摘 要 注册表对于操作系统而言十分重要,记录了操作系统的硬件和软件的相关信息,直接的决定了操作系统的行为,而目前而言病毒或者木马等十分容易通过修改注册表来入侵操作系统从而实现某些非法的目的。修改注册表是windows系统下面的计算机病毒对于系统进行感染和破坏的一个经常使用的手段,因此对其进行防治显得十分重要。本文主要对于计算机病毒修改windows操作系统的注册表的相关原理进行了详细的分析,并且分析了现有的几种注册表常用的安全设置,希望能够起到一定的参考价值。
关键词 计算机病毒 windows操作系统 注册表
中图分类号:TP309.5 文献标识码:A
0引言
计算机病毒的出现给计算机用户带来了很多不必要的麻烦,而目前来看计算机病毒使用的最为广泛的范围就是对windows系统的入侵。病毒的种类十分繁多,且變化也很快,具有非常大的破坏能力。注册表作为windows系统中的管理机制,能够帮助操作系统控制硬件、软件以及用户环境等相关的一系列数据,是保证系统能够正常的运行并且使得核心数据能够得到保存的必要条件。可以这样说,只要能够掌握系统的注册表,就是掌握了系统的整个操作情况以及所具备的软件赢得情况,只要通过篡改注册表就能够使得系统满足用户的特点行为要求,从而达到自己的目的,因此在病毒的入侵方式中,修改windows操作系统的系统注册表是十分常见的一种方式。因此,对计算机病毒如何修改windows系统,以及对修改windows系统的注册表原理进行解析,对预防windows操作系统的注册表被病毒非法入侵有着十分重要的意义。
1注册表简介
注册表对于操作系统来说非常重要,其内部存储着操作系统的重要相关信息,是操作系统的关键组成部分。其主要是由根键以及子键一起构成的,这种结构和资源管理器中的目录比较像。其中,根键是注册表中的最基础的的键,和磁盘中的根目录十分相似,而子健则是在根键之下的,同时一个子键也可以嵌套在其他的子键之中。注册表的根键主要分为5大类,这每个主键中又存在着上千万个子键。同时,在每个根键和子键下有一些键值数据项,也可以将其称作为键值项。键值数据项主要包括键值的类型,键值的数据以及键值的名称这几个部分。
2修改注册表目的
无论是哪一种的计算机病毒,在准备感染系统的时候都会想办法尽可能的将自己隐藏起来,从而更好地躲过计算机系统中的杀毒软件以及用户的追杀,然后在此趁机了解到计算机的环境,以便于在适当的时候可以在系统中进行破坏达到自己的目的。而注册表是操作系统的核心部分,修改注册表恰好可以达到这些非法的目的,因此计算机病毒在入侵计算机的时候,主要通过修改注册表的方式来完成,其主要的方法可以总结为如下几种方式:
(1)得到系统基本信息。由于计算机计算机系统中的注册表中记录着系统基本的信息,例如操作系统的类型、系统安装的服务程度、IE等应用软件具有的版本信息等。病毒可以通过注册表获得这些信息,从而分析出系统以及软件本身具有的漏洞,然后对其加以利用。
(2)实现开机自启或内存常驻。通常情况下,windows系统在启动的时候,会自动的家在注册表下的指定的键值所指向的程序以及相关的系统服务,而病毒可以通过对注册表中的键值的修改,使得windows系统在开机的时候自动的开启病毒从而达到感染其他的主机以及其内部的文件的目的,这样病毒就可以进行更加长久的破坏任务。简而言之,就是病毒可以通过修改系统中的注册表,来达到开机自启病毒,以及病毒在系统中常驻的目的,从而更好的实现破坏系统或者实现自身非法目的的目标。
(3)更改主页设置,破坏系统功能。病毒可以通过修改windows系统中注册表内部的某些特定的键值项来改变系统的某些功能以及系统中软件的配置情况,例如可以更改主页的设置,从而禁止系统的IE安全选项,禁止对内部的临时文件进行更改等,从而使得系统的功能遭到破坏,系统难以正常的工作。
3修改注册表方法
在通常的情况下,普通用户想要对注册表进行修改主要可以通过这两种方式:
(1)直接的通过软件来对注册表进行修改。最常见的方式,是通过系统自带的注册表编辑器regedit.exe来对注册表进行直接的操作,同时也可以通过第三方的软件进行修改,例如windows优化大师是一种比较常见的使用软件。
(2)通过编写特定的执行文本。用户可以通过对注册表文件进行编写,然后将其导入到注册表中的方式来对注册表进行修改,还可以通过编写特定的批处理文件来对注册表进行修改。
而对于病毒来说,病毒想要修改注册表文件往往会采用一些非常规的方式,从而达到自己的隐蔽性要求。不同的病毒修改注册表文件的方式不同,病毒可以分为宏病毒、剑本病毒、网页病毒以及win32 PE病毒这常见的四类,下面对其进行具体的分析。
3.1宏病毒的修改
所谓宏病毒,就是使用宏语言进行编写的一种程序,是一种特殊的宏,能够自动的修改office软件的一些自动的宏,这样在打开office文件的时候,文件就可以自动的启动了,并且能够通过将其附加在文档中从而进行传播。目前来看,宏语言的功能非常的强大,宏病毒对注册表的修改的原理非常的简单,主要就是通过对宏语言程序的表写来实现的,从而调动红语言提供的操作系统的注册表的功能,来实现对注册表的修改的目的。宏病毒可以通过使宏菜单的安全性选项失效的原则,或者采用使工具菜单的宏失效的原则,来改变宏的安全级别,使得office软件失去了自身的免疫力,从而能够在一定的程度上对病毒进行自我保护,防止系统将病毒查杀出来。
3.2脚本病毒修改
