注册表 - 纯．生活

注册表锁USB+多方法解锁定的注册表

30 Jan 2008

　　工作需要就在网上搜了一下有关注册表方面的资料，就是锁USB+解锁定注册表的方法。　　１、注册表锁USB 　　打开“运行”输入“regedit”　　打开如下分支　　[HKEY_LOCAL_MACHINE_SYSTEM_CurrentCntrolSet_Services_USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。　　２、多方法解锁定的注册表　　 ——用Word宏解锁 Word也可以给注册表解锁？没错！我们利用的是微软在Word中提供的“宏”，没想到吧？具体方法是：运行Word，然后编写如下面所示的这个“Unlock”宏，即可给注册表解锁： SubUnlock（） Dim Reg Path As String RegPath＝“HKEY＿CURRENT＿USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System” System.PrivateProfileString（FileName：＝“”，Section：＝RegPath，Key：＝ “Disableregistrytools”）＝“OK!” End Sub 其实，这个方法一点都不神秘，只是利用了注册表的一个特性，即在同一注册表项下，不能有相同名字的字符串值和DWORD值，如果先前有一个DWORD值存在，则后建立的同名的字符串值会将其覆盖，这也就间接地删除了原值。在本例中就是DWORD 值Disableregistrytools被同名的字符串值所覆盖删除。 ——用UltraEdit解锁修改Regedit.exe文件也可以给注册表解锁，前提条件是手头上要有十六进制文件编辑软件如UltraEdit或WinHex等。我们以UltraEdit为例，用Ultraedit打开注册表编辑器Regedit.exe。点击“搜索” 菜单下的“查找”，在弹出的对话框中的“查找ASCII字符”前面打上“√”，在“查找什么”栏中输入：Disableregistrytools，点击 “确定”开始查找。会找到仅有的一处结果，改成别的字符就可以了。不过长度一定要一样（20个英文字母），这样就可以解除对注册表编辑器的禁用。 ——让注册表编辑器无法被禁用给注册表编辑器Regedit.exe做个小手术，使之对注册表禁用功能具有“免疫力”，可以打造一个锁不住的注册表编辑器。这对防范恶意网页对注册表的禁用非常有好处。用十六进制文件编辑器Ultraedit打开Regedit.exe，查找 741B6A10A100，找到后，把74改为EB即可。现在，你就有了一个锁不住的注册表编辑器了。下次既使注册表被禁用也不用害怕了，只管运行它，保管恶意网页的修改无效。 ——用INF文件解锁大家一定看到过在Windows中有一种后缀为INF的驱动安装文件，它实际上是一种脚本语言，通过解释执行。它包含了设备驱动程序的所有安装信息，其中也有涉及修改注册表的相关信息语句，所以我们也可以利用INF文件对注册表解锁。 INF文件是由各个小节（Section）组成。小节的名字从中括号中起，且在此文件中必须是惟一的。小节的名字是它的入口点。后面是小节内容，形式上是“键名称＝键值”。在文件中可以添加注释，由分号完成，分号后的内容不被解释执行。让我们开始行动，用记事本编辑如下内容的文件： [Version] Signature＝“＄CHICAGO＄” [DefaultInstall] DelReg＝del [del] HKCU，Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System，Disableregistrytools， 1，00，00，00，00 将上面的内容存为del.inf，使用时用右键点击它，在弹出菜单中选择“安装”即可给注册表解锁。 ——用JScript解锁用记事本编辑如下内容的文件，保存为以.js为后缀名的任意文件，使用时双击就可以了。 VARWSHShell＝WSCRIPT.CREA-TOBJEt（“WSCRIPT.SHELL”）； WSHShell.Popup（“为你解锁注册表”）； WSHShell.RegWrite（“HKCU＼＼Software＼＼Microsoft＼Windows＼＼CurrentVersion＼＼Policies＼system＼＼DisableRegistryTools”，0，“reg＿dword”）；大家可以看出用JS对键值进行操作时要用两斜杠“＼＼”，并且要用“；”表示结束。一般只要能注意这两点，就没有问题了。 ——用VBScript解锁用VBScript对注册表进行解锁？没错！很容易又很简单的一个方法，用记事本编辑如下内容： DIM [...]

No Comments
Tags: usb, 注册表, 解锁

清除Windows系统里未知的自启动程序

In: Share

30 Aug 2007

　　我们经常会遇到许多不请自来自己启动的程序，还有许多是我们不想让它启动的程序，不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在Windows XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。看看里面有哪些是你不想要的，请按“del”键。　　　　　　文件夹　　一、当前用户专有的启动文件夹　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动，其中“<用户名字>”是当前登录的用户帐户名称。　　二、对所有用户有效的启动文件夹　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\“开始”菜单\程序\启动。　　注册表　　三、Load注册键　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。　　四、Userinit注册键　　位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。　　五、Explorer\Run注册键　　和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。　　六、RunServicesOnce注册键　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。　　七、RunServices注册键　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。　　八、RunOnce\Setup注册键　　RunOnce\Setup指定了用户登录之后运行的程序，它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。　　九、RunOnce注册键　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。　　十、Run注册键　　Run是自动运行程序最常用的注册键，位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。　　汇总如下: 　　\Documents and Settings\<用户名字>\“开始”菜单\程序\启动　　\Documents and Settings\All Users\“开始”菜单\程序\启动　　HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

No Comments
Tags: Windows, 注册表, 清除, 自启动

纯．生活

Posts Tagged ‘注册表’

About this blog

Photostream

Categories

Archives