论文部分内容阅读
虽说很多系统辅助软件可以帮助我们更改系统设置,不过对于软件无法完成的工作我们可以在注册表中找到对应的键值来进行手动设置。下面就一起来看看如何通过注册表修改系统中不可用的设置。
搜索键值 找到特定更改项
由于大部分系统设置都是和注册表关联的,因此通过注册表编辑器查找特定键值进行修改可以获得事半功倍的功效。实际上很多原来不可用的的设置,通过删除键值的方法就可以实现手动修改。
实例:删除桌面顽固图标
喜欢在一些不知名网站下载软件的朋友,安装某些软件后经常会在桌面上莫名其妙地多了几个IE图标,点击右键却没有“删除”菜单,拖动到回收站里也没有反应,点击这些图标则会自动打开一个不知名的导航网站,比如XX高清电影、精彩小游戏等页面。实际上这些图标是“伪”系统图标,虽然无法直接使用右键菜单删除,但是通过注册表则可以轻松删除这些顽固图标。
启动注册表编辑器,点击菜单栏的“编辑→查找”,在搜索框输入桌面图标名称如“XX高清电影”,勾选“全字匹配”,很快就可以在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace下找到一个名为{F3F3424C-AD69-2358-JK59-112FC9936589}的项,它的默认数据正是桌面IE图标显示名称(图1)。
现在可以尝试将这个默认值更改为CFAN,刷新后返会桌面看看,原来的IE图标名称是不是同步更改了?原来这些图标是通过类标示符方式在系统注册表中添加键值,让系统误认为是系统图标,从而给我们删除带来不便。删除方法很简单,同上展开注册表到上述键值后,右击选择删除即可。
举一反三:通过注册表查找特定键值并进行修改是我们更改系统设置常用的方法,在日常操作中还有很多类似故障可以通过这种方法解决。
1.病毒强行更改的首页,对应HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main,右窗格中的键值为Default-Page-URL。
2.无法显示隐藏的文件和文件夹,展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将右侧窗格CheckedValue的值更改为1。
3.无法复制BCD文件,展开HKEY_LOCAL_MACHINE\BCD00000000,单击“文件/卸载配置单元”即可。
通过对比找键值
系统所有变化几乎都会导致注册表键值变化,因此如果要捕捉系统特定的更改(特别是后台程序的更改),我们可以通过键值的前后变化快速找到指定的键值。
实例:让组策略限制因人而异
大家知道我们可以通过组策略设置很多限制来保护我们的系统,不过默认情况下组策略的限制是针对所有用户生效的。实际上组策略的限制大多是通过修改注册表键值实现的,因此我们只要捕捉到限制前后键值的变化,然后将变化前后的键值导出,通过特定用户启动导入限制键值,这样即可实现组策略限制因人而异。下面以“阻止访问命令提示符”策略为例。
第1步:进入组策略编辑器,按提示启用“阻止访问命令提示符”策略,接着展开注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System,右击上述键值将其导出为cfan1.reg放置在C盘。
第2步:返回组策略编辑器窗口将“阻止访问命令提示符”策略禁用,此时返回组策略编辑器窗口,同上展开上述键值,通过对比可以看到,当我们启用/禁用“阻止访问命令提示符”策略后,其中DisableCMD数值从2变为0(2为启用,0表示禁用策略,图2)。
第3步:再次将禁用策略后键值导出为cfan2.reg,也放置在C盘备用。接着启动记事本建立一个批处理stop.bat,放置在C:\Users\cfan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下,代码如下:
regedit.exe /s c:\cfan1.reg
第4步:同上建立一个regedit.exe /s c:\cfan2.reg批处理保存在C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下,这样自己登录电脑时会导入“cfan2.reg”取消限制,当其他人使用电脑中的cfan账户登录后就会阻止命令提示符的访问,从而实现组策略限制的因人而异(图3)。
举一反三:通过监控注册表键值前后的变化也是我们捕获系统设置常用的方法,如果是复杂键值的监控和对比,则可以使用专业的软件如Process Monitor等来完成。如果之前你没有备份,还可以在正常电脑上导出对应的键值和故障电脑的对比。类似的操作还有:
1.捕获病毒更改注册表键值。在测试病毒时,我们经常要查看病毒在注册表中添加键值,此时通过比较病毒样本运行前后键值的变化即可获得。
2.取消隐藏驱动器。导出正常电脑的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer,比较之间的不同即可,如果本机有隐藏驱动器,则右窗口中会有名为NoDrives的键值。
