【构建防御盾】-注册表的单行其道

zjb0923

小科普

    注册表是Windows操作系统的核心。它实质上是一个庞大的数据库，存放有计算机硬件和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备说明以及各种网络状态信息和数据。可以说计算机上所有针对硬件、软件、网络的操作都是源于注册表的。
      

      注册表的组成


     系统配置注册表文件      系统配置注册表备份文件  用户平台配置注册表文件 用户平台配置备份文件

     网络管理注册表文件       网络管理注册备份文件

a.注册表5个子目录树的作用

1.hkey classes root   记录各种文件的关联信息
2.kkey current user   记录桌面，墙纸，程序的设置保存，个性化等
3.hkey local machine 注册表的核心部分，各种软，硬件配置
4.hkey user   显示当前登录用户和默认用户的配置
5.hkey current config  硬件配置

b.注册表被破坏的表现

1.找不到.dll等或程序部分丢失不能定位

2.找不到服务器上的嵌入对象

3.找不到应用程序打开XX类型的文档

对于主动防御来说，前面已经讲过，其中一项是注册表防护。例如像IE主页，如果被篡改，均可以在注册表中将相应的键值中进行修改

1.regedit的打开方法
              
2.注册表的小小小知识快速磨刀

               


在次感谢qqq123123的“主机入侵防御系统”进阶之注册表防护。以下收纳了其的文章

在此之前，需要说明一下如何使用，免得大家看了不知道怎么用。本篇是讲注册表，因此类型选项要选择注册表。

关于相关注册表的含义，我在相关的注册表后注明了含义，个别哪些需要注意键值还是键项，我也进行了书写和说明


对象一栏填入一下你中意的防护项目


doc离线收看 点我下载

zjb0923

HIPS防护注册表关键位置整理

IE浏览器相关

*\Software\Microsoft\Internet Explorer\Main\Default_Page_URL篡改IE的默认页

*\Software\Microsoft\Internet Explorer\Main\Enable BrowserExtensions   启用浏览器扩展

*\Software\Microsoft\Internet Explorer\Main\Start Page  （禁止键值修改IE默认连接首页被修改）

*\Software\Microsoft\Internet Explorer\Main\Window Title      IE标题栏被修改

*\Software\Microsoft\Internet Explorer\MenuExt\*      IE右键菜单被修改

*\Software\Microsoft\Internet Explorer\Search\*       IE默认搜索引擎被修改

HKEY_CLASSES_ROOT\http\shell\open\command    浏览器默认设置

==========================================================

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\      登录界面会变成经典 禁止删除

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL    禁止修改键值防止病毒
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx       禁止修改键值 繁殖病毒篡改
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\     系统加载时会自动启动一次
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\       继RunServicesOnce之后启动的程序
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\    旗下程序只会被执行一次
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\    其下的所有程序在每次启动登录时都会按顺序自动执行 HKCU\Control Panel\Desktop   桌面属性
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit    病毒启动
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run     控制计算机启动项的注册表信息
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\    这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load    保护进程启动项

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\  桌面加载项
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Internet explorer\Plugins    旗下的Extension或MIME要是被破坏会导致网页图片为红叉

HKLM\SYSTEM\ControlSet*\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot若删除Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318则会导致注册表进不去

HKLM\Software\Microsoft\Windows\Currentversion\Policies\System\ 旗下的shell 一般该项的 AppInit_DLLs 键值是空的，若有异常的文件名，可能是病毒启动项
HKCU\Software\Policies\Microsoft\InternetExplorer\Control panel\homepage键值若为1，则注册表编辑会被停用

组策略设置的储存位置：

(※可以考虑允许C:\WINDOWS\system32\mmc.exe,c:\windows\system32\winlogon.exe对其修改,其他程序全部询问).    *\Software\Microsoft\Windows\CurrentVersion\Group  Policy Objects\*    *\Software\Microsoft\Windows\CurrentVersion\Group  Policy\*    *\Software\Microsoft\Windows\CurrentVersion\Policies\*    *\Software\Policies\Microsoft\*

