有人曾經(jīng)說(shuō)過(guò)，了解了注冊(cè)表就讀懂了WIN系統(tǒng)，這句話是一點(diǎn)都不假的。那么，什么是注冊(cè)表？注冊(cè)表有什么功能？如何去修改注冊(cè)表以達(dá)到最佳的效果？又如何來(lái)區(qū)分注冊(cè)表里有用和無(wú)用甚至是危害的部分呢？

　　什么是注冊(cè)表？在還是使用Dos和Win3.x操作系統(tǒng)的時(shí)代里，大部分的應(yīng)用程序都采用了ini文件（初始化文件）來(lái)保存一些配置信息，如設(shè)置路徑，環(huán)境變量等。system.ini和win.ini控制著所有windows和應(yīng)用程序的特征和存取方法，它在少數(shù)的用戶和少數(shù)應(yīng)用程序的環(huán)境中工作的很好。隨著應(yīng)用程序的數(shù)目的不斷增加和復(fù)雜性的日益增強(qiáng)，則需要在.ini文件中添加更多的參數(shù)項(xiàng)。這樣下來(lái)，在一個(gè)變化的環(huán)境中，在應(yīng)用程序安裝到系統(tǒng)中后，每個(gè)人都會(huì)更改.ini文件。然而，幾乎沒(méi)有一個(gè)人在刪除應(yīng)用程序后刪除.ini文件中的相關(guān)設(shè)置，所以system.ini和win.ini這個(gè)兩個(gè)文件會(huì)變的越來(lái)越大。每次增加的內(nèi)容會(huì)導(dǎo)致系統(tǒng)性能越來(lái)越慢，在每次應(yīng)用程序的升級(jí)都出現(xiàn)類(lèi)似的難題：升級(jí)后會(huì)增加更多的參數(shù)項(xiàng)但是從來(lái)不去掉舊的參數(shù)設(shè)置。而且還有一個(gè)明顯的問(wèn)題，一個(gè).ini文件的最大尺寸是64KB。為了能夠解決這個(gè)問(wèn)題，軟件商自己開(kāi)始支持自己的.ini文件，然后指向特定的ini文件，這樣下來(lái)多個(gè).ini文件影響了系統(tǒng)正常的存取級(jí)別設(shè)置。

　　在windows操作系統(tǒng)序列里，system.ini和win.ini這兩個(gè)文件包含了操作系統(tǒng)的所有控制功能和應(yīng)用程序的信息，system.ini管理計(jì)算機(jī)硬件，win.ini管理桌面和應(yīng)用程序。所有驅(qū)動(dòng)、字體、設(shè)置和參數(shù)會(huì)保存在.ini文件中，任何新程序都會(huì)被記錄在.ini文件里。這些記錄會(huì)在程序代碼中被引用。因?yàn)槭躻in.ini和system.ini文件大小的限制，程序員添加輔助的.INI文件以用來(lái)控制更多的應(yīng)用程序。舉例來(lái)說(shuō)，微軟的Word有一個(gè)word.ini文件，它包含著選項(xiàng)、設(shè)置、缺省參數(shù)和其他關(guān)系到Word運(yùn)行正常的信息。在system.ini和win.ini中只需要指出word.ini的路徑和文件名即可。

　　為了解決相關(guān)的問(wèn)題，微軟公司于1995年正式推出了取代了WIN3.X操作系統(tǒng)的WIN95，從某中程度上來(lái)說(shuō)，WIN95的出現(xiàn)是一個(gè)劃時(shí)代的產(chǎn)物，因?yàn)閃indows95第一次使用了“注冊(cè)表”來(lái)配置和管理許多即插即用或者必備的硬件，以及臨時(shí)調(diào)用或永久駐留的軟件程序。這使得Windows95成為真正意義上的32位操作系統(tǒng)，具有了微機(jī)操作系統(tǒng)的五大基本功能。這也使得注冊(cè)表這個(gè)東西第一次出現(xiàn)在了眾人的視線中。

　　注冊(cè)表最初被設(shè)計(jì)為一個(gè)應(yīng)用程序的數(shù)據(jù)文件相關(guān)參考文件，最后擴(kuò)展成對(duì)32位操作系統(tǒng)和應(yīng)用程序包括了所有功能下的東西。注冊(cè)表是一套控制操作系統(tǒng)外表和如何響應(yīng)外來(lái)事件工作的文件。這些“事件”的范圍從直接存取一個(gè)硬件設(shè)備到接口，如何響應(yīng)特定用戶到應(yīng)用程序如何運(yùn)行等。注冊(cè)表因它的目的和性質(zhì)變的很復(fù)雜，它被設(shè)計(jì)為專(zhuān)門(mén)的針對(duì)32位應(yīng)用程序工作，文件的大小被限制在大約40MB。利用一個(gè)功能強(qiáng)大的注冊(cè)表數(shù)據(jù)庫(kù)來(lái)統(tǒng)一集中地管理系統(tǒng)硬件設(shè)施，軟件配置等信息，從而方便了管理，增強(qiáng)了系統(tǒng)的穩(wěn)定性。

　　由此可見(jiàn)，注冊(cè)表（Registry）是Windows95以上版本操作系統(tǒng)中硬件設(shè)備以及客戶應(yīng)用程序得以正常運(yùn)行和保存設(shè)置的核心“數(shù)據(jù)庫(kù)”；也可以說(shuō)是一個(gè)非常巨大的樹(shù)狀分層結(jié)構(gòu)的數(shù)據(jù)庫(kù)系統(tǒng)。它記錄了用戶安裝在機(jī)器上的軟件和每個(gè)程序的相互關(guān)聯(lián)信息；它包含了計(jì)算機(jī)的硬件配置，包括自動(dòng)配置的即插即用的設(shè)備和已有的各種設(shè)備說(shuō)明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)。

　　好了，說(shuō)完了注冊(cè)表和它的發(fā)展歷程后，我們來(lái)關(guān)心一下它的功能。注冊(cè)表的一個(gè)好處是添加或刪除程序功能，這是開(kāi)始菜單中控制面板功能的一部分。你安裝軟件的時(shí)候，在注冊(cè)表中做了一個(gè)記錄，所以在添加或刪除程序中就會(huì)作為一個(gè)專(zhuān)門(mén)列表的一部分出現(xiàn)。注冊(cè)表保存在你的硬盤(pán)的幾個(gè)文件當(dāng)中，但訪問(wèn)和修改它們的唯一途徑是使用注冊(cè)表編輯器程序。要訪問(wèn)它，點(diǎn)擊開(kāi)始按鈕，然后點(diǎn)擊運(yùn)行。在出現(xiàn)的對(duì)話框中輸入regedit并按Enter鍵。這會(huì)進(jìn)入注冊(cè)表編輯器，你現(xiàn)在就看到了注冊(cè)表。

　　

　　注冊(cè)表組織得更像磁盤(pán)上的文件，如果你曾經(jīng)在Windows瀏覽器中使用過(guò)文件夾視圖的話，你會(huì)根據(jù)很熟悉。然而在注冊(cè)表中，這些文件夾被稱(chēng)為鍵。要打開(kāi)某個(gè)鍵，只需點(diǎn)擊它旁邊的小加號(hào)(+)。然后你會(huì)看到每個(gè)鍵下包含更多的鍵，稱(chēng)為子鍵或值。值是指各種不同鍵的單獨(dú)設(shè)置，因此是可自定義的。它們?cè)谧?cè)表窗口左側(cè)以名稱(chēng)排列，它們還說(shuō)明了包含數(shù)據(jù)的類(lèi)型以及數(shù)據(jù)本身。不用擔(dān)心使用的是哪種數(shù)據(jù)類(lèi)型，因?yàn)檫@對(duì)數(shù)據(jù)本身是明顯的，或者在編輯過(guò)程中會(huì)作出解釋。這些數(shù)以千計(jì)的鍵根據(jù)邏輯進(jìn)行排列，在你第一次看到注冊(cè)表的時(shí)候可能會(huì)使你感覺(jué)無(wú)從下手。要把頭緒理清楚，首先要知道有五個(gè)根鍵以及注冊(cè)表的基本組成結(jié)構(gòu)。

　　

　　在這里需要提一下的是，隨著使用時(shí)間以及大量系統(tǒng)產(chǎn)生的垃圾影響，注冊(cè)表會(huì)變的越來(lái)越大，這并不是一個(gè)好現(xiàn)象，因?yàn)樽?cè)表越龐大，你的計(jì)算機(jī)的運(yùn)行就會(huì)變得越慢，所以很多新手朋友在問(wèn)到為什么自己的計(jì)算機(jī)越來(lái)越慢的時(shí)候，很多情況下就是因?yàn)槟愕淖?cè)表內(nèi)無(wú)用垃圾太多，所以導(dǎo)致自己的系統(tǒng)運(yùn)行越來(lái)越緩慢，因此，經(jīng)常的給注冊(cè)表“瘦瘦身”是很有必要的。當(dāng)然，現(xiàn)在很多第三方軟件，例如超級(jí)兔子、WINDOWS優(yōu)化大師等系統(tǒng)整理軟件都附帶了注冊(cè)表垃圾清除功能，建議新手朋友們務(wù)必下一個(gè)，經(jīng)常優(yōu)化自己的注冊(cè)表和系統(tǒng)，多研究研究里面的一些配置無(wú)論是對(duì)計(jì)算機(jī)的安全和運(yùn)行都會(huì)很有幫助。

　　下面我們就根據(jù)圖2來(lái)逐一解釋?zhuān)?br>
　　

　　在windowsNT/2000/XP中,如果用windows自帶的編輯器打開(kāi)的時(shí)候,只能看到五個(gè),還有一個(gè)隱藏的根鍵:HKEY_PERFOR_MANCE_DATA。

　　*HKEY_CLASS_ROOT

　　記錄windows操作系統(tǒng)中所有數(shù)據(jù)文件的格式和關(guān)聯(lián)信息,主要記錄不同文件的文件名后綴和與之對(duì)應(yīng)的應(yīng)用程序其下子鍵可分為兩類(lèi):一類(lèi)是已經(jīng)注冊(cè)的各類(lèi)文件的擴(kuò)展名,這類(lèi)子鍵前面都帶有一個(gè)".";另一類(lèi)是各類(lèi)文件類(lèi)型有關(guān)信息。

　　*HKEY_CURRENT_USER

　　此根根鍵包含當(dāng)前登錄用戶的用戶配置文件信息,這些信息保證不同的用戶登錄計(jì)算機(jī)時(shí),使用自己的修改化設(shè)置,例如自己定義的墻紙,自己的收件箱,自己的安全訪問(wèn)權(quán)限。

　　*HKEY_LOCAL_MACHINE

　　此根鍵包含了當(dāng)前計(jì)算機(jī)的配置靈氣,包括所安裝的硬件以軟件設(shè)置。這些信息是為所有的用戶登錄系統(tǒng)服務(wù)的。這是事個(gè)注冊(cè)表中最龐大也是最重要的根鍵!

　　*HKEY_USERS

　　HKEY_USERS根鍵包括默認(rèn)用戶的信息(DEFAULT子鍵)和所有以前登陸用戶的信息。

　　*HKEY_CURRENT_CONFIG

　　此根鍵實(shí)際上是HKDY_LOCAL_MACHINE/CONFIG/0001分支下的數(shù)據(jù)完全一樣。

　　*HKEY_DYN_DATA根鍵

　　這個(gè)鍵保存每次系統(tǒng)啟動(dòng)時(shí),創(chuàng)建的系統(tǒng)配置和當(dāng)前性能信息。這個(gè)根鍵只存在于windows9X中

　　*HKEY_PERFORMANCE_DATA

　　在windowsNT/2000/XP注冊(cè)表中雖然沒(méi)有HKEY_DYN_DAT鍵,但是它卻隱藏了一個(gè)名為"HKEY_PERFORMANCE_DATA的鍵。所有系統(tǒng)中的動(dòng)態(tài)信息都是存放在此子鍵中,系統(tǒng)自帶的注冊(cè)表編輯器無(wú)法看到這些鍵。只可以用專(zhuān)門(mén)的程序來(lái)查看此鍵,比如使用性能監(jiān)視器。

　　下面再談?wù)勛?cè)表的修改問(wèn)題。在這里提醒大家一句，如果你沒(méi)有把握，切記在修改之前，一定要備份注冊(cè)表。修改注冊(cè)表，除了用微軟自帶的編輯器——regedit.exe外，還可以通過(guò)第三方軟件進(jìn)行修改，或者利用手工寫(xiě).reg注冊(cè)表文件。有沒(méi)有試過(guò)自己寫(xiě)注冊(cè)表文件？不用任何修改器？直接把寫(xiě)好的注冊(cè)表文件——.reg倒入注冊(cè)表？呵呵，這項(xiàng)技巧并不需要每個(gè)人都知道了，你只要知道上面的兩個(gè)就可以了。當(dāng)然，如果你是電腦迷，我們贊成深入學(xué)習(xí)。

