木马爱修改的常见注册表项及其功能

2024-05-26 03:19:13

IE相关：

设置IE多线程下载网页的线程数：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings

MaxConnectionPerServer（字符串值） 10（设置最大同步下载连接数为10）

MaxConnectionPer1_0Server（DWORD值） 10（对于HTTP1.0服务器，设置最大同步下载连接数为10）

设置IE的缺省下载目录：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

DownLoadDirectory（字符串值） C:\My Documents

设置IE起始页面：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Start Page（字符串值） http://www.baidu.com

设置IE默认页：

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Default_Page_URL（字符串值） http://www.baidu.com

设置IE主页跳转页：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

值："C:\Program Files\Internet Explorer\iexplore.exe" www.baidu.com

则点击IE图标后，会跳转到www.baidu.com。

设置IE标题栏：

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Main

Window Title（字符串值） IE欢迎你

设置IE右键菜单：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

IE默认搜索引擎被修改：

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer\Search\SearchAssistant

隐藏IE桌面图标：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}

值：0x00000001(1)

当windows为经典主题时，隐藏桌面IE图标：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}

值：0x00000001(1)

IE最近浏览网址25个历史记录：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

设置IE History、cookies、cache、Favorites的存储位置：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell Folders

History（字符串值） D:\Smartdrv

cookies（字符串值） ……

cache（字符串值） ……

Favorites（字符串值） ……

设置IE页面随滚动条平滑滚动：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

SmoothScroll（DWORD值） 0（跳跃式滚动）\1（平滑滚动）

关闭IE时清空临时文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Cache

Persistent（DWORD值） 0（清空临时文件）\1（不清空临时文件）

设置网页的背景颜色：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\Scripts

BackgroundColor（字符串值） 192,192,192

设置IE在网页中是否显示图片：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Display Inline Images（字符串值） yes（显示图片）\no（不显示图片）

禁止用户添加安全区域中受限制站点：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings

Security_zones_map_edit （字符串值） 0（启用）\1（禁用）

禁止用户在Internet选项-安全中更改Internet安全级别：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings

Security_options_edit（字符串值） 0（启用）\1（禁用）

设置Internet 选项中各选项卡访问权限：

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

generaltab（DWORD值） 0（允许使用常规选项卡）\1（禁止使用常规选项卡）

SecurityTab（DWORD值） 0（允许使用安全选项卡）\1（禁止使用安全选项卡）

contenttaba（DWORD值） 0（允许使用内容选项卡）\1（禁止使用内容选项卡）

connectiontab（DWORD值） 0（允许使用连接选项卡）\1（禁止使用连接选项卡）

ProgramsTab（DWORD值） 0（允许使用程序选项卡）\1（禁止使用程序选项卡）

Advancedtab（DWORD值） 0（允许使用高级选项卡）\1（禁止使用高级选项卡）

设置“常规”选项卡中按钮是否可用：

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

HomePage（DWORD值） 0（可以更改默认主页设置）\1（禁用更改默认主页设置）

settings（DWORD值）0（可以更改Internet临时文件栏）\1（禁止更改Internet临时文件栏）

history（DWORD值） 0（可以更改历史记录栏）\1（禁止更改历史记录栏）

设置“内容”选项卡中按钮是否可用：

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

Ratings（DWORD值） 0（可以更改内容审查程序栏）\1（禁止更改内容审查程序栏）

Certificates（DWORD值） 0（可以使用证书栏中的发行商和证书按钮）\1（禁止使用证书栏中的发行商和证书按钮）

CertifPers\CertifSite（DWORD值） 0（可以使用证书栏中的证书按钮）\1（禁止使用证书栏中的证书按钮）

CertifPub（DWORD值） 0（可以使用证书栏中的发行商按钮）\1（禁止使用证书栏中的发行商按钮）

Profiles（DWORD值） 0（可以使用个人信息栏中的配置文件按钮）\1（禁止使用个人信息栏中的配置文件按钮）

设置“程序”选项卡中的按钮是否可用：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ControlPanel

Calendarcontact（DWORD值） 0（可以使用日历和联系人列表）\1（禁止使用日历和联系人列表）

messaging（DWORD值） 0（可以使用电子邮件、新闻组及Internet呼叫）\1（禁止使用电子邮件、新闻组及Internet呼叫）

ResetWebSettings（DWORD值） 0（可以使用重置web设置按钮）\1（禁止使用重置web设置按钮）

check_if_default（DWORD值） 0（可以使用检查Internet Explorer是否为默认浏览器复选框）\1（禁止使用检查Internet Explorer是否为默认浏览器复选框）

设置“安全”选项卡中的按钮是否可用：

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel

SeeChangeSettings（DWORD值） 0（可以更改安全级别）\1（禁止更改安全级别）

SecAddsites（DWORD值） 0（可以使用站点按钮）\1（禁止使用站点按钮）

设置“连接”选项卡中的按钮是否可用：

ConnectionSettings（DWORD值） 0（可以使用局域网设置按钮）\1（禁止使用局域网设置按钮）

Connwizadmin lock（DWORD值） 0（可以使用 Internet连接设置按钮）\1（禁止使用Internet连接设置按钮）

映像劫持：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Image File Execution Options

