注册表操作隐藏文件.docx
《注册表操作隐藏文件.docx》由会员分享,可在线阅读,更多相关《注册表操作隐藏文件.docx(37页珍藏版)》请在冰豆网上搜索。
注册表操作隐藏文件
1.开始-运行-gpedit.msc打开“组策略”,用户配置→管理模板→系统,双击右边窗口中的“阻止访问注册表编辑工具”-选择“已禁用”-确定后退出“组策略”2.开始-运行-regedit打开注册表编辑器,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer看右边窗口中是否有NoFolderOptions这个键,如果有把值改为0如果没有就新建一个DWORD键,值为0。
许多时候,我们需要在电脑中隐藏文件。
尽管有些软件可以满足我们的需求,但自己动手做的感觉总是更好、更有乐趣,而且在动手操作的过程中还可以学习到更多的知识。
正是本着这个考虑,使我觉得很有必要阐述一下如何手工隐藏文件——我想大家或多或少都会有些不愿意被人看到的文件,如果你正好有这样的需要或者很想了解我怎么做,那我们就一起开始吧!
先说说一个众所周知的常识吧:
要完全隐藏一个文件,当然不能让它出现在那些显眼的地方,如“启动”组、“开始”菜单以及控制面板的“添加/删除程序”里,如果在这些地方有相应的程序项存在,那就无法达到隐藏的目的,所以我们首要的目标就是这些地方,在此基础上,再辅以其他隐藏手段就能达到隐藏文件的目的。
本着这个思路,开始我们今天的行动。
1、首先将“启动”组中将欲隐藏的程序项删除掉
点击“开始”→“程序”→“启动”,找到要隐藏的程序项,点击鼠标右键,在弹出菜单中选择“删除”,然后清空回收站。
如果还没有达到目的,请试着*作第二步。
2、通过“msconfig.exe”隐藏文件
点击“开始”一“运行”,输入msconfig,点击“确定”按钮,进入系统配置实用程序,在该窗口中点击“启动”标签,对于不想启动时运行的程序,只需将其前面的“√”去掉即可,最后别忘了点击“应用”啊!
同理,打开win.ini文件,找到[windows]小节下的“load=”和“run”字段,删除自运行程序的字段,保存。
3、通过注册表删除启动项
假如以上两种方法都不能达到目的,可以点击“开始”→“运行”,输入regedit打开注册表编辑器,展开到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion分支,这里有7个以“Run”开头的子项,找到自运行程序的字符串,删除即可。
4、删除“开始”菜单中的程序项
如果要隐藏的程序还在“开始”菜单中存在,也要删除,否则别人从这里就会发现你的电脑中有这个程序存在,并因此可以运行该程序。
在“开始”菜单中对着欲删除的文件点击鼠标右键,在弹出的菜单中选择“删除”即可。
5、清除添加/删除程序中可能泄密的文件反安装信息
完成以上步骤仅仅是走完了万里长征的第一步,在“开始一设置一控制面板一添加/删除程序”里还可能会暴露你想隐藏的程序。
所以这里也要清理清理。
运行regedit.exe打开注册表编辑器,展开到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall分支,找到要隐藏的程序项并删除,这样它们就在“添加/删除程序”组里消失了。
如此一来,只要你想隐藏的程序的安装路径足够隐秘,那么外人将很难发现它们。
注意;进行此步骤前应先备份注册表。
6、将要隐藏的文件放入回收站中
现在,我们就该想办法隐藏我们的文件了。
不知你对Win3.1下的文件管理器(winfile.exe)是否还有印象?
其实在Windows98下它还存在着,我们现在就要利用它来达到隐藏文件的目的。
原理是:
用winfile.exe找到recycled(就是回收站),把所有欲隐藏的文件、程序等尽可以放人,这样在Windows下就看不到了,并且清空回收站也依然还存在!
觉得奇怪吗?
说穿了很简单:
其实,只是利用了回收站中的desktop.ini文件,千万不要将它删除了!
你也可以将它拷贝到其他文件夹,那个文件夹就会变为回收站!
具体步骤为:
点击“开始”→“运行”,输入winfile.exe,熟悉而又陌生的面孔是不是又重现了?