　　現(xiàn)在我們來(lái)看看.reg文件的結(jié)構(gòu)如何。

　　.reg文件的標(biāo)準(zhǔn)格式如下：

　　REGEDIT4

　　[路徑]（注意用大小寫(xiě)）

　　"鍵名"="鍵值"（針對(duì)字符串型鍵值）

　　"鍵名"=hex:鍵值（針對(duì)二進(jìn)制型鍵值）

　　"鍵名"=dword:鍵值（針對(duì)DWORD鍵值）

　　括號(hào)里面的內(nèi)容為本人的注釋?zhuān)瑢?xiě)文件的時(shí)候就不需要那些小括號(hào)了，其他上面所列的都必須包括。注意引號(hào)輸入時(shí)不能用中文輸入的引號(hào)，必須用英文的引號(hào)，否則會(huì)出錯(cuò)。

　　那么，怎么寫(xiě).reg文件呢？我們需要一個(gè)文本編輯器，用windows的記事本就可以了。單擊鼠標(biāo)右鍵，選擇新建文本文檔，然后在生成的文本文件里輸入上面規(guī)格的內(nèi)容就可以了，最后，選擇另存為，輸入你想要的文件名+.reg保存即可。比如你要生成test.reg,輸入test.reg保存即可，你可以看到生成了一個(gè)帶圖標(biāo)的test.reg.雙擊運(yùn)行這個(gè)test.reg文件就能相應(yīng)的修改注冊(cè)表了，系統(tǒng)會(huì)提示“是否導(dǎo)入注冊(cè)表”之類(lèi)的信息，確定就可以了。OK,我們可以手動(dòng)寫(xiě)注冊(cè)表了。先別急，我們來(lái)看看一個(gè)標(biāo)準(zhǔn)范例，這是從注冊(cè)表里面導(dǎo)出來(lái)的，大家慢慢學(xué)習(xí)，跟著模仿一下就能寫(xiě)出自己的.reg文件了。

　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

　　"NoRun"=dword:00000000

　　"NoRecentDocsMenu"=hex:01,00,00,00

　　"NoFavoritesMenu"=dword:00000000

　　"user"="sundrink"

　　大家可以看到，dword是16進(jìn)制，hex是二進(jìn)制，字符串則可以直接賦值。只要將上面的內(nèi)容復(fù)制保存到文本文檔里，然后另存為你想要的.reg文件運(yùn)行就可以了。呵呵，原來(lái)也不是很難嘛，耐心一點(diǎn)就可以了。當(dāng)然，你要模仿，要自己動(dòng)手寫(xiě).reg文件，用記事本就可以了。

　　說(shuō)多兩句，為什么要手寫(xiě)注冊(cè)表？因?yàn)橛袝r(shí)候我們會(huì)碰到一臺(tái)鎖定regedit的機(jī)子，有什么辦法解開(kāi)呢？呵呵，如果你會(huì)手寫(xiě)注冊(cè)表文件的話，那很簡(jiǎn)單了......大家發(fā)揮想象吧!用不了很長(zhǎng)時(shí)間的。

　　以上的手動(dòng)修改的方法只針對(duì)那些電腦愛(ài)者來(lái)說(shuō)的，一般新手朋友最好還是老實(shí)的用第三方軟件里自帶的方法來(lái)修改，這樣既方便又能看的清楚，不過(guò)還是建議大家在修改前一定要做好備份工作。好，關(guān)于注冊(cè)表的修改問(wèn)題就說(shuō)到這里了，網(wǎng)上有很多類(lèi)似的教程，比如提高網(wǎng)速的，優(yōu)化性能的都有很多，大家可以勤用google搜索一下，自己學(xué)習(xí)。其實(shí)電腦很多東西都是自己摸索出來(lái)的，只有自己勤去摸索，你的計(jì)算機(jī)水平才能得到真正的提高。閑話不再多說(shuō)，我們繼續(xù)。

　　現(xiàn)在我們說(shuō)到了注冊(cè)表的安全問(wèn)題。從計(jì)算機(jī)病毒的發(fā)展趨勢(shì)來(lái)看，蠕蟲(chóng)和木馬類(lèi)的病毒越來(lái)越多。與普通感染可執(zhí)行文件的文件型病毒不同，此類(lèi)程序通常不感染正常的系統(tǒng)文件，而是將自身作為系統(tǒng)的一部分安裝到系統(tǒng)中。相對(duì)來(lái)說(shuō)，此類(lèi)病毒的隱蔽性更強(qiáng)一些，更不容易被使用者發(fā)覺(jué)。但是無(wú)論什么樣的病毒程序在感染系統(tǒng)時(shí)都會(huì)留下一些蛛絲馬跡。在此我們總結(jié)一下各種病毒可能會(huì)更改的地方，以便能夠更快速地找到它們。

　　一、更改系統(tǒng)的相關(guān)配置文件。這種情況主要是針對(duì)95/98系統(tǒng)。

　　病毒可能會(huì)更改autoexec.bat，只要在其中加入執(zhí)行病毒程序文件的語(yǔ)句即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會(huì)在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中將“shell=”更改。

　　二、更改注冊(cè)表健值。

　　目前，只要新出的蠕蟲(chóng)/特洛伊類(lèi)病毒一般都有修改系統(tǒng)注冊(cè)表的動(dòng)作。它們修改的位置一般有以下幾個(gè)地方：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的系統(tǒng)服務(wù)程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序，這是病毒最有可能修改/添加的地方。例如：Win32.Swen.B病毒將增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza="cxsgrhcl.exeautorun"

　　HKEY_CLASSES_ROOT\exefile\shell\open\command

　　說(shuō)明：此鍵值能使病毒在用戶運(yùn)行任何EXE程序時(shí)被運(yùn)行，以此類(lèi)推，..\txtfile\..或者..\comfile\..也可被更改，以便實(shí)現(xiàn)病毒自動(dòng)運(yùn)行的功能。

　　另外，有些健值還可能被利用來(lái)實(shí)現(xiàn)比較特別的功能：

　　有些病毒會(huì)通過(guò)修改下面的鍵值來(lái)阻止用戶查看和修改注冊(cè)表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

　　System\DisableRegistryTools=

　　為了阻止用戶利用.REG文件修改注冊(cè)表鍵值，以下鍵值也會(huì)被修改來(lái)顯示一個(gè)內(nèi)存訪問(wèn)錯(cuò)誤窗口

　　例如：Win32.Swen.B病毒會(huì)將缺省健值修改為：

　　HKCR\regfile\shell\open\command\(Default)="cxsgrhcl.exeshowerror"

　　通過(guò)對(duì)以上地方的修改，病毒程序主要達(dá)到的目的是在系統(tǒng)啟動(dòng)或者程序運(yùn)行過(guò)程中能夠自動(dòng)被執(zhí)行，已達(dá)到自動(dòng)激活的目的。

　　總結(jié)完了各種木馬、病毒可能會(huì)更改的地方，下面就接著談防御問(wèn)題了。當(dāng)然，在談之前繼續(xù)一貫強(qiáng)調(diào)的備份注冊(cè)表，說(shuō)實(shí)話，應(yīng)對(duì)越來(lái)越厲害的木馬、病毒們，光靠現(xiàn)有的幾種辦法是遠(yuǎn)遠(yuǎn)不夠的，備份一個(gè)“徹底干凈”的注冊(cè)表就是重中之重。備份的方法依然很多，網(wǎng)上鋪天蓋地都有，這里也不再多做闡述，google一下就可以了。

　　安全隱患:在Windows2000/XP系統(tǒng)中，默認(rèn)Messenger服務(wù)處于啟動(dòng)狀態(tài)，不懷好意者可通過(guò)“netsend”指令向目標(biāo)計(jì)算機(jī)發(fā)送信息。目標(biāo)計(jì)算機(jī)會(huì)不時(shí)地收到他人發(fā)來(lái)的騷擾信息，嚴(yán)重影響正常使用。