文件系统底层设置<底层项>
HKLM\SYSTEM\*ControlSet*\Control\FileSystem\*  禁止修改键值
Windows系统文件存储位置/备份设置<重要项>    禁止项
HKLM\SYSTEM\*ControlSet*\Control\BackupRestore\*

Internet Explorer加载DLL位置<Internet Explorer加载DLL读取位置,有恶意程序会通过此处在Internet Explorer加载时加载/复活>
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\*项修改

Windows 程序路径<包含了常用程序的路径记录,谨防病毒恶意修改为病毒路径,个人认为全局允许配合记录日志,然后定期查看比较合适?还是直接套用询问的好?>
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths\*   修改项和键值

URL默认前缀<部分病毒会修改这里的DefaultPrefix\default,这里一般直接禁写吧>
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\default\   禁止修改键值*

安全模式配置参数<推荐防护>
HKLM\SYSTEM\*ControlSet*\Control\SafeBoot\AlternateShell\*  禁止键值
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Minimal\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Network\*  禁止项和键值

系统环境变量参数（禁止修改键值和项）
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SessionManager\Environment\*
HKEY_CURRENT_USER\Environment\*
HKEY_USERS\*\Environment\*

启动和故障恢复配置参数   禁止修改键值
*\SYSTEM\*ControlSet*\Control\CrashControl\*
证书-受信任的发行者
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\*禁止修改键值

Windows自动更新配置参数 禁止修改键值
*\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate\*

U盘病毒&自动运行相关：禁止修改键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\Shell\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun*

*\Software\Microsoft\Driver Signing\Policy* [管理是否进行驱动签名认证]

zjb0923

文件关联&默认图标等：禁止修改键值

HKCR\.*\*

HKCR\Shell*

HKCR\Comfile*

HKCR\Folder\Shell*

HKCR\Directory\Shell*

HKCR\Unknown\Shell*

HKCR\?\Shell\*

HKCR\*\ShellNew*

HKCR\*\NeverShowExt

HKCR\*\AlwaysShowExt

*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*\*

HKCR\CLSID\{7EFFAAFF-EA0A-1A3A-CBCD-F13522D53649}\InProcServer32\*

驱动/服务相关：

HKEY_LOCAL_MACHINE\System\*controlset*\Services\*
HKEY_LOCAL_MACHINE\System\*controlset*\Services\*imagepath
HKEY_LOCAL_MACHINE\System\*controlset*\Control\Safeboot***
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Shellserviceobjectdelayload**

文件关联：

HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Comfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Batfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\Piffile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.bat*
HKEY_CLASSES_ROOT\.cmd*
HKEY_CLASSES_ROOT\.exe*
HKEY_CLASSES_ROOT\.txt*
HKEY_CLASSES_ROOT\.pif*
HKEY_CLASSES_ROOT\Txtfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.com*
HKEY_CLASSES_ROOT\Comfile*
HKEY_CLASSES_ROOT\.reg*
HKEY_CLASSES_ROOT\Regfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.inf*
HKEY_CLASSES_ROOT\Inffile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.hlp*
HKEY_CLASSES_ROOT\Hlpfile\Shell\Open\Command*
HKEY_CLASSES_ROOT\.chm*
HKEY_CLASSES_ROOT\Chm.file\Shell\Open\Command*

网络保护：

HKEY_LOCAL_MACHINE\System\*controlset*\Services\Winsock2***有网友要求的winsock组件保护
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Network*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Policies\Network*
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Tcpip\ParametersDataBasePath
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Tcpip\Parameters\Interfaces***
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Windowsupdate**
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windowsfirewall***
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windowsupdate**
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windowsfirewall***
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Sharedaccess\Parameters\Firewallpolicy*