3.系统中新增服务。比如有些病毒会通过驱动方式增加自启动服务,服务键值对应HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,只要对比前后键值的变化即可。 通过权限控制键值
自Windows 2000开始引入权限的概念后,微软就在注册表中也添加了权限设置。通过对特定键值的权限限制来实现很多特定的功能。同样的,我们可以通过键值权限的自定义编辑实现系统设置的更改。
实例:无线密码不再轻易泄露
Windows 7无线网络连接属性的“安全”选项卡有一项名为“显示字符”的复选框,勾选此复选框可以将无线网络连接的密码以明文的形式显示出来。这样如果其他朋友在使用我们的电脑时就容易造成密码泄露。
第1步:同上启动注册表编辑器,展开到HKEY_CLASSES_ROOT\AppID\{86F80216-5DD6-4F43-953B-35EF40A35AEE},右击该键值选择“权限”,接着在打开的窗口单击“高级”,在打开的窗口切换到“所有者”,将文件所有者设置为当前Administrators组。
第2步:依次点击确定返回权限设置窗口,在组和用户列表选中需要屏蔽该功能的当前账户,将其对该键值的完全控制权限设置为“拒绝”,这样当前账户登录后无法读取该键值(图4)。
第3步:完成上述的设置后重启系统,由于当前账户无法读取上述键值,从而无法选择“显示字符”的复选框(虽然可以选择但设置却无法生效,并且会自动恢复为未选中的状态),自然可以更好地保护我们的网络密码了(图5)。
举一反三:注册表权限的编辑是我们日常设置中经常用到一个方法。类似的操作还有:
1.比如IE主页的键值实际上是由HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page键值控制的,其右侧窗口当中的StartPage值就是IE的主页。因此要锁定IE主页不被窜改,我们只要将当前账户对上述键值的权限设置为“只读”即可。
2.查看特定键值,比如系统账户信息对应HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account,但是HKEY_LOCAL_MACHINE\SAM默认受到系统保护无法查看,只有获得SAM项的完全控制权后才能展开。类似还有HKEY_LOCAL_MACHINE\SECURITY(查看账户安全设置)。
3.锁定自启动项,对应HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run和HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,设置相应的项任何人无法更改即可。
搜索键值 找到特定更改项
由于大部分系统设置都是和注册表关联的,因此通过注册表编辑器查找特定键值进行修改可以获得事半功倍的功效。实际上很多原来不可用的的设置,通过删除键值的方法就可以实现手动修改。
实例:删除桌面顽固图标
喜欢在一些不知名网站下载软件的朋友,安装某些软件后经常会在桌面上莫名其妙地多了几个IE图标,点击右键却没有“删除”菜单,拖动到回收站里也没有反应,点击这些图标则会自动打开一个不知名的导航网站,比如XX高清电影、精彩小游戏等页面。实际上这些图标是“伪”系统图标,虽然无法直接使用右键菜单删除,但是通过注册表则可以轻松删除这些顽固图标。
启动注册表编辑器,点击菜单栏的“编辑→查找”,在搜索框输入桌面图标名称如“XX高清电影”,勾选“全字匹配”,很快就可以在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace下找到一个名为{F3F3424C-AD69-2358-JK59-112FC9936589}的项,它的默认数据正是桌面IE图标显示名称(图1)。
现在可以尝试将这个默认值更改为CFAN,刷新后返会桌面看看,原来的IE图标名称是不是同步更改了?原来这些图标是通过类标示符方式在系统注册表中添加键值,让系统误认为是系统图标,从而给我们删除带来不便。删除方法很简单,同上展开注册表到上述键值后,右击选择删除即可。
举一反三:通过注册表查找特定键值并进行修改是我们更改系统设置常用的方法,在日常操作中还有很多类似故障可以通过这种方法解决。
1.病毒强行更改的首页,对应HKEY_LOCAL_MACHINE\Software\Wicrosoft\Internet Explorer\Main,右窗格中的键值为Default-Page-URL。
2.无法显示隐藏的文件和文件夹,展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将右侧窗格CheckedValue的值更改为1。
3.无法复制BCD文件,展开HKEY_LOCAL_MACHINE\BCD00000000,单击“文件/卸载配置单元”即可。
通过对比找键值
系统所有变化几乎都会导致注册表键值变化,因此如果要捕捉系统特定的更改(特别是后台程序的更改),我们可以通过键值的前后变化快速找到指定的键值。
实例:让组策略限制因人而异
