前言
注册表(英语:Registry,中国大陆译作注册表,台湾、港、澳译作登录档)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的设置信息。(维基百科)
病毒木马常用注册表项
| 注册表项 |
数据类型 |
数据值 |
备注 |
| DisableCMD |
REG_DWORD |
1 |
禁止使用CMD |
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
| 注册表项 |
数据类型 |
数据值 |
备注 |
| NoClose |
REG_DWORD |
1 |
禁止使用关机 |
| NoControlPanel |
REG_DWORD |
1 |
禁止使用控制面板 |
| NoDesktop |
REG_DWORD |
1 |
禁止使用桌面 |
| NoDevice |
REG_DWORD |
0xffffffff |
禁止使用驱动器 |
| NoFileMenu |
REG_DWORD |
1 |
禁止使用文件菜单 |
| NoFind |
REG_DWORD |
1 |
禁止使用搜索 |
| NoFolderOption |
REG_DWORD |
1 |
禁止使用文件夹选项 |
| NoRun |
REG_DWORD |
1 |
禁止使用运行 |
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
| 注册表项 |
数据类型 |
数据值 |
备注 |
| Disableregistrytools |
REG_DWORD |
1 |
禁止使用注册表编辑器 |
| DisableTaskmgr |
REG_DWORD |
1 |
禁止使用任务管理器 |
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
| 注册表项 |
备注 |
| NoControlPanel |
禁止使用控制面板 |
| NoRun |
禁止使用运行 |
| NoClose |
禁止显示关闭系统 |
| NoLogOff |
禁止显示注销菜单 01 00 00 00 |
| NoViewContextMenu |
禁止使用鼠标右键 01 00 00 00 |
| NoDesktop |
禁止显示桌面 |
| NoDriveTypeAutoRun |
禁止驱动设备自启动 |
| NoFavoritesMenu |
禁止显示开始菜单中的收藏夹 |
| NoDeletePrinter |
禁止使用打印机中的删除打印机 |
| NoAddPrinter |
禁止使用打印机中的添加打印机 |
| NoChangeStartMenu |
禁止修改开始菜单 |
| NoSetFolders |
禁止修改控制面板 |
| NoSetFolders |
禁止更改控制面板和打印机 |
| NoDrives |
隐藏所有驱动器 FFFFFFFF |
| NoDrives |
隐藏A盘 1 |
| NoDrives |
隐藏C盘 4 |
| NoDrives |
隐藏D盘 8 |
| NoDrives |
隐藏E盘 10 |
| NoSaveSettings |
退出不保存设置 |
| WinOlaApp |
禁止使用MS-DOS |
| NoRealMode |
禁止重启时使用MS-DOS |
| NoPrinters |
禁止修改打印机设置 |
| NoStartBanner |
禁止出现点胶机这里开始提示 01 00 00 00 |
| NoNetHood |
禁止使用网上邻居 |
| NoNetSetup |
禁止在控制面板显示网络属性 |
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
| 注册表项 |
备注 |
| NoAdminPage |
禁止显示远程管理 |
| NoNetSetup |
禁止使用控制面板的网络选项 |
| NoProfilePage |
禁止使用控制面板的用户选项 |
| NoSecCPL |
禁止使用控制面板的密码选项 |
| DisableRegistryTools |
禁止使用注册表编辑器 |
| NoDispCPL |
禁止修改显示属性 |
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
| 注册表项 |
备注 |
| Explorer |
已中病毒 Acid Battery v1.0木马 |
| Batterieanzeige |
已中病毒 YAI木马 |
| bybt、cksys |
Eclipse 2000木马 |
| umgr32.exe |
已中病毒 BO2000 |
| KG.EXE |
已中病毒 KeyboardGhost |
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
| 注册表项 |
备注 |
| MSKernel32 |
已中病毒 爱虫 |
| Notepad |
已中病毒 BackDoor |
| NetSpy |
已中木马 NetSpy |
文件扩展名关联
计算机\HKEY_LOCAL_MACHINE\Classes\.exe计算机\HKEY_LOCAL_MACHINE\Classes\exefile\shell\open\command
启动项
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
隐藏资源管理器左侧快捷方式
完成
参考文献
电脑迷与初学者的家园jsjbbs——yyw258520
知乎——幽 雨
西瓜视频——爱比较