进入文件管理器,依次选择“窗口→新窗口→垂直平铺”,再选择“查看→按文件类型”,在“按文件类型”对话框的“显示隐藏/系统文件”前打上“√”,然后就可以将欲隐藏的文件选中,按住Ctrl键的同时拖入recycled文件夹里(直接拖人为移动),这样在Windows下(包括回收站里)就看不到这个文件了,从而达到隐藏保护的目的。
假如你隐藏的是程序,该程序的文件名为love.exe,当你要使用该程序时,在“开始”菜单的“运行”中输入C:
\recycled\love.exe(即具体路径)即可。
呵呵,有谁还料到咱回收站里也有内容,没事就偷着乐吧!
另外,我还发现只要是特殊文件夹就可以起到和回收站同样的功效,如c:
\windows\fonts等。
7、彻底隐藏文件gpedit.msc
对于刚入门者来说,改文件属性为隐藏来达到保密目的,众所周知这种方法不足道也。
其实再稍加修饰你就小瞧不得了。
打开注册表编辑器,在运行中键入regedit,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,修改Checkedvalue值为0(如果没有可自建)。
关闭Regedit,回到桌面,按F5刷新,进入任意一个硬盘分区。
点击“查看(v)”→“文件夹选项”→“查看”→“显示所有文件”,再进入隐藏文件的那个回收站。
哈哈,隐藏文件还是没显示出来!
效果不错吧?
还原时可用记事本编辑以下内容(或者改Checkedvalue值为1),并以*.reg存盘,内容为:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"Checkedvalue"=dword:
00000001
需要时,双击导人该文件即可。
在编写reg文件时请大家注意格式要求:
RGEDIT4必须大写且顶格,在它下面一定要空一行。
在最后一行输入完毕,记得要按一次回车,再保存文件。
再有,如果你的*作系统是Windows95/98/Me/NT等,REG文件开头第一行规定必须是“REGEDIT4”,如果是Windows2000/XP则以“WindowsRegistryEditorVersion5.00”开头。
8、禁用注册表编辑器
既然可以通过修改注册表达到隐藏文件的目的,那么别人也可以通过注册表编辑器来进行反隐藏,所以我们还要给注册表加锁,即禁用注册表编辑器。
方法我们已经介绍过多次,见《网吧禁止下载文件终极突围》一文。
注册表禁用以后,当有人运行注册表编辑器时就会出现“注册表已被管理员所禁止”的对话框,由此达到限制别人使用注册表编辑器的目的。
但是一个有经验的人可以用记事本编辑一个任意名字的.reg解锁文件,方法见上文。
所以,我们在这里还要把REG文件的打开方式给改了。
修改注册表,在HKEY_LOCAL_MACHINE\Software\CLASSES\.reg右边的窗口中更改“默认”值为“txtfile”,这样当有人导入.REG文件时会发现用记事本打开该文件,因此可以禁止别人通过导入.REG文件来解锁注册表!
不过,在禁用了注册表编辑器以后,你是不是认为这样就很安全了?
没有这么简单!
用鼠标右键点击unlock.reg文件的同时按住Shift键,选择“打开方式”,从中选取regedit打开即可将unlock.reg导人注册表。
其实,只要把regedit.exe或regedit32.exe之类的文件改个不为别人所知的文件名,如myregedit.dat,放在只有自己知道的文件夹下,需要时将其改名就可以了。
9、禁止DOS模式
采用上面的办法在Windows下几乎是无懈可击了,但还有个致命的缺陷;我们没有考虑到DOS模式!
如果别人进入DOS下,然后输入CD空格C:
\recycled(假设你隐藏的文件在C盘的回收站中),就会发现我们隐藏在回收站中的文件或文件夹。
而且,他还可以把回收站里的desktop.ini文件删除,使我们在Windows下隐藏宣告失败(在DOS下,先转到C盘,然后用CDC:
\recycled命令进入回收站,接着输入deldesktop.ini即可删除该文件)!