流氓及恶意程序保护：

HKEY_CLASSES_ROOT\Cns**
HKEY_CURRENT_USER\Software\3721   *
HKEY_LOCAL_MACHINE\Software\3721 *
HKEY_LOCAL_MACHINE\Software\Classes\Cns* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Helper.dll*
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\!搜一搜 *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Advancedoptions\!cns*
HKEY_LOCAL_MACHINE\System\Controlset*\Enum\Root\Legacy_cnsmink*
HKEY_LOCAL_MACHINE\System\Controlset*\Services\Cnsminkp *
HKEY_CLASSES_ROOT\Assist* *
HKEY_CLASSES_ROOT\Autolive* *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main\Cns* *
HKEY_CLASSES_ROOT\Adkiller* *
HKEY_LOCAL_MACHINE\Software\Classes\Adkiller**
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Activex compatibility\{1b0e7716-898e-4...*
HKEY_CLASSES_ROOT\Coolbar**
HKEY_LOCAL_MACHINE\Software\Classes\Coolbar* *
HKEY_CURRENT_USER\Software\Yahoo*
HKEY_LOCAL_MACHINE\Software\Yahoo*
HKEY_CLASSES_ROOT\Zschkfile*
HKEY_CLASSES_ROOT\Ebay**
HKEY_USERS\S-1-5-**\Software\Microsoft\Internet explorer\Menuext\*ebay**
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Ebay* *
HKEY_CLASSES_ROOT\Applications\Pig* *
HKEY_LOCAL_MACHINE\Software\Classes\Applications\Pig**
HKEY_LOCAL_MACHINE\Software\Miranda *
HKEY_USERS\S-1-5-*\Software\Bcgp appwizard-generated applications\网络猪*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run\Pig**
HKEY_CLASSES_ROOT\Pig* *
HKEY_CURRENT_USER\Software\Pig**
HKEY_LOCAL_MACHINE\Software\Classes\Pig**
HKEY_CLASSES_ROOT\Filetransferprogressbar* *
HKEY_CLASSES_ROOT\Gif89.gif89* *
HKEY_LOCAL_MACHINE\Software\Classes\Gif89**
HKEY_CLASSES_ROOT\360**
HKEY_CLASSES_ROOT\Hugi**
HKEY_LOCAL_MACHINE\Software\360so*
HKEY_LOCAL_MACHINE\Software\Classes\360main* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 360Main*.exe
HKEY_LOCAL_MACHINE\Software\Baidu *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\百度**
HKEY_CLASSES_ROOT\Baidu**
HKEY_CURRENT_USER\Software\Baidu *
HKEY_LOCAL_MACHINE\Software\Classes\Mimefilter**
HKEY_CLASSES_ROOT\Mimefilter* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object...*
HKEY_LOCAL_MACHINE\Software\Blogchina*
HKEY_CLASSES_ROOT\Bocai**
HKEY_LOCAL_MACHINE\Software\Classes\Bocai* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Toolbar\{4da2ee61-6399-4c39-aeb9-0d... *
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Cdn**
HKEY_CURRENT_USER\Software\Cnnic *
HKEY_LOCAL_MACHINE\Software\Cnnic *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Advancedoptions\Cdnclient *
HKEY_CLASSES_ROOT\Cdn* *
HKEY_CLASSES_ROOT\Mailparsersvr**
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Extensions\{35980f6e-a137-4e50-953d... *
HKEY_LOCAL_MACHINE\System\*controlset*\Enum\Root\Legacy_cdnprot *
HKEY_CLASSES_ROOT\Applications\Dudu* *
HKEY_CLASSES_ROOT\Ddd* *
HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Menuext\&使用dudu 加速器下载 *
HKEY_LOCAL_MACHINE\Software\Dudu*
HKEY_USERS\S-1-5-*\Software\Microsoft\Internet explorer\Menuext\&使用dudu 加速器下载 *
HKEY_CLASSES_ROOT\Xpwindow**
HKEY_CLASSES_ROOT\Applications\Henbang**
HKEY_LOCAL_MACHINE\Software\Classes\Applications\Henbang* *
HKEY_CLASSES_ROOT\Downloadstart**
HKEY_LOCAL_MACHINE\Software\Classes\Downloadstart* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object...*
HKEY_CLASSES_ROOT\Monitor.urlmonitor**
HKEY_LOCAL_MACHINE\Software\Classes\Monitor.urlmonitor* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object...*
HKEY_LOCAL_MACHINE\Software\World2 *
HKEY_LOCAL_MACHINE\Software\Classes\Hugi* *
HKEY_CLASSES_ROOT\Yisou**
HKEY_CURRENT_USER\Software\Yisou**
HKEY_LOCAL_MACHINE\Software\3721\Yisou *
HKEY_LOCAL_MACHINE\Software\Classes\Yisoubar* *
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser helper object...*
HKEY_LOCAL_MACHINE\Software\Yisou*
HKEY_CLASSES_ROOT\Searchm**
HKEY_LOCAL_MACHINE\Software\Classes\Searchm* *