无法显示隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002 （修复类型为dword，键值为1）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000 （修复为1）

修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

删除以下注册表项，使用户无法进入安全模式：

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

不常见的自启动项：

HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"生成的随机CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"随机字符串" "病毒文件全路径"

Svchost的分组信息：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost

木马程序可通过文件关联加载：

HKEY_CLASSES_ROOT xtfileshellopencommand 关联TXT文件
HKEY_CLASSES_ROOTdllfileshellopencommand 关联DLL文件
HKEY_CLASSES_ROOTexefileshellopencommand 关联EXE文件
HKEY_CLASSES_ROOTcomfileshellopencommand 关联COM文件
HKEY_CLASSES_ROOTatfileshellopencommand 关联BAT文件
HKEY_CLASSES_ROOThtafileshellopencommand 关联HTA文件
HKEY_CLASSES_ROOTpiffileshellopencommand 关联PIF文件
HKEY_LOCAL_MACHINEsoftware xtfileshellopen command 关联TXT文件
HKEY_LOCAL_MACHINEsoftwaredllfileshellopen command 关联DLL文件
HKEY_LOCAL_MACHINEsoftwareexefileshellopen command 关联EXE文件
HKEY_LOCAL_MACHINEsoftwarecomfileshellopen command 关COM联文件
HKEY_LOCAL_MACHINEsoftwareatfileshellopen command关联BAT文件
HKEY_LOCAL_MACHINEsoftwarehtafileshellopen command关联HTA文件
HKEY_LOCAL_MACHINEsoftwarepiffileshellopen command关联PIF文件
在上述十四处位置中，“COMMAND”子键的默认键值均应为“%d” %＊，如果被改为VirusFileName.exe“%d” %＊，则双击以上扩展名文件时，木马病毒VirusFileName将立即自动启动。

Active-X控件，先于任何Run键运行的程序（包括杀毒软件）执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents

Stubpath pathfileVirusFileName.exe

NTFS格式的硬盘没有安全选项:

打开一个文件夹，点菜单栏－工具－选项－查看－把“使用简单文件共享（推荐）”前的勾取消－确定。就有“安全”选项卡了。

注册表编辑器收藏夹注册表键：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites

禁止和解禁注册表编辑器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools（DWORD类型） 1（禁止）\0（允许）

组策略解禁注册表：

1、单击“开始→运行”(win+r)，输入“Gpedit.msc”后回车，打开“组策略”。

2、依次展开“用户配置→管理模板→系统”，双击右侧窗口中的“阻止访问注册表编辑工具”。
3、在弹出的窗口中选择“已禁用”“确定”后再退出“组策略”，即可为注册表解锁。

禁用任务管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr（DWORD类型） 1（禁止）\0（允许）

系统启动时弹出对话框：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon

LegalNoticeCaption （代表提示框标题）

LegalNoticeText （代表提示框文本内容）

删除这两个字符串即可。

设置从睡眠或挂起状态恢复时输入密码：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Power

PromptPasswordOnResume（DWORD类型） 1（需要密码）\0（不需要密码）

输入法相关：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\KeyboardLayouts

以及ControlSet001和ControlSet002下相关项

木马爱修改的常见注册表项及其功能相关推荐

windows卸载qt_在Qt中，如何使用QSettings创建/修改/删除Windows注册表项/值？
我想让我的Qt应用程序访问Windows注册表. 我做了一些研究,认为QSettings可能是要走的路. 假设我要将密钥/值放在这里:" HKEY_LOCAL_MACHINE SOFTWAR ...
IE主页注册表项修改
IE主页注册表项修改一.对IE浏览器产生破坏的网页病毒: (一).默认主页被修改 1.破坏特性:默认主页被自动改为某网站的网址. 2.表现形式:浏览器的默认主页被自动设为如********.COM的 ...
如何通过使用注册项 (.reg) 文件添加、修改或删除注册表子项和值
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统.Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题.使用注册表编辑器需要您自担风险. 本文分步介绍了如何使用注 ...
命令编写注册表文件修改注册表项
命令编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的 ...
通过修改explorer.exe内存隐藏文件及注册表项
记录今天分析的一个隐藏自身及注册表项的病毒. 1.概述: (1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动项: HKEY_CURRENT_USER\So ...
编写注册表文件修改注册表项
编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的操作 ...
Microsoft Visio Premium 2010安装过程中遇到错误1402所需修改的注册表项
2019独角兽企业重金招聘Python工程师标准>>> 昨天为了画一个数据库的模型图,装了下Visio,结果安装的时候一直报1402的错误,而且每次安装时候遇到这个错误,都需要回滚重 ...
EnablePrefetcher注册表项的修改与电脑提速
前些天在图书馆找教材,偶然发现一本windows dos命令应用技巧的书,发现了几个有用的注册表项 EnablePrefetcher这个注册表项是windows用来控制系统预读取数据开放程度的参数,其 ...
以system用户登录win7修改删除注册表项的方法
有些注册表项只有system用户才具备有效权限修改和删除,管理员都无权.如何以system用户登录windows呢?按下面步骤即可. 1.以管理员用户运行 cmd . exe sc Create ...

最新文章

热门文章