安科网

修改注册表权限加强对木马、病毒的防范

注册表

注册表

2016-11-16

关注 关注

一、问题的提出

大部分的木马及部分的病毒是通过注册表的自启动项或文件关联或通过系统服务实现自启动的,详见《Windows的自启动方式》,那是否有一种方法可以防止木马或病毒修改注册表项及增加服务呢?

二、问题的解决

windows2000/xp/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:

1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动

2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动

3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动

注册表键的权限设置可以通过以下方式实现:

1、如果在域环境里,可能通过活动目录的组策略实现的

2、本地计算机的组策略来(命令行用secedit)

3、本文通过setacl这个程序加批处理实现,可以在http://www.helge.mynetcologne.de/setacl/下载

4、手工操作可以通过regedt32(windows2000系统,在菜单“安全”下的“权限”)或regedit(windows2003/xp,在“编辑”菜单下的“权限”)

批处理代码在后面给出。

如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。

三、适用人群

1)、对电脑不是很熟悉,不经常安装/卸载软件的人

2)、喜欢在网上下载软件安装的朋友

3)、每台电脑的操作人员都有管理员权限,这些人的电脑水平又参差不齐的企业

四、还存在的问题

1)、安装杀毒软件,打补丁的时候都可能对那些注册表进行操作,这样就得先恢复权限设置,再安装,安装完成后重新设置。不方便

2)、防不住3721,不知是不是3721的权限太高了(听说3721是通过驱动程序启动的,有ring 0级权限)

3)、只适合windows2000/xp/2003,其他的就没办法了

4)、只能对付那些简单的病毒和木马

五、其他

大家看完本文看,可能禁不住大骂:神经病,两三句话就说完的事,非得搞得像论文,写这么一大堆,浪费我时间。如果真的是这样,那真的是对不起了。只因为公司在实施ISO,我也觉得ISO里提倡的东西蛮好的,为了规范化我的文档,我就多做些练习了。

打包好的程序可以到:

https://www.xfocus.net/php/tools.php?sub=down&tid=741下载。

六、批处理源代码

@goto start

==============================================================

名称:反特洛伊木马

功能:

     1、禁用自启动项目(run runonce runservices)

     2、禁止修改.txt、.com、.exe、.inf、.ini、.bat等等文件关联

     3、禁止修改"服务"信息

原理:设置注册表权限为只读

版本修订情况

版本号     修订日期    修订人  修订内容

1.0        2004-12-22  netu0  创建本脚本            

==============================================================

:start

@SETLOCAL

@rem 活动代码页设为中文

@chcp 936>nul 2>nul

@echo.

@echo ************************************************************

@echo #

@echo #         欢迎使用反特洛伊木马程序

@echo #

@echo #

@echo ************************************************************

:chkOS

@echo.

@ver|find "2000" > nul 2>nul

@if "%ERRORLEVEL%"=="0" goto :2000

@ver|find "Microsoft Windows [版本 5" > nul 2>nul

@if "%ERRORLEVEL%"=="0" goto :2003

@ver|find "XP" > nul 2>nul

@if "%ERRORLEVEL%"=="0" goto :XP

@echo.

@echo #您的操作系统不是Windows 2000/XP/2003中的一种,无法使用。

@goto quit

@rem 在下面语句插不同系统的不同命令

:2000

@set UpdatePolicy=secedit /refreshpolicy machine_policy>nul 2>nul

@goto Selection

:XP

@set UpdatePolicy=GPUpdate /Force>nul 2>nul

@goto Selection

:2003

@set UpdatePolicy=GPUpdate /Force>nul 2>nul

@goto Selection

:Selection

@rem User Choice

@echo.

@echo 请输入以下选项前面的数字

@echo.

@echo 1: 安装反特洛伊木马保护

@echo 2: 删除反特洛伊木马保护(恢复默认设置)

@echo 3: 查看技术信息

@echo 4: 退出

@echo.

@set /p UserSelection=输入您的选择(1、2、3、4)

@if "%UserSelection%"=="1" goto install

@if "%UserSelection%"=="2" goto uninstall

@if "%UserSelection%"=="3" goto information

@if "%UserSelection%"=="4" goto quit

@rem 输入其他字符

@cls

@goto Selection

:information

@cls

@echo

============================================================

@echo #

@echo #         欢迎使用反特洛伊木马程序

@echo #

@echo #功能:

@echo #

@echo #   1、设置注册表自启动项为只读(Run、RunOnce、RunService),

@echo #      防止木马、病毒通过自启动项目启动

@echo #   2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为只读,

@echo #      防止木马、病毒通过文件关联启动

@echo #   3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为只读

@echo #      防止木马、病毒以"服务"方式启动

@echo #     

@echo #注意事项: 

@echo #    某些安装程序也会用到以上注册表键,请在安装前运行本程序,

@echo #    然后选择2,恢复默认设置。安装完成后,重新运行本程序,

@echo #    然后选择1,实施反特洛伊木马保护

@echo ==============================================================

@echo.

