注册表权限设置

注册表权限设置 一招搞定几万种木马--?注册表权限设置.更新8.6[声明:关于teyqiu斑竹扣分。---关于你的扣分，我理解，我只是要说的是为了系统安全，我们有时候需要牺牲点，并且禁止了AppInit_DLLs并不会影响到卡巴的使用，很多安全软件需要读取AppInit_DLLs，权限的设置不会影响他们，但不允许他们修改它。其实我整篇文章的设置都会影响到系统易用性，比如文件关联TXT，有时候有人不会使用记事本，比如EXPLORER设置，也会影响到一些软件的安装，映像劫持的设置会影响到进程执法官软件劫持任务管理器，最后App Paths设置会影响到软件的一些运行使用.有时候安全和易用有所冲突，主要看你需要什么/作者:享受挫折日期:2007.7.22操作系统:Windows XP提醒:权限设置之前请务必确保你的系统非常干净，没有问题。1、文件关联正常情况下，系统最重要的扩展名:EXE、COM、PIF、BAT、SCR、TXT、INI、INF、CHM，它们的值(打开方式)是不变的。而很多病毒木马会修改它们的打开方式，这样可以达到病毒木马程序跟随您打开的那种文件类型一起启动，而你根本不会知道。现在有很多工具可以查看这些扩展名是否被修改，如下图，这是SRENG程序显示的文件关联，当我们发现某一扩展名的状态是错误的时候，我们可以直接勾选上它，然后修复。但当我们发现的时候可能已经迟了。举个例子，exe文件的打开方式是"%1"%*。如果被修改成trogan.exe"%1"%*,那么你每次运行程序的时候，这个trogan.exe就会被执行。我们在使用安全辅助软件(比如说sreng)清除病毒的时候经常会建议朋友QUOTE:当sreng.exe不能打开，请将它修改为dgs.com;仍然打不开，请修改为dss.pif;仍然打不开，请修改为fwa.bat;还不行吗，那请你修改为daews.scr;还不行.难道这么多扩展名的打开方式都被修改了吗.靠～****下面就有非常好的，不让病毒修改这些扩展名--?Regedit权限步骤:1、开始?运行?regedit 2、定位到HKEY_CLASSES_ROOT\.exe，右击，点击"权限"。3、对权限进行设置，如下图:请务必注意读取权限一点要勾选上，否则该扩展名的文件你是打不开的.完成后确定。对下面的主键依次第2步和第3步操作HKEY_CLASSES_ROOT\.exe HKEY_CLASSES_ROOT\exefile HKEY_CLASSES_ROOT\.txt HKEY_CLASSES_ROOT\txtfile HKEY_CLASSES_ROOT\.com HKEY_CLASSES_ROOT\comfile HKEY_CLASSES_ROOT\.reg HKEY_CLASSES_ROOT\regfile HKEY_CLASSES_ROOT\.bat HKEY_CLASSES_ROOT\batfile HKEY_CLASSES_ROOT\.scr HKEY_CLASSES_ROOT\scrfile HKEY_CLASSES_ROOT\.ini HKEY_CLASSES_ROOT\.inifile \.inf HKEY_CLASSES_ROOT\.infile关于文件关联部分设置HKEY_CLASSES_ROOT 结束。本人小心得:如果上面这些权限您不设置，我建议你重新注册一个扩展 名，它的效果和EXE格式一样，如下我自己设置了一个AXA扩展名:注:〖1、 将下面代码axa换成任意字母组合都可以，把axa替换成你想要的扩展名〗〖2、 复制到记事本后，最后一行尾必须换行〗[Copy to clipboard][-]CODE: REGEDIT4[HKEY_CLASSES_ROOT\.axa]@="axafile""Content Type"="application/x- msdownload"[HKEY_CLASSES_ROOT\.axa\PersistentHandler]@="{098f2470- 11cd-b579-08002b30bfeb}"[HKEY_CLASSES_ROOT\axafile]@="应用程序bae0- ""EditFlags"=hex:38,07,00,00"TileInfo"="prop:FileDescription; Company;FileVersion""InfoTip"="prop:FileDescription;Company; FileVersion;Create;Size"仍然使用系统默认帐号(系统管理员)登陆系统的， 建议你继续看下去，下面的介绍可以减少你以后的麻烦，比如说浏览网页的时 候时不时跳出广告，总会提示你安装插件、网页右键被修复、主页被锁定.第一 步首先，进入Internet选项，设置好各选项。1、在"常规"里面，将首页设置 好。2、进入"安全"设置，如下图:默认情况下，Internet安全级别是中等， 受信任的站点安全级别低，受限制的站点级别最高。目前被"挂马"的网页，主 要是通过以下两种方式。其一，是使用i-frame-X(内联框架)大旗网使用这样 技术把带木马的网页隐藏嵌入到正常网页，其二，使用Js脚本实现木马的下载。 ?禁止内联框架，选择上图中第一个图标-"Internet"，点击"自定义级别."， 定位到下面图，禁止掉"跨域浏览子框架"。?禁止JS，和上面一样，选择上上 图中第一个图标-"Internet"，点击"自定义级别."，定位到下面图，禁止掉 "Java小程序脚本"和"活动脚本"。继续在"安全"设置中，将我们信任的网站放 进去，特别是上面的禁用会影响的网站我经常上的大旗网，如下图:差不多了， 我们可以进入第二步了。第二步，将下面两个分支使用上面的方法设置权限。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer--4、Image File Execution Options映像劫持映像劫持用很专业的话我讲不出来，我和你 只需要知道的是:点击安装杀毒软件、点击杀毒软件、杀毒杀马辅助软件启动 不了很多情况下是病毒木马修改了这里，我个人认为这个技术的弊远大利。我 们只要通过权限设置后，就可以让它休眠。映像劫持在注册表中的位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options使用上面的权限设置方法设置它的权限。---5、解决 点击C盘、D盘、E盘、--、U盘等出现任何问题当你右击D盘，点击打开的时 候，你会觉得它有问题吗?当你选择资源管理器的时候，你能肯定安全的吗?? 当你关闭了自动播放，双击U盘的时候，你觉得autorun病毒不会发作吗??下 面的图显示一般情况下我们右击磁盘后显示的菜单和注册表中的对应值。病毒 木马真是厉害，每个细节它都不放过，它可能修改注册表伪造"打开"、伪造"资 源管理器"，这不是危言耸听。当我们不加考虑的点击磁盘后，它悄悄的启动了。 上面我打了?的，请你要引起重视，即使你关闭了自动播放，插入一个带毒的 的U盘，你也会中招，这是因为病毒修改了 Software\Microsoft\Windows\CurrentVersion\Explorer\HKEY_CURRENT_USER\ MountPoints2这里面的东西，具体怎么修改我现在还不知道。但我告诉通过注 册表的权限设置，病毒的的确确的破坏不了磁盘打开方式了，哦.来吧。使用上 面的权限设置方法设置它们的权限，注册表位置:HKEY_CLASSES_ROOT\Drive HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2---6、解决"通过"运行"导致误运行病毒问题"当你自信的在如下 框子里面输入regedit时，你是否觉得你在运行病毒?在以下两种情况，你会误 运行病毒。?注册表定位在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths下，如下图修改注册表项，看在上面的运行框中，运行regedit后是什 么。?在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment，在下图的path的值里面，最前面加一个"d:\system; "，然后在D盘下建一个system文件夹，里面放一个执行文件，将他的名字修 改为regedit.exe，然后在上面的运行框里面输入regedit运行后，发现运行 了什么?通过上的例子我强力建议使用上面的权限设置限制以下两个路径。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment