批處理修改注冊表基礎(chǔ)教程

批處理修改注冊表基礎(chǔ)教程禁止使用命令提示符程序和批處理文件Windows2000/XP下的命令提示符（即CMD.exe程序）相當(dāng)于Windows98下的MS-DOS程序。出于系統(tǒng)本身安全考慮，應(yīng)防止非法用戶在命令提示符下或是利用批處理文件（BAT文件）對計算機進行破壞，這可通過修改注冊表來實現(xiàn)。選擇【開始】一【運行】命令，在【運行】對話框的【打開】文本框中輸入regedit.exe”，單擊【確定】按鈕，運行注冊表編輯器，依次打開以下鍵：HKEY_CURRENT_USER\Software\Policies\Microsoft\System在右邊的窗口中新建一個DWORD值，其名稱為DisableCMD，設(shè)數(shù)值數(shù)據(jù)為2，則表示命令提示符程序和批處理文件都不能被運行，其值為1，則只是禁止命令提示符的運行。示例：echoREGEDIT4>iedown.regecho[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]>>iedown.regecho〃1803〃=dword:00000000>>iedown.reg以上生成REG文件.regedit/siedown.regdeliedown.reg運行REG后刪除之.還可以：寫一個注冊表文件，放在一個位置..然后批處理導(dǎo)入：@echooffregedit/s注冊表文件路徑exit說明:/s是不彈出確認提示直接導(dǎo)入先學(xué)習(xí)一下如何使用.REG文件來操作注冊表.（我們可以用批處理來生成一個REG文件）關(guān)于注冊表的操作，常見的是創(chuàng)建、修改、刪除。創(chuàng)建創(chuàng)建分為兩種，一種是創(chuàng)建子項（Subkey）我們創(chuàng)建一個文件，內(nèi)容如下：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]然后執(zhí)行該腳本，你就已經(jīng)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下創(chuàng)建了一個名字為"hacker”的子項。另一種是創(chuàng)建一個項目名稱那這種文件格式就是典型的文件格式，和你從注冊表中導(dǎo)出的文件格式一致，內(nèi)容如下：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]〃Invader〃=〃Ex4rch〃〃Door〃=C:\\WINNT\\system32\\door.exe"Autodos"=dword:02這樣就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下新建了：Invader、door、about這三個項目Invader的類型是"Stringvalue"door的類型是"REGSZvalue"Autodos的類型是"DWORDvalue"修改修改相對來說比較簡單，只要把你需要修改的項目導(dǎo)出，然后用記事本進行修改，然后導(dǎo)入(regedit/s)即可。刪除我們首先來說說刪除一個項目名稱，我們創(chuàng)建一個如下的文件：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Ex4rch"=-執(zhí)行該腳本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被刪除了；我們再看看刪除一個子項，我們創(chuàng)建一個如下的腳本：WindowsRegistryEditorVersion5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]執(zhí)行該腳本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已經(jīng)被刪除了。相信看到這里，.reg文件你基本已經(jīng)掌握了。那么現(xiàn)在的目標就是用批處理來創(chuàng)建特定內(nèi)容的.reg文件了，記得我們前面說道的利用重定向符號可以很容易地創(chuàng)建特定類型的文件。samlpe1:如上面的那個例子，如想生成如下注冊表文件WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Invader"="Ex4rch""door"=hex:255"Autodos"=dword:000000128只需要這樣：@echoWindowsRegistryEditorVersion5.00>>Sample.reg@echo[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>Sample.reg@echo"Invader"="Ex4rch">>Sample.reg@echo"door"=5>>C:\\WINNT\\system32\\door.exe>>Sample.reg@echo"Autodos"=dword:02>>Sample.regsamlpe2:我們現(xiàn)在在使用一些比較老的木馬時，可能會在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一個鍵值用來實現(xiàn)木馬的自啟動.