@echo 按任意键,返回选择

@pause>nul 2>nul

@cls

@goto Selection

:install

@set OP=/grant everyone /read  /p:no_dont_copy

@goto Doit

:uninstall

@set OP=/revoke everyone /read  /p:yes

@goto Doit

:Doit

@echo.

@echo 正在执行操作...

@rem HKLM

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /registry %OP%>nul 2>nul

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /registry %OP%>nul 2>nul

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /registry %OP%>nul 2>nul

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /registry %OP%>nul 2>nul

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /registry %OP%>nul 2>nul

@setacl machine\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /registry %OP%>nul 2>nul

@rem HKCU

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /registry %OP%>nul 2>nul

@setacl CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /registry %OP%>nul 2>nul

@rem USERS

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEX /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesEx /registry %OP%>nul 2>nul

@setacl USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce /registry %OP%>nul 2>nul

@rem Services

@setacl MACHINE\SYSTEM\CurrentControlSet\Services /registry %OP%>nul 2>nul

@rem CLASSES_ROOT

@setacl CLASSES_ROOT\exefile\shell\open\command /registry %OP%>nul 2>nul

@setacl CLASSES_ROOT\inifile\shell\open\command /registry %OP%>nul 2>nul

@setacl CLASSES_ROOT\txtfile\shell\open\command /registry %OP%>nul 2>nul

@setacl CLASSES_ROOT\comfile\shell\open\command /registry %OP%>nul 2>nul

@setacl CLASSES_ROOT\batfile\shell\open\command /registry %OP%>nul 2>nul

@setacl CLASSES_ROOT\inffile\shell\open\command /registry %OP%>nul 2>nul

@echo 正在更新帐户策略、审核策略......

@REM [刷新本地安全策略]

@%UpdatePolicy%>nul 2>nul

@echo 帐户策略、审核策略更新完成

:complete

@echo 操作完成

@echo.

@echo.

@echo 请按任意键退出。

@pause>nul 2>nul

:quit

@rem Clear

@del %systemroot%\system32\setacl.exe>nul 2>nul

@del %systemroot%\system32\AntiTrojanhorse.bat>nul 2>nul

@ENDLOCAL

注册表

注册表

注册表

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

如何将第三方服务注册集成到 Istio ?

作为云原生服务网格领域的热门开源项目,Istio 可以为微服务提供无侵入的流量管理、安全通信、服务可见性等服务治理能力。目前越来越多的微服务项目开始考虑将自己的微服务基础设施向 Istio 进行迁移。Istio 对 Kubernetes 具有较强的依赖性

cynthiachf 2020-06-04

为什么总是显示不能在安全模式中启动这项服务?

各种找问题,费了很长时间。今天被我遇到了,网上看了很多方法,终于找到了解决的,我的是win10系统进入安全模式?然后重启电脑就变成这样?

fraternityjava 2020-06-02

Win10 沉浸式搜索框居中显示

Windows 10 沉浸式搜索栏居中显示设置,可直接对注册表进行修改从而实现。导入注册表,重启 Windows 资源管理器即可。然后使用 Win + S 快捷键即可看到沉浸式搜索栏已在屏幕中央进行居中显示,复制下方命令,粘贴在记事本中,另存为 修改.re

88236637 2020-05-27

为Delphi配置多套环境

假设我们使用Delphi6开发了一个投资系统,在开发过程中我们使用了indy控件。到目前为止投资系统已经发了若干个版本,如投资系统1.0、投资系统1.2、投资系统1.5、投资系统2.0、投资系统2.3。这五个版本目前都有客户使用,因此我们需要分别维护各个版

二两天涯 2020-04-25

巧把任意程序添加到Win10控制面板(添加“系统配置”为例)

首先,我们需要为待添加的程序编一个GUID,其实就是一组字符串,如果你没自信编好,那么可以到Generate GUIDs online网站自动获取一个。例如MS酋长获取到的 GUID 为 8e8a1707-e6df-4460-a015-03b48e8578

85206633 2020-02-24

13、windows下卸载oracle

进入计算机管理,在服务中,找到oracle开头的所有服务,右击选择停止;在开始菜单中,找到oracle->Universal Installer,运行Oracle Universal Installer,单击卸载产品,