大家知道我们可以通过组策略设置很多限制来保护我们的系统,不过默认情况下组策略的限制是针对所有用户生效的。实际上组策略的限制大多是通过修改注册表键值实现的,因此我们只要捕捉到限制前后键值的变化,然后将变化前后的键值导出,通过特定用户启动导入限制键值,这样即可实现组策略限制因人而异。下面以“阻止访问命令提示符”策略为例。
第1步:进入组策略编辑器,按提示启用“阻止访问命令提示符”策略,接着展开注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System,右击上述键值将其导出为cfan1.reg放置在C盘。
第2步:返回组策略编辑器窗口将“阻止访问命令提示符”策略禁用,此时返回组策略编辑器窗口,同上展开上述键值,通过对比可以看到,当我们启用/禁用“阻止访问命令提示符”策略后,其中DisableCMD数值从2变为0(2为启用,0表示禁用策略,图2)。
第3步:再次将禁用策略后键值导出为cfan2.reg,也放置在C盘备用。接着启动记事本建立一个批处理stop.bat,放置在C:\Users\cfan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下,代码如下:
regedit.exe /s c:\cfan1.reg
第4步:同上建立一个regedit.exe /s c:\cfan2.reg批处理保存在C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下,这样自己登录电脑时会导入“cfan2.reg”取消限制,当其他人使用电脑中的cfan账户登录后就会阻止命令提示符的访问,从而实现组策略限制的因人而异(图3)。
举一反三:通过监控注册表键值前后的变化也是我们捕获系统设置常用的方法,如果是复杂键值的监控和对比,则可以使用专业的软件如Process Monitor等来完成。如果之前你没有备份,还可以在正常电脑上导出对应的键值和故障电脑的对比。类似的操作还有:
1.捕获病毒更改注册表键值。在测试病毒时,我们经常要查看病毒在注册表中添加键值,此时通过比较病毒样本运行前后键值的变化即可获得。
2.取消隐藏驱动器。导出正常电脑的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies\Explorer,比较之间的不同即可,如果本机有隐藏驱动器,则右窗口中会有名为NoDrives的键值。
3.系统中新增服务。比如有些病毒会通过驱动方式增加自启动服务,服务键值对应HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,只要对比前后键值的变化即可。 通过权限控制键值
自Windows 2000开始引入权限的概念后,微软就在注册表中也添加了权限设置。通过对特定键值的权限限制来实现很多特定的功能。同样的,我们可以通过键值权限的自定义编辑实现系统设置的更改。
实例:无线密码不再轻易泄露
Windows 7无线网络连接属性的“安全”选项卡有一项名为“显示字符”的复选框,勾选此复选框可以将无线网络连接的密码以明文的形式显示出来。这样如果其他朋友在使用我们的电脑时就容易造成密码泄露。
第1步:同上启动注册表编辑器,展开到HKEY_CLASSES_ROOT\AppID\{86F80216-5DD6-4F43-953B-35EF40A35AEE},右击该键值选择“权限”,接着在打开的窗口单击“高级”,在打开的窗口切换到“所有者”,将文件所有者设置为当前Administrators组。
第2步:依次点击确定返回权限设置窗口,在组和用户列表选中需要屏蔽该功能的当前账户,将其对该键值的完全控制权限设置为“拒绝”,这样当前账户登录后无法读取该键值(图4)。
第3步:完成上述的设置后重启系统,由于当前账户无法读取上述键值,从而无法选择“显示字符”的复选框(虽然可以选择但设置却无法生效,并且会自动恢复为未选中的状态),自然可以更好地保护我们的网络密码了(图5)。
举一反三:注册表权限的编辑是我们日常设置中经常用到一个方法。类似的操作还有:
1.比如IE主页的键值实际上是由HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page键值控制的,其右侧窗口当中的StartPage值就是IE的主页。因此要锁定IE主页不被窜改,我们只要将当前账户对上述键值的权限设置为“只读”即可。
2.查看特定键值,比如系统账户信息对应HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account,但是HKEY_LOCAL_MACHINE\SAM默认受到系统保护无法查看,只有获得SAM项的完全控制权后才能展开。类似还有HKEY_LOCAL_MACHINE\SECURITY(查看账户安全设置)。
3.锁定自启动项,对应HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run和HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,设置相应的项任何人无法更改即可。