　　解決方法:首先打開(kāi)注冊(cè)表編輯器。對(duì)于系統(tǒng)服務(wù)來(lái)說(shuō)，我們可以通過(guò)注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項(xiàng)下的各個(gè)選項(xiàng)來(lái)進(jìn)行管理，其中的每個(gè)子鍵就是系統(tǒng)中對(duì)應(yīng)的“服務(wù)”，如“Messenger”服務(wù)對(duì)應(yīng)的子鍵是“Messenger”。我們只要找到Messenger項(xiàng)下的START鍵值，將該值修改為4即可。這樣該服務(wù)就會(huì)被禁用，用戶就再也不會(huì)受到“信”騷擾了。

　　安全隱患:如果黑客連接到了我們的計(jì)算機(jī)，而且計(jì)算機(jī)啟用了遠(yuǎn)程注冊(cè)表服務(wù)(RemoteRegistry)，那么黑客就可遠(yuǎn)程設(shè)置注冊(cè)表中的服務(wù)，因此遠(yuǎn)程注冊(cè)表服務(wù)需要特別保護(hù)。

　　解決方法:我們可將遠(yuǎn)程注冊(cè)表服務(wù)(RemoteRegistry)的啟動(dòng)方式設(shè)置為禁用。不過(guò)，黑客在入侵我們的計(jì)算機(jī)后，仍然可以通過(guò)簡(jiǎn)單的操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動(dòng)啟動(dòng)”。因此我們有必要將該服務(wù)刪除。

　　找到注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項(xiàng)，右鍵點(diǎn)擊該項(xiàng)選擇“刪除”(圖1)，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了。

　　在刪除之前，一定要將該項(xiàng)信息導(dǎo)出并保存。想使用該服務(wù)時(shí)，只要將已保存的注冊(cè)表文件導(dǎo)入即可。

　　安全隱患:大家都知道在Windows2000/XP/2003中，系統(tǒng)默認(rèn)開(kāi)啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過(guò)這個(gè)默認(rèn)共享入侵操作系統(tǒng)的。

　　解決方法:要防范IPC$攻擊應(yīng)該將注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous項(xiàng)設(shè)置為“1”，這樣就可以禁止IPC$的連接。

　　對(duì)于c$、d$和admin$等類(lèi)型的默認(rèn)共享則需要在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項(xiàng)。如果系統(tǒng)為Windows2000Server或Windows2003，則要在該項(xiàng)中添加鍵值“AutoShareServer”(類(lèi)型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows2000PRO，則應(yīng)在該項(xiàng)中添加鍵值“AutoShareWks”(類(lèi)型為“REG_DWORD”，值為“0”)。

　　安全隱患:在Windows系統(tǒng)運(yùn)行出錯(cuò)的時(shí)候，系統(tǒng)內(nèi)部有一個(gè)DR.WATSON程序會(huì)自動(dòng)將系統(tǒng)調(diào)用的隱私信息保存下來(lái)。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過(guò)破解這個(gè)程序而了解系統(tǒng)的隱私信息。因此我們要阻止該程序?qū)⑿畔⑿孤冻鋈ァ?br>
　　解決方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”，將AUTO鍵值設(shè)置為0，現(xiàn)在DR.WATSON就不會(huì)記錄系統(tǒng)運(yùn)行時(shí)的出錯(cuò)信息了。同時(shí)，依次點(diǎn)擊“DocumentsandSettings→ALLUsers→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個(gè)文件的目的是將DR.WATSON以前保存的隱私信息刪除。

　　提示:如果已經(jīng)禁止了DR.WATSON程序的運(yùn)行，則不會(huì)找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個(gè)文件。

　　安全隱患:不少木馬和病毒都是通過(guò)在網(wǎng)頁(yè)中隱藏惡意ActiveX控件的方法來(lái)私自運(yùn)行系統(tǒng)中的程序，從而達(dá)到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，我們應(yīng)該阻止ActiveX控件私自運(yùn)行程序。

　　解決方法:ActiveX控件是通過(guò)調(diào)用Windowsscriptinghost組件的方式運(yùn)行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣ActiveX控件就不能調(diào)用Windowsscriptinghost了。然后，在注冊(cè)表中找到“HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項(xiàng)刪除。通過(guò)以上操作，ActiveX控件就再也無(wú)法私自調(diào)用腳本程序了。