HKEY_CLASSES_ROOT\Clsid\{141a5e19-bdcb-4e27-a3d7-9e16503bc05b}*
HKEY_CLASSES_ROOT\Clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}*
HKEY_CLASSES_ROOT\Clsid\{7ca83cf1-3aea-42d0-a4e3-1594fc6e48b2} *
HKEY_CLASSES_ROOT\Clsid\{9eb2b422-c9ee-46c4-a471-1e79c7517b1d}*
HKEY_CLASSES_ROOT\Clsid\{abec6103-f6ac-43a3-834f-fb03fba339a2} *
HKEY_CLASSES_ROOT\Clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}*
HKEY_CLASSES_ROOT\Clsid\{bb936323-19fa-4521-ba29-eca6a121bc78} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{141a5e19-bdcb-4e27-a3d7-9e16503bc05b} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{38928d50-8a48-44c2-945f-d2f23f771410}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{7ca83cf1-3aea-42d0-a4e3-1594fc6e48b2}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{9eb2b422-c9ee-46c4-a471-1e79c7517b1d} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{abec6103-f6ac-43a3-834f-fb03fba339a2}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{bb936323-19fa-4521-ba29-eca6a121bc78}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{57421194-58fb-49ae-9b4f-fd48869b9ad4}*
HKEY_CLASSES_ROOT\Clsid\{57421194-58fb-49ae-9b4f-fd48869b9ad4} *
HKEY_CLASSES_ROOT\Clsid\{406f94f0-504f-4a40-8dfd-58b0666abebd}*
HKEY_CLASSES_ROOT\Clsid\{fe3ecae7-0a37-4506-8a7d-3cc9a04d2ca8}*
HKEY_CLASSES_ROOT\Clsid\{38928d50-8a48-44c2-945f-d2f23f771410} *
HKEY_CLASSES_ROOT\Clsid\{17f1c8e8-b99b-4d85-927b-a0ee7290455a} *
HKEY_CLASSES_ROOT\Clsid\{af53d70e-29df-443a-92aa-9c314af5871e} *
HKEY_CLASSES_ROOT\Clsid\{22d8e815-4a5e-4dfb-845e-aab64207f5bd}*
HKEY_CLASSES_ROOT\Clsid\{92085ad4-f48a-450d-bd93-b28cc7df67ce} *
HKEY_CLASSES_ROOT\Clsid\{b7856497-7097-424a-b03c-557aca6477b4}*
HKEY_CLASSES_ROOT\Clsid\{bc0fa0e8-0e7a-4836-b6ea-6e6880f4522c}*
HKEY_CLASSES_ROOT\Clsid\{28d47530-cf84-11d1-834c-00a0249f0c28} *
HKEY_CLASSES_ROOT\Clsid\{4b946315-e88c-4fe9-9c51-d9277ba85acc}*
HKEY_CLASSES_ROOT\Clsid\{b580cf65-e151-49c3-b73f-70b13fca8e86}*
HKEY_CLASSES_ROOT\Clsid\{a7f05ee4-0426-454f-8013-c41e3596e9e9}*
HKEY_CLASSES_ROOT\Clsid\{fe14f22e-be14-4f08-a80f-f27bc3a67b2d}*
HKEY_CLASSES_ROOT\Clsid\{4da2ee61-6399-4c39-aeb9-0d990e610d29} *
HKEY_CLASSES_ROOT\Clsid\{461a86f7-a29d-460a-80d5-52979aa6c46d} *
HKEY_CLASSES_ROOT\Clsid\{9a578c98-3c2f-4630-890b-fc04196ef420}*
HKEY_CLASSES_ROOT\Clsid\{d449eb58-55af-4695-b216-895d546aed89}*
HKEY_CLASSES_ROOT\Clsid\{35980f6e-a137-4e50-953d-813bb8556899}*
HKEY_CLASSES_ROOT\Clsid\{8135ef31-fe8c-4c6e-a18a-f59944c3a488}*
HKEY_CLASSES_ROOT\Clsid\{915e63f4-4733-401e-8556-6559b30a4c5a} *
HKEY_CLASSES_ROOT\Clsid\{6bde1669-b490-48e3-b668-456314f2d6c3} *
HKEY_CLASSES_ROOT\Clsid\{ffd95f65-f5e4-4ab8-b7f9-f61f13878a04}*
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Extensions\{3db9f45e-aa74-4373-a466... *
HKEY_CLASSES_ROOT\Clsid\{2d6f6bff-1796-4779-9ba3-5f20f17e5cea}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{2d6f6bff-1796-4779-9ba3-5f20f17e5cea} *
HKEY_CLASSES_ROOT\Clsid\{616d4040-5712-4f0f-bcf1-5c6420a99e14}*
HKEY_CLASSES_ROOT\Clsid\{3ed9ffda-79db-4b2d-99b7-16ea3c4a3a92}*
HKEY_CLASSES_ROOT\Clsid\{f43bd772-abdd-43b7-a96a-3e9e61946ec0} *
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{f43bd772-abdd-43b7-a96a-3e9e61946ec0}*
HKEY_CLASSES_ROOT\Clsid\{115f6e46-fcbc-41ed-b3b5-3bddd4aab5e5}*
HKEY_CLASSES_ROOT\Clsid\{db4f72f5-fa97-4424-a8cd-758feae6861f}*
HKEY_CLASSES_ROOT\Clsid\{ef1d17a9-089f-40cc-8d64-7324cdeba0db} *
HKEY_CLASSES_ROOT\Clsid\{594be7b2-23b0-4fae-a2b9-0c21cc1417ce}*
HKEY_LOCAL_MACHINE\Software\Classes\Clsid\{594be7b2-23b0-4fae-a2b9-0c21cc1417ce} *
HKEY_LOCAL_MACHINE\Software\Stdup *
HKEY_CURRENT_USER\Software\Stdup *
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet explorer\Activex compatibility\{9a578c98-3c2f-46...*
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Universal disk manager *