所谓脚本病毒,指的往往是使用脚本语言来编写的病毒,例如使用VBscript、PHP或者JavaScript语言等编写。在这里,我们使用VBscript作为例子来进行脚本病毒的介绍,其他的脚本病毒都是与此相似的。脚本病毒主要是使用WSH,也就是windows scripting host,来为脚本语言提供的操作注册表的语言来实现对于注册表的修改。WSH是那些内嵌在windows系统中的脚本语言所在的工作环境,其主要的架构是在ActiveX之上的,它能够通过作为activex的脚本引擎控制器来扩大脚本语言的指令所具有的功能。因此,在脚本语言对注册表进行修改的过程中,系统中内嵌的WSH是一个关键的因素。脚本病毒可以通过创建WSH中的shell实例的方式来读取注册表中特定的键值,然后对注册表进行修改,能够很好地防止由于操作超时而造成的程序终止的问题。其主要的原理就是通过对注册表的修改来防止由于病毒本身的一些超时操作而导致的程序终止的问题。所以,这种方式能够在一定的程度上保证病毒的完整运行,达到病毒篡改系统内容的目的。endprint
3.3网页病毒修改
这里提到的网页病毒,主要指的是那些能够对计算机的用户配置中进行非法修改的html网页文件。网页病毒主要是使用软件或者系统中的一些安全漏洞,然后通过执行嵌入在HTML文件中的一些java小程序等方式来对操作系统中的用户的配置以及系统中的注册表进行修改。对于大多数的网页病毒,都是通过这种方式俩丢注册表进行修改的,其中最著名的一种网页病毒就是“万花谷”病毒,这种病毒能够将注册表改的和以前完全不一样。其主要的工作原理就是通过将
3.4 win32 PE病毒修改
所谓win32PE病毒,指的就是能够对windows系统下的PE格式的文件进行感染的一种病毒。PE格式的文件,是windows系统下最为常见的一种文件,因此这种病毒对于操作系统的危害非常大。我们了解到,windows系统下为了用户提供了非常多的功能以及种类十分多的API函数,而对这些API函数进行调用是win32 PE病毒常用的一种手法,通过对其进行调用来进行某些非法的活动。Win32 API大概提供了有30多个和注册表相关的函数,这些函数能够对注册表中的指定的键或者键值进行打开、读取依旧写入等修改操作,这些API函数会集中地由系统中提供的动态链接库中的导出。但是由于WIN32PE病毒通常情况下是寄存在寄主文件中的,本身没有引入的节点,因此无法直接的对这些函数进行调用,因此病毒必须通过API函数来对动态链接库进行加载,然后取得这些函数的地址并且对其进行调用。因此,对于win32 PE病毒来说,能否成功的对注册表的内容进行修改,其关键的操作就在于是否能够对系统中的动态链接库进行成功的定位。
4清除病毒方法
计算机病毒对于注册表进行修改从而对系统进行入侵对于计算机系统来说有着十分大的危害,因此应该对其进行处理,可以使用系统注册表对计算机病毒进行清除。因为计算机并且通过将自己写入到注册表中的方式来完成自身的启动,但是从预防的角度来看,这同时也进一步的暴露了病毒的藏身所在地,给系统管理员找到病毒并且将其清除提供了条件。
在清除病毒的过程中,首先需要明确地找到计算机病毒的隐藏的位置,通常情况下,注册表中管理启动的主要键值的位置也是计算机病毒中最为常见的一个藏身的地方,因此可以在这个区域进行病毒的查找。在查找到病毒的所在位置以后就可以对病毒进行清理了,可以根据键值所在的路径找到病毒在系统中的一个具体位置,或者是按照病毒的名字在文件系统中进行一个仔细的搜索,在搜索到以后将其删掉。然后,还必须根据病毒的名称在注册表中搜索,找到病毒对应的键值项,对其进行删除或者是修改。在结束这些工作以后,对计算机进行重新的启动就可以了。
5结论
现在计算机已经成为了人们生活中重要的组成部分,而计算机病毒则对计算机系统造成了巨大的危害。本文首先对于windows系统中的注册表进行了详细的介绍,然后对于计算机入侵进算计windows系统的方式,也就是经常采用的对操作系统的注册表进行修改的方式进行了详细的分析,其中主要包括几种不同病毒的修改方式,最后对于注册表如何反过来清理病毒进行了简单的介绍,希望能够起到一定的参考价值。
参考文献
[1] 教你由注册表防御黑客的入侵[J].计算机与网络,2011,37(12):33.
[2] 牟晓东. Windows7,向脚本病毒说再见[J].电脑知识与技术(经验技巧),2010(09):45-46.
[3] 注册表基础功能解析[J].计算机与网络,2009,35(21):28-29.
[4] 李朋.应用程序文件保护的研究与应用[D].长沙:国防科学技术大学,2009.
[5] 隐藏文件失效注册表中破玄机[J].电脑爱好者,2009(02):37.
[6] 谢亿鑫,孙乐昌.计算机病毒修改Windows操作系统注册表原理解析[J].计算机安全,2008(08):117-121.
[7] 坏小子.网页病毒症状分析及修复方法[J].网络与信息,2005(06):60-62.
[8] 谭竹洲.什么是网页病毒[J].中国电子与网络出版,2003(11):70.
客服热线:400-656-5456 客服专线:010-56265043 电子邮箱:longyuankf@126.com
电信与信息服务业务经营许可证:京icp证060024号
Dragonsource.com Inc. All Rights Reserved