但是這樣很容易暴露木馬程序的路徑，從而導(dǎo)致木馬被查殺,相對地若是將木馬程序注冊為系統(tǒng)服務(wù)則相對安全一些.下面以配置好地IRC木馬DSNX為例（名為windrv32.exe）@startwindrv32.exe@attrib+h+rwindrv32.exe@echo[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>patch.dll@echo"windsnx"=->>patch.dll@sc.execreateWindriversrvtype=kernelstart=autodisplayname=WindowsDriverbinpath=c:\winnt\system32\windrv32.exe@regedit/spatch.dll?deletepatch.dll@REM[刪除DSNXDE在注冊表中的啟動項，用sc.exe將之注冊為系統(tǒng)關(guān)鍵性服務(wù)的同時將其屬性設(shè)為隱藏和只讀，并config為自啟動]@REM這樣不是更安全.怎么用批處理命令刪注冊表里的鍵值或用命令的方法刪注冊表值？REGDELETEKeyName[/vValueName|/ve|/va][/f]KeyName[\\Machine\]FullKeyMachine遠程機器名-忽略當(dāng)前機器的默認值。遠程機器上只有HKLM和HKU。FullKeyROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey所選ROOTKEY下的注冊表項的全名。ValueName所選項下的要刪除的值的名稱。省略時，該項下的所有子項和值都會被刪除。/ve刪除空白值名稱的值（默認）。/va刪除該項下的所有值。/f不用提示就強行刪除。例如：REGDELETEHKLM\Software\MyCo\MyApp\Timeout刪除注冊表項Timeout及其所有子項和值REGDELETE\\ZODIAC\HKLM\Software\MyCo/vMTU刪除ZODIAC上MyCo下的注冊表項MTUregedit.exe的參數(shù)filename導(dǎo)入.reg文件進注冊表/s導(dǎo)入.reg文件進注冊表（安靜模式）/e導(dǎo)出注冊表文件例：regedit/efilename.regHKEY_LOCAL_MACHINE\SYSTEM/L:system指定system.dat/R:user指定user.dat隱藏導(dǎo)入注冊表信息用regedit/s即可在DOS提示符下鍵入Regedit命令,將出現(xiàn)一個幫助屏幕。此屏幕給出了其命令行參數(shù)及其使用方法。語法:Regedit[/L:system][/R:user]filename1Regedit[/L:system][/R:user]/Cfilename2Regedit[/L:system][/R:user]/Efilename3[regpath]其中：/L:system指定system.dat文件的存放位置。/L:user指定user.dat文件的存放位置。filename1指定引入注冊表數(shù)據(jù)庫的文件名。/Cfilename2指定形成注冊表數(shù)據(jù)庫的文件名。/Efilename3指定導(dǎo)出注冊表文件的文件名。regpath指定導(dǎo)出注冊表文件的開始關(guān)鍵字（缺省為全部關(guān)鍵字）現(xiàn)舉幾個例子說明regedit.exe在DOS下的使用方法?！纠?】將系統(tǒng)注冊表數(shù)據(jù)庫registry導(dǎo)出到reg1.reg文件中。regedit/Ereg1.reg【例2】reg1.reg形成系統(tǒng)注冊表數(shù)據(jù)庫registry（全部）中。regedit/Creg1.reg【例3】將reg.dat引入系統(tǒng)注冊表數(shù)據(jù)庫中（部分）。regeditreg.dat【例4】將CJH開始的關(guān)鍵字導(dǎo)出注冊表數(shù)據(jù)庫，并命名為cjh.reg。regedit/Ecjh.regcjh【例5】指定system/dat存放在D:\PWIN中和user.dat存放在E:\PWIN中，將reg.dat數(shù)據(jù)文件形成一個新的注冊表數(shù)據(jù)庫registry。regedit/L:D:\PWIN/R:E:\PWIN/Creg.dat有了以上這些知識，結(jié)合在《對注冊表進行編程的“捷徑”》里講過的關(guān)于導(dǎo)入或?qū)С龅淖员砦募?.REG），我們就可以在DOS方式下對注冊表進行編程了。