以上是我自己收录整理的，部分收录的卡饭学院里的内容

zjb0923

以下是qqq123123的帖子“主机入侵防御系统”进阶之注册表防护！
-----------------------------------------------------------------------------------------------------
01、DOS虚拟机程序
*\SYSTEM\CurrentControlSet\Control\WOW\*
02、Explorer防毒键值
*\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*
03、Ini重定向加载项
*\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
04、LSA本地安全策略
*\SYSTEM\CurrentControlSet\Control\Lsa\*
*\SYSTEM\CurrentControlSet\Control\SecurityProviders\*
05、Rpc网络远程调用协议
*\SOFTWARE\Microsoft\Rpc\*
06、ShellExecuteHooks隐性启动
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*\*
07、Windows安全中心
*\SOFTWARE\Microsoft\security center\*
08、Windows的文件校验
*\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer*  键值 AuthenticodeFlags
09、WinSock网络协议
*\SYSTEM\*controlset*\Services\WinSock*
10、安全模式
*\SYSTEM\*CurrentControlSet*\Control\SafeBoot\*
11、磁盘显示与隐藏
*\Enum\PCI\*  键值  ChannelOptions
12、打印服务
*\SYSTEM\CurrentControlSet\Control\Print\*
13、计划任务
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler*\*
14、浏览器侧边栏
*\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\*
15、浏览器插件
*\SOFTWARE\Classes\CLSID\*  键值 InprocServer32
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\*
16、浏览器工具栏按钮
*\Software\Microsoft\Internet Explorer\Extensions\*
17、浏览器工具条
*\SOFTWARE\Microsoft\Internet Explorer\Toolbar\*
18、浏览器默认搜索引擎劫持
*\Software\Microsoft\Internet Explorer\URLSearchHooks\*
19、浏览器启动页面
*\SOFTWARE\Classes\CLSID\*\shell\OpenHomePage\Command*
20、浏览器设置键值
*\Internet Explorer\Control Panel
*\Internet Explorer\Main
*\Internet Explorer\Main\*
*\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\*
21、浏览器通信协议
*\SOFTWARE\Classes\PROTOCOLS\Handler\*
22、浏览器协议前缀
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL*

