前言
注册表(英语:Registry,中国大陆译作注册表,台湾、港、澳译作登录档)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的设置信息。(维基百科)
病毒木马常用注册表项
DisableCMD |
REG_DWORD |
1 |
禁止使用CMD |
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoClose |
REG_DWORD |
1 |
禁止使用关机 |
NoControlPanel |
REG_DWORD |
1 |
禁止使用控制面板 |
NoDesktop |
REG_DWORD |
1 |
禁止使用桌面 |
NoDevice |
REG_DWORD |
0xffffffff |
禁止使用驱动器 |
NoFileMenu |
REG_DWORD |
1 |
禁止使用文件菜单 |
NoFind |
REG_DWORD |
1 |
禁止使用搜索 |
NoFolderOption |
REG_DWORD |
1 |
禁止使用文件夹选项 |
NoRun |
REG_DWORD |
1 |
禁止使用运行 |
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Disableregistrytools |
REG_DWORD |
1 |
禁止使用注册表编辑器 |
DisableTaskmgr |
REG_DWORD |
1 |
禁止使用任务管理器 |
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel |
禁止使用控制面板 |
NoRun |
禁止使用运行 |
NoClose |
禁止显示关闭系统 |
NoLogOff |
禁止显示注销菜单 01 00 00 00 |
NoViewContextMenu |
禁止使用鼠标右键 01 00 00 00 |
NoDesktop |
禁止显示桌面 |
NoDriveTypeAutoRun |
禁止驱动设备自启动 |
NoFavoritesMenu |
禁止显示开始菜单中的收藏夹 |
NoDeletePrinter |
禁止使用打印机中的删除打印机 |
NoAddPrinter |
禁止使用打印机中的添加打印机 |
NoChangeStartMenu |
禁止修改开始菜单 |
NoSetFolders |
禁止修改控制面板 |
NoSetFolders |
禁止更改控制面板和打印机 |
NoDrives |
隐藏所有驱动器 FFFFFFFF |
NoDrives |
隐藏A盘 1 |
NoDrives |
隐藏C盘 4 |
NoDrives |
隐藏D盘 8 |
NoDrives |
隐藏E盘 10 |
NoSaveSettings |
退出不保存设置 |
WinOlaApp |
禁止使用MS-DOS |
NoRealMode |
禁止重启时使用MS-DOS |
NoPrinters |
禁止修改打印机设置 |
NoStartBanner |
禁止出现点胶机这里开始提示 01 00 00 00 |
NoNetHood |
禁止使用网上邻居 |
NoNetSetup |
禁止在控制面板显示网络属性 |
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
NoAdminPage |
禁止显示远程管理 |
NoNetSetup |
禁止使用控制面板的网络选项 |
NoProfilePage |
禁止使用控制面板的用户选项 |
NoSecCPL |
禁止使用控制面板的密码选项 |
DisableRegistryTools |
禁止使用注册表编辑器 |
NoDispCPL |
禁止修改显示属性 |
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Explorer |
已中病毒 Acid Battery v1.0木马 |
Batterieanzeige |
已中病毒 YAI木马 |
bybt、cksys |
Eclipse 2000木马 |
umgr32.exe |
已中病毒 BO2000 |
KG.EXE |
已中病毒 KeyboardGhost |
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSKernel32 |
已中病毒 爱虫 |
Notepad |
已中病毒 BackDoor |
NetSpy |
已中木马 NetSpy |
文件扩展名关联
计算机\HKEY_LOCAL_MACHINE\Classes\.exe
计算机\HKEY_LOCAL_MACHINE\Classes\exefile\shell\open\command
启动项
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
隐藏资源管理器左侧快捷方式
完成
参考文献
电脑迷与初学者的家园jsjbbs——yyw258520 知乎——幽 雨 西瓜视频——爱比较