因为在回收站中隐藏文件或文件夹靠的就是desktop.ini文件,删除了它,我们上述种种努力就有做无用功之嫌。
所以,现在我们要做的就是禁止切换到DOS模式。
禁止DOS实模式可以通过修改注册表来完成。
运行注册表编辑regedit,来到HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp下,在其下新建DWORD值“Disabled”,其键值为1,则该用户的“MS-DOS方式”被禁止;如果再新建DWORD值“NoRealMode”,其键值为1,则MSDOS实模式被禁止。
如果自己需要在DOS下进行*作,可以先用解锁文件给注册表解锁,然后到注册表中把上述DWORD值的键值改为0就可以了。
10、禁止别人恢复注册表
使用scanreg.exe或scanregw.exe可以恢复注册表,为防止别人用它们来恢复以前备份的注册表,我们应该将这两个文件删除或改名隐藏起来,这样别人就无法使用它们来恢复注册表。
另外,进入C:
\Windows\sysbcukp目录下(注意sysbckup目录是隐藏属性),该目录下包含了因版本冲突,版本升级而备份的文件及其他自动备份的注册表文件。
在sysbackup目录下可以找到rb000.cab~rb004.cab这5个文件,这是离现在最近的5个注册表的备份文件,改名将它们隐藏或干脆删除。
另外,请打开注册表编辑器,定位到HKEY_LOCAL_MACHCHINE\Software\Windows\CurrentVersion\Run,在右边会看到是否存在。
“ScanRegistry”,它的键值是:
“C:
\Windows\Scanregw.exe/autorun”,如果有就把它删除,这样做的目的是防止scanregw.exe自动备份注册表。
最后,将C盘根目录下的System.1ST文件改名隐藏或删除。
System.1ST是千什么用的?
大家知道,Windows9x在安装完成后,会把第一次正常运行的系统信息保存在启动盘根目录下的System.1ST文件中,并且不会随Windows9x的系统配置的改变而改变,别人可以通过System.1ST文件将注册表恢复到最原始的状态,达到给注册表解锁的目的,进而有机会把你隐藏的文件找到。
所以我们才要把System.1ST文件删除或改名(如果改名就将它藏到只有你知道的地方)。
至此,我们就可以完全隐藏要隐藏的文件了,其实,上面所说的前5步,主要是针对安装程序生成的可执行文件,对于一般的文件如图片、数据文件等不需要这几步。
通常情况下,我们这样做就可以了:
首先把winfile.exe打开,把欲保护的文件放人recycled或c:
\windows\fonts里,退出。
再把winfile.exe文件改名并放到自己认为满意的角落,然后再按第7步及其以后步骤进行*作即可。
通过以上的操作,我们可以达到这样一个目的;文件隐藏在回收站中,一般人都不会想到其中还会隐藏着文件,这样可以瞒过50%的人;通过修改注册表,使隐藏的文件在回收站中也不显示,这样可以再瞒过30%的人,从而达到80%的人;之后,通过禁用注册表编辑器和禁用DOS模式,再瞒过5%的人;最后,通过禁止别人恢复注册表编辑器,再躲过4%的人的“追踪”。
综上所述,可以瞒过99%的人,这样还不够吗?
什么?
还有1%的人可能会突破我们的防线?
不要害怕,一来那都是高手,高手一般不会为难我们这些新手的!
二来只要你不说,我想高手也不会对你回收站感兴趣,虽然他有能力看到你的回收站中的内容,但既然他不想看,又怎么能看到里面有些什么呢?
各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到"元凶"誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又一张,还是未见"元凶"的踪影,其实这未必就是病毒在作怪。
这样的例子并不少见,特别是对于一些初级电脑用户。
下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别"真毒"有一定帮助!
病毒与软、硬件故障的区别和联系
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。
我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。
下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
症状病毒的入侵的可能性软、硬件故障的可能性
经常死机:
病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:
病毒修改了硬盘的引导信息,或删除了某些启动文件。
如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:
病毒修改了文件格式;病毒修改了文件链接位置。
文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:
病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
提示硬盘空间不够:
病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。
硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。
软盘等设备未访问时出读写信号:
病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:
病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:
病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
数据丢失:
病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
键盘或鼠标无端地锁死:
病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
系统运行速度慢:
病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
系统自动执行操作:
病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言
病毒的分类及各自的特征
要真正地识别病毒,及时的查杀病毒,我们还有必要对病毒有一番较详细的了解,而且越详细越好!