FightFourEggs 2020-02-16

python3读写windows注册表实例

网上的很多代码真的只能参考,有很多停留在python2的编码风格或者没更新新模块的语法沿用语法编写!### 根据官网说明,windows注册表没有提供api返回表项数量,只能设置循环到最后强制退出,自己计算。dict1 = dict #利用zip绑定两个

柠檬班 2020-01-10

人们应该从容器注册表中了解的10件事

容器注册技术正随着微服务架构的发展而加速发展,目前谷歌公司的趋势表明该领域的增长明显。毫无疑问需要注册管理机构;显然,企业需要一个强大的工具来有效地将容器图像交付给客户。但是,人们应该设定使用容器注册表时的期望值。创建容器映像时,企业肯定需要一个注册表,以

一月木木 2020-01-06

JavaScript修改注册表详解

本实例主要通过WshShell 对象的相关方法实现。本实例中主要应用了 RegWrite方法,下面将对该方法进行详细介绍。strName 参数必须以根键名“HKEY_CURRENT_USER”、 “HKEY_LOCAL_MACHINE”、“HKEY_CLA

yfisaboy 2020-01-04

3DMAX 2020安装失败,怎么把3DMAX 2020彻底卸载删除干净重新安装?

3dmax 2020卸载工具,完全彻底删除干净3dmax 2020各种残留注册表和文件。有些同学想把3dmax 2020重新安装,但是3dmax 2020安装失败显示失败,有时3dmax 2020安装到一半就显示失败,然后会问3dmax 2020无法重装是

shangs00 2019-12-29

Win10 1809累积更新系统为17763.503推送补丁KB4494441(附更新修复汇总)

美国时间5月14日微软面向Win10 1809推送KB4494441更新系统升级为 17763.503,以下是更新日志:. 如果启用了Spectre Variant 2,则默认启用“Retpoline” 。确保使用Windows客户端和Windows Se

LeoChenBlog 2019-05-15

.NET开源类库Nini手册(INI、XML、注册表的配置应用)-中文翻译

作为开发人员,您始终需要处理应用程序配置数据。常见的示例是INI 文件,XML文件, .NET配置文件,Windows注册表和命令行参数。配置文件的优点是它们加载速度快,不占用大量空间且易于编辑。不用说,获取配置数据通常成为一项艰巨的任务。开发人员使用配置

阿狸写代码 2019-12-27

Spring Cloud - Netflix

Eureka分客户端client和服务端server。各微服务为client,将自己的信息注册到server。微服务启动后,client做2件事:1. 拉取最新注册服务信息。如果server在一定时间内没有收到某个微服务节点的心跳,server将会注销该微

wangrui0 2019-12-17

提高电脑运行效率

另外,对于bios设置中的 “above 1mbmemorytest”建议选“disabled”,对于“quickpoweronselftest”建议选择enabled。“turbo”比“fast”快,但不太稳定,建议选“fast”。如此一来,至少可以将启

jadeball 2019-12-09

在Windows上与MySQL服务器的连接失败(大数据量)

The driver was unable to create a connection due to an inability to establish the client portion of a socket.This is usually cau

variab 2014-03-12

注册表无法访问 解决方案

点按“确定”关闭对话框。

kxr00 2015-01-18

Oracle 用中文作为关键字查询无数据及sql loader 导入数据时数据分隔异常的解决办法

数据分隔及查询都正常。电脑C使用ctl将源文件导入本机Oracle中之后发现。

talkingDB 2019-11-11

C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

INF文件是一个文本文件,由若干个节组成。每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容。每一行就是一项内容,其形式都是类似SomeEntry=SomwValue。每个项的顺序是可以颠倒的,但系统分析INF文件的时候,是顺序解析的。INF中注释

80296630 2019-11-02

鼠标右键添加 打开命令行窗口(管理员) 注册表

[-HKEY_CLASSES_ROOT\Directory\Background\shell\runas]. [HKEY_CLASSES_ROOT\Directory\Background\shell\runas]. [HKEY_CLASSES_ROOT\

站在高处眺望 2019-11-01

5步实现规模化的Kubernetes CI/CD 流水线

与虚拟机不同,Kubernetes在抽象化基础架构的同时可靠地大规模编排容器,这可以帮助开发人员将工作负载与基础架构的复杂性质分开。Platform9提供的Kubernetes解决方案也是业界的佼佼者。在2019年巴塞罗那举行的KubeCon + Clou

yevvzi 2019-10-31
注册表

注册表

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号