38)
  • Unity 注册表操作

    内容将会持续更新,有错误的地方欢迎指正,谢谢!   Unity 注册表操作       TechX 坚持将创新的科技带给世界! 拥有更好的学习体验 —— 不断努力,不断进步,不断探索 TechX —— 心探索、心进取! 助力快速掌握 Registry 注册表操作 为初学者节省宝贵的学习时间,避免困惑

    2024年02月02日
    浏览(38)
  • 深入注册表监控

    注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了 CmRegisterCallback 这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用

    2024年02月08日
    浏览(40)
  • Windows技巧之注册表

    介绍 注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管

    2023年04月08日
    浏览(45)
  • DOS下操作注册表

    下面以彻底关闭window10 操作为背景,通过命令行对注册表进行操作. 执行命令需要管理员权限 如果目录中存在空格 需要双引号 hklm为 HKEY_LOCAL_MACHINE 的缩写 查询: QUERY 添加: ADD 删除: DELETE 复制: COPY 保存: SAVE /t 表示 类型 如下 /v 表示 键名 效果如下图 /d 表示 键值 效果如

    2024年02月10日
    浏览(42)
  • windows注册表启动项

    实际应急响应案例时,发现很多非常规的启动项以及ARK工具未涵盖的启动项,故收集资料对注册表有关的启动项进行总结,以后处置病毒无从下手时可以考虑从启动项排查。 1.Load注册键 介绍该注册键的资料不多,实际上它也能够自动启动程序。位置: HKEY_CURRENT_USERSoftwareMi

    2024年02月05日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包