病毒因为由众多分散的个人或组织单独编写,也没有一个标准去衡量、去划分,所以病毒的分类可按多个角度大体去分。
如按传染对象来分,病毒可以划分为以下几类:
a、引导型病毒
这类病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如KV300、KILL系列等。
b、文件型病毒
早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件,这样的话当你执行某个可执行文件时病毒程序就跟着激活。
近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以执行某程序时病毒也就自动被子加载了。
它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中,如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中,感染后通常文件的字节数并不见增加,这就是它的隐蔽性的一面。
c、网络型病毒
这种病毒是近几来网络的高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。
现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染,如WORD、EXCEL、电子邮件等。
其攻击方式也有转变,从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息(如黑客程序)等,传播的途经也发生了质的飞跃,不再局限磁盘,而是通过更加隐蔽的网络进行,如电子邮件、电子广告等。
d、复合型病毒
把它归为"复合型病毒",是因为它们同时具备了"引导型"和"文件型"病毒的某些特点,它们即可以感染磁盘的引导扇区文件,也可以感染某此可执行文件,如果没有对这类病毒进行全面的清除,则残留病毒可自我恢复,还会造成引导扇区文件和可执行文件的感染,所以这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。
以上是按照病毒感染的对象来分,如果按病毒的破坏程度来分,我们又可以将病毒划分为以下几种:
a、良性病毒:
这些病毒之所以把它们称之为良性病毒,是因为它们入侵的目的不是破坏你的系统,只是想玩一玩而已,多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。
它们并不想破坏你的系统,只是发出某种声音,或出现一些提示,除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。
如一些木马病毒程序也是这样,只是想窃取你电脑中的一些通讯信息,如密码、IP地址等,以备有需要时用。
b、恶性病毒
我们把只对软件系统造成干扰、窃取信息、修改系统信息,不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒",这类病毒入侵后系统除了不能正常使用之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复,当然还是要杀掉这些病毒之后重装系统。
c、极恶性病毒
这类病毒比上述b类病毒损坏的程度又要大些,一般如果是感染上这类病毒你的系统就要彻底崩溃,根本无法正常启动,你保分留在硬盘中的有用数据也可能随之不能获取,轻一点的还只是删除系统文件和应用程序等。
d、灾难性病毒
这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度,这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化或锁死你的硬盘,使你无法使用硬盘。
如果一旦染上这类病毒,你的系统就很难恢复了,保留在硬盘中的数据也就很难获取了,所造成的损失是非常巨大的,所以我们进化论什么时候应作好最坏的打算,特别是针对企业用户,应充分作好灾难性备份,还好现在大多数大型企业都已认识到备份的意义所在,花巨资在每天的系统和数据备份上,虽然大家都知道或许几年也不可能遇到过这样灾难性的后果,但是还是放松这"万一"。
我所在的雀巢就是这样,而且还非常重视这个问题。
如98年4.26发作的CIH病毒就可划归此类,因为它不仅对软件造成破坏,更直接对硬盘、主板的BIOS等硬件造成破坏。
,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
如按其入侵的方式来分为以下几种:
a、源代码嵌入攻击型
从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。
当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。
b、代码取代攻击型
这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
c、系统修改型
这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。
d、外壳附加型
这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。
目前大多数文件型的病毒属于这一类。
有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断。
1、反病毒软件的扫描法
这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。
但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。
但目前比较有名的还是那么几个系统的反病毒软件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。
至于这些反病毒软件的使用在此就不必说叙了,我相信大家都有这个水平!
2、观察法
这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。
如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡洞走到底,上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛!
对于如属病毒引起的我们可以从以下几个方面来观察:
a、内存观察
这一方法一般用在DOS下发现的病毒,我们可用DOS下的"mem/c/p"命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其它程序之中),有的病毒占用内存也比较隐蔽,用"mem/c/p"发现不了它,但可以看到总的基本内存640K之中少了那么区区1k或几K。
b、注册表观察法
这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion
等等,具体可参考我的另一篇文章--《通通透透看木马》,在其中对注册表中可能出现的地方会有一个比较详尽的分析。
c、系统配置
升级会员 