我們還是以更改“*.txt”文件的默認打開方式一一“記事本”為“寫字板”為例。首先在MS-DOS提示符下導(dǎo)出“HKEY_CLASSES_ROOT\txtfile”子鍵這一分支，即執(zhí)行命令：regedit/Etxt.regHKEY_CLASSES_ROOT\txtfile然后用DOS下的EDIT編輯器打開txt.reg文件進行編輯：將其中所有的"C:\\WINDOWS\\NOTEPAD.EXE”全部改成“C:\\WINDOWS\\WRITE.EXE”，存盤退出EDIT，再在命令行下執(zhí)行命令：regedittxt.regXP上新加的注冊表操作命令A(yù)DDREGADDKeyName[/vValueName|/ve][/tType][/sSeparator][/dData][/f]KeyName[\\Machine\]FullKey遠程機器的機器名-忽略默認到當(dāng)前機器。遠程機器上只有HKLM和HKU。FullKeyROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey所選ROOTKEY下注冊表項的完整名/v 所選項之下要添加的值名/ve 為注冊表項添加空白值名〈無名稱＞/t RegKey數(shù)據(jù)類型[REG_SZ |REG_MULTI_SZ|REG_DWORD_BIG_ENDIANREG_DWORD|REG_BINARY |REG_DWORD_LITTLE_ENDIAN|REG_NONE |REG_EXPAND_SZ]如果忽略，則采用REG_SZ/s 指定一個在REG_MULTI_SZ數(shù)據(jù)字符串中用作分隔符的字符如果忽略，則將〃\0〃用作分隔符/d 要分配給添加的注冊表ValueName的數(shù)據(jù)/f 不用提示就強行改寫現(xiàn)有注冊表項例如：REGADD\\ABC\HKLM\Software\MyCo添加遠程機器ABC上的一個注冊表項HKLM\Software\MyCoREGADDHKLM\Software\MyCo/vData/tREG_BINARY/dfe340ead

添加一個值（名稱：Data，類型：REG_BINARY，數(shù)據(jù)：fe340ead）REGADDHKLM\Software\MyCo/vMRU/tREG_MULTI_SZ/dfax\0mail添加一個值（名稱：MRU，類型：REG_MUTLI_SZ，數(shù)據(jù)：fax\0COMPAREREGCOMPAREKeyName1KeyName2[/vValueName|/ve][Output][/s]KeyName [\\Machine\]FullKeyMachine 遠程機器名-省略當(dāng)前機器的默認值遠程機器上只有HKLM和HKUFullKey ROOTKEY\SubKey如果沒有指定FullKey2，F(xiàn)ullKey2則跟FullKey1相同ROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]

SubKeyValueName所選ROOTKEYSubKeyValueName所選注冊表項下的要比較的值的名稱省略時，該項下的所有值都會得到比較/ve 比較空白值＜noname＞名稱的值/s 比較所有子項和值Output [/oa|/od|/os|/on]省略時，只顯示不同的結(jié)果/oa 顯示所有不同和匹配結(jié)果/od 只顯示不同的結(jié)果/os 只顯示匹配結(jié)果/on 不顯示結(jié)果返回代碼：0-成功，比較的結(jié)果相同-失敗-成功，比較的結(jié)果不同例如：REGCOMPAREHKLM\Software\MyCo\MyAppHKLM\Software\MyCo\SaveMyApp將注冊表項MyApp下的所有值跟SaveMyApp比較REGCOMPAREHKLM\Software\MyCoHKLMCOPYREGCOPYKeyName1KeyName2[/s][/f]KeyName [\\Machine\]FullKeyMachine 遠程機器名-忽略當(dāng)前機器的默認值遠程機器上只有HKLM和HKUFullKey ROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey 所選ROOTKEY下的注冊表項的全名/s 復(fù)制所有子項和值/f 不用提示就強行復(fù)制例如：REGCOPYHKLM\Software\MyCo\MyAppHKLM\Software\MyCo\SaveMyApp/s將注冊表項MyApp下的所有子項和值復(fù)制到注冊表項SaveMyAppREGCOPY\\ZODIAC\HKLM\Software\MyCoHKLMDELETEREGDELETEKeyName[/vValueName|/ve|/va][/f]KeyName [\\Machine\]FullKeyMachine 遠程機器名-忽略當(dāng)前機器的默認值遠程機器上只有HKLM和HKUFullKey ROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey所選ROOTKEY下的注冊表項的全名ValueName 所選項下的要刪除的值的名稱省略時，該項下的所有子項和值都會被刪除/ve 刪除空白值名稱＜noname＞的值/va 刪除該項下的所有值/f 不用提示就強行刪除例如：REGDELETEHKLM\Software\MyCo\MyApp\Timeout刪除注冊表項TLOADREGLOADKeyNameFileNameKeyName ROOTKEY\SubKey（只是本地機器的）ROOTKEY [HKLM|HKU]SubKey 要將配置單元文件加載進的注冊表項名稱。創(chuàng)建一個新的注冊表項FileName 要加載的配置單元文件名您必須使用REGSAVE來創(chuàng)建這個文件QUERYREGQUERYKeyName[/vValueName|/ve][/s]KeyName [\Machine\]FullKeyMachine 遠程機器名-忽略當(dāng)前機器的默認值遠程機器上只有HKLM和HKUFullKey 格式為ROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey所選ROOTKEY下的注冊表項的全名/v 查詢特定注冊表項ValueName 所選項下的要查詢的值的名稱省略時，該項下的所有值都會得到查詢/ve 查詢默認值或空白值名稱<noname>/s 查詢所有子項和值RESTOREREGRESTOREKeyNameFileNameKeyNameROOTKEY\SubKey（只是本地機器）ROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey 要將配置單元文件還原到的注冊表項全名。改寫現(xiàn)有項的值和子項FileName 要還原的配置單元文件名您必須使用REGSAVE來創(chuàng)建這個文件SAVEREGSAVEKeyNameFileNameKeyNameROOTKEY\SubKeyROOTKEY[HKLM|HKCU|HKCR|HKU|HKCC]SubKey 所選ROOTKEY下的注冊表項的全名FileName 要保存的磁盤文件名。如果沒有指定路徑，文件會在調(diào)用進程的當(dāng)前文件夾中得到創(chuàng)建UNLOADREGUNLOADKeyNameKeyName ROOTKEY\SubKey（只是本地機器的）ROOTKEY [HKLM|HKU]SubKey 要卸載的配置單元的注冊表項名稱regadd”項”/v（value的縮寫）值/t（type）reg_dword（默認是eg_sz）/d（data的縮寫）"要插入的數(shù)據(jù)值”/f（forbiden的縮寫，即強制的意思）例如regadd"HKLM\SYSTEM\CurrentControlSet\Control\Session"/vtest/treg_dword/d1/f這句命令就是往你的注冊表HKLM\SYSTEM\CurrentControlSet\Control\Session這個項下面新建一個reg_dowrd類型的值,名字為test,數(shù)據(jù)為1/f表示在運行如果注冊表里已經(jīng)有這個值也不會提示你，直接修改，如果沒有這個參數(shù)的話，它會提示你是不是要修改五.如何用批處理文件來操作注冊表在入侵過程中經(jīng)?；夭僮髯员淼奶囟ǖ逆I值來實現(xiàn)一定的目的，例如:為了達到隱藏后門、木馬程序而刪除Run下殘余的鍵值?；蛘邉?chuàng)建一個服務(wù)用以加載后門。當(dāng)然我們也會修改注冊表來加固系統(tǒng)或者改變系統(tǒng)的某個屬性，這些都需要我們對注冊表操作有一定的了解。下面我們就先學(xué)習(xí)一下如何使用.REG文件來操作注冊表.（我們可以用批處理來生成一個REG文件）關(guān)于注冊表的操作，常見的是創(chuàng)建、修改、刪除。創(chuàng)建創(chuàng)建分為兩種，一種是創(chuàng)建子項（Subkey）我們創(chuàng)建一個文件，內(nèi)容如下：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosofthacker]然后執(zhí)行該腳本，你就已經(jīng)在HKEY_LOCAL_MACHINESOFTWAREMicrosoft下創(chuàng)建了一個名字為“hacker”的子項。另一種是創(chuàng)建一個項目名稱那這種文件格式就是典型的文件格式，和你從注冊表中導(dǎo)出的文件格式一致，內(nèi)容如下：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"Invader"="Ex4rch”"Door"=C:\WINNT\system32\door.exe"Autodos"=dword:02這樣就在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下新建了：Invader、door、about這三個項目Invader的類型是“StringValue”door的類型是“REGSZValue”Autodos的類型是“DWORDValue”修改修改相對來說比較簡單，只要把你需要修改的項目導(dǎo)出，然后用記事本進行修改，然后導(dǎo)入(regedit/s)即可。