24、命令行劫持
*\SOFTWARE\Microsoft\Command Processor\*

26、启动项相关键值
*\Software\Microsoft\Windows\CurrentVersion\Run
*\Software\Microsoft\Windows\CurrentVersion\Run\*
*\Software\Microsoft\Windows\CurrentVersion\RunOnce
*\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
27、输入法加载项
*\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\*
28、网络协议组件
*\Software\Classes\Protocols\Filter\*
*\Software\Classes\Protocols\Handler\*
29、文件关联及打开方式
*  键值 Drive
*\*file\shell*\open\command
*\*ShowExt
*\CommCntrMaintenancePatch.CommCntrMaintenancePatch1
*\folder\shell\*ddeexec
*\http*\shell\open\command
*\InProcServer32
*\SOFTWARE\Classes\.*
30、文件夹选项菜单
*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer  键值 NoFolderOptions
31、系统保护文件设置
*\SYSTEM\CurrentControlSet\Control\Session Manager  键值AllowProtectedRenames  
32、系统登录脚本
*\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\*
33、系统动态组件
*\Software\Microsoft\Active Setup\Installed Components\*
34、系统环境变量
*\SYSTEM\CurrentControlSet\Control\Session Manager\*
35、服务
*\*Services*\*
36、系统解码插件
*\SOFTWARE\Classes\CLSID\{083863F1-70DE-11D0-BD40-00A0C911CE86}\*
37、系统界面核心@用户环境
*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*\*
38、系统配置策略
*\Software\Microsoft\Windows\CurrentVersion\Policies\*
39、系统启动配置
*\SYSTEM\CurrentControlSet\Control\BootVerificationProgram\*
40、系统图标资源
*\*Icon*
*\Control Panel\Desktop\WindowMetrics
41、系统自动播放
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
*\System\CurrentControlSet\Services\Cdrom\Autorun
42、显示或隐藏文件
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\*
43、映像劫持
*\AeDebug\*
*\Image File Execution Options*
44、用户登陆框
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GinaDLL*
45、用户账户列表
*\SAM\*
46、终端服务
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server\*
*\SYSTEM\CurrentControlSet\Control\Terminal Server\*
47、终止程序设置
*\Control Panel\Desktop\ArtoEndTasks*
*\Control Panel\Desktop\HungAppTimeOut*
*\Control Panel\Desktop\WaitToKillAppTimeout*
*\SYSTEM\*ControlSet*\Control\WaitToKillServiceTimeout*
48、桌面项目设置
*\Software\Microsoft\Windows\CurrentVersion\Explorer\*  键值 HideDesktopIcons
49、组策略设置键值
*\SOFTWARE\Policies\Microsoft\Windows\Safer*

九尾野狐

有些XP下面的注册表在WIN7里已经没有了

那个啥QQQ发的所谓进阶注册表的东西已经不知道是多少年以前的了

zjb0923

九尾野狐 发表于 2011-9-21 17:17
有些XP下面的注册表在WIN7里已经没有了

那个啥QQQ发的所谓进阶注册表的东西已经不知道是多少年以前的了

window7下存在的注册表项 我进行了键值或项的标注和说明

至于引用的文章 是对他人的感谢 不排除xp用户的需求 反正你写了也不影响 是吧

雨之神

好帖必顶啊

3个RQ都给你了

zjb0923

雨之神 发表于 2011-9-21 18:54
好帖必顶啊

3个RQ都给你了

你太好了

超现实主义

非常好的文章，人气加上了。

zybo

学习了，lz辛苦了，感谢分享