　　安全隱患:Windows2000的頁(yè)面交換文件也和上文提到的DR.WATSON程序一樣經(jīng)常成為黑客攻擊的對(duì)象，因?yàn)轫?yè)面文件有可能泄露一些原本在內(nèi)存中后來(lái)卻轉(zhuǎn)到硬盤(pán)中的信息。畢竟黑客不太容易查看內(nèi)存中的信息，而硬盤(pán)中的信息則極易被獲取。

　　解決方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement”，將其下的ClearPageFileAtShutdown項(xiàng)目的值設(shè)置為1(圖2)。

　　這樣，每當(dāng)重新啟動(dòng)后，系統(tǒng)都會(huì)將頁(yè)面文件刪除，從而有效防止信息外泄。

　　安全隱患:使用Windows系統(tǒng)沖浪時(shí)，常會(huì)遇到密碼信息被系統(tǒng)自動(dòng)記錄的情況，以后重新訪問(wèn)時(shí)系統(tǒng)會(huì)自動(dòng)填寫(xiě)密碼。這樣很容易造成自己的隱私信息外泄。

　　解決方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(xiàng)(如果沒(méi)有可自行添加)，在該子項(xiàng)下建立一個(gè)新的雙字節(jié)值，名稱(chēng)為disablepasswordcaching，并將該值設(shè)置為1。重新啟動(dòng)計(jì)算機(jī)后，操作系統(tǒng)就不會(huì)自作聰明地記錄密碼了。

　　安全隱患:現(xiàn)在的病毒很聰明，不像以前只會(huì)通過(guò)注冊(cè)表的RUN值或MSCONFIG中的項(xiàng)目進(jìn)行加載。一些高級(jí)病毒會(huì)通過(guò)系統(tǒng)服務(wù)進(jìn)行加載。那么，我們能不能使病毒或木馬沒(méi)有啟動(dòng)服務(wù)的相應(yīng)權(quán)限呢?

　　解決方法:運(yùn)行“regedt32”指令啟用帶權(quán)限分配功能的注冊(cè)表編輯器。在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點(diǎn)擊菜單欄中的“安全→權(quán)限”，在彈出的Services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將Everyone賬號(hào)導(dǎo)入進(jìn)來(lái)，然后選中“Everyone”賬號(hào)，將該賬號(hào)的“讀取”權(quán)限設(shè)置為“允許”，將它的“完全控制”權(quán)限取消(圖3)?，F(xiàn)在任何木馬或病毒都無(wú)法自行啟動(dòng)系統(tǒng)服務(wù)了。當(dāng)然，該方法只對(duì)沒(méi)有獲得管理員權(quán)限的病毒和木馬有效。

　　安全隱患:很多病毒都是通過(guò)注冊(cè)表中的RUN值進(jìn)行加載而實(shí)現(xiàn)隨操作系統(tǒng)的啟動(dòng)而啟動(dòng)的，我們可以按照“禁止病毒啟動(dòng)服務(wù)”中介紹的方法將病毒和木馬對(duì)該鍵值的修改權(quán)限去掉。

　　解決方法:運(yùn)行“regedt32”指令啟動(dòng)注冊(cè)表編輯器。找到注冊(cè)表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，將Everyone對(duì)該分支的“讀取”權(quán)限設(shè)置為“允許”，取消對(duì)“完全控制”權(quán)限的選擇。這樣病毒和木馬就無(wú)法通過(guò)該鍵值啟動(dòng)自身了。

　　病毒和木馬是不斷“發(fā)展”的，我們也要不斷學(xué)習(xí)新的防護(hù)知識(shí)，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進(jìn)行查殺，不如提前做好防御工作，修筑好牢固的城墻進(jìn)行抵御。養(yǎng)成良好的安全上網(wǎng)習(xí)慣，盡量不接觸那些不安全的站點(diǎn)和下載不安全的軟件、視頻等，開(kāi)機(jī)運(yùn)行360和殺毒軟件，備份一份安全的注冊(cè)表文件，勤打補(bǔ)丁多學(xué)習(xí)，“防患于未然”才是我們應(yīng)該追求的。

　　PS：本文在書(shū)寫(xiě)過(guò)程中引用了網(wǎng)絡(luò)上的一些內(nèi)容，在此，對(duì)那些默默奉獻(xiàn)出自己知識(shí)的無(wú)名朋友們表示感謝！

最新評(píng)論