刪除我們首先來說說刪除一個項目名稱，我們創(chuàng)建一個如下的文件：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]〃Ex4rch〃=-執(zhí)行該腳本，[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下的"Ex4rch"就被刪除了；我們再看看刪除一個子項，我們創(chuàng)建一個如下的腳本：WindowsRegistryEditorVersion5.00[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]執(zhí)行該腳本，[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]就已經(jīng)被刪除了。相信看到這里，.reg文件你基本已經(jīng)掌握了。那么現(xiàn)在的目標就是用批處理來創(chuàng)建特定內(nèi)容的.reg文件了，記得我們前面說道的利用重定向符號可以很容易地創(chuàng)建特定類型的文件。samlpe1:如上面的那個例子，如想生成如下注冊表文件WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]〃Invader〃=〃Ex4rch〃〃door〃=hex:255"Autodos"=dword:000000128只需要這樣：@echoWindowsRegistryEditorVersion5.00>>Sample.reg@echo[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]>Sample.reg@echo〃Invader〃=〃Ex4rch〃>>Sample.reg@echo〃door〃=5>>C:\WINNT\system32\door.exe>>Sample.reg@echo"Autodos"=dword:02>>Sample.regsamlpe2:我們現(xiàn)在在使用一些比較老的木馬時，可能會在注冊表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(Runonce 、Runservices、Runexec)]下生成一個鍵值用來實現(xiàn)木馬的自啟動.但是這樣很容易暴露木馬程序的路徑，從而導(dǎo)致木馬被查殺，相對地若是將木馬程序注冊為系統(tǒng)服務(wù)則相對安全一些.下面以配置好地IRC木馬DSNX為例(名為windrv32.exe)@startwindrv32.exe@attrib+h+rwindrv32.exe@echo[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]>>patch.dll@echo"windsnx"=->>patch.dll@sc.execreateWindriversrvtype=kernelstart=autodisplayname=WindowsDriverbinpath=c:winntsystem32windrv32.exe@regedit/spatch.dll?deletepatch.dll@REM[刪除DSNXDE在注冊表中的啟動項，用sc.exe將之注冊為系統(tǒng)關(guān)鍵性服務(wù)的同時將其屬性設(shè)為隱藏和只讀，并config為自啟動]@REM這樣不是更安全"_".六.精彩實例放送1.刪除win2k/xp系統(tǒng)默認共享的批處理 cutherethensaveas.bator.cmdfile?echopreparingtodeleteallthedefaultshares.whenreadypresanykey.?pause?echooff:Remcheckparametersifnullshowusage.if{%1}=={}goto:Usage:Remcodestart.echo.echo echo.echoNowdeletingallthedefaultshares.share%1$/deletenetshare%2$/deletenetshare%3$/deletenetshare%4$/deletenetshare%5$/deletenetshare%6$/deletenetshare%7$/deletenetshare%8$/deletenetshare%9$/deletenetstopServernetstartServerecho.echoAlltheshareshavebeendeleteedecho.echo ech