搜索
注册表的入侵与防护问题引领注册表的攻击与防护什么是注册表,注册表对系统的作用是什么?如何使用工具或命令对注册表对主机进行攻击?使用什么方法可以防护针对主机注册表的攻击?项目一、注册表基础和系统安全1.认识注册表注册表(Registry)是MicrosoftWindows中的一个重要的数据库,用于存储系统和应用程序的设置信息。注册表包含计算机中每个用户的配置文件、有关系统硬件的信息、安装的程序及属性设置。Windows在操作过程中不断地引用这些信息。注册表的攻击与防护项目一、注册表基础和系统安全2.注册表的结构注册表由键(或称“项”)、子键(子项)和值项构成。一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键同样是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。注册表的攻击与防护项目一、注册表基础和系统安全注册表的攻击与防护在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此,注册表使用这些条目。下面是六个控制键项目一、注册表基础和系统安全注册表的攻击与防护注册表的数据类型主要有以下四种:项目一、注册表基础和系统安全注册表的攻击与防护3.注册表编辑器在开始菜单下的运行中输入Regedit命令或Regedt32命令打开注册表编辑器,通过使用注册表编辑器完成对注册表的各种操作项目二、常见注册表的攻击方法注册表的攻击与防护1.入侵注册表的条件入侵之前我们需要有对远程主机的操作权限,因此我们可以用建立IPC$的方式取得对远程主机的操作权限,并开启远程主机的远程注册表功能建立IPC$连接开启远程注册表服务项目二、常见注册表的攻击方法注册表的攻击与防护开启远程注册表服务的过程如下:1-1.建立IPC$连接使用netuse命令建立到远端主机的IPC$连接项目二、常见注册表的攻击方法注册表的攻击与防护1-2.打开“计算机管理”,用“计算机管理”管理远程计算机项目二、常见注册表的攻击方法注册表的攻击与防护1-3.开启远程注册表服务项目二、常见注册表的攻击方法注册表的攻击与防护1-4.关闭“计算机管理”,断开IPC$连接2.入侵远程主机的注册表入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。步骤一:执行regedit来打开注册表编辑器项目二、常见注册表的攻击方法注册表的攻击与防护项目二、常见注册表的攻击方法注册表的攻击与防护步骤二:建立IPC$连接项目二、常见注册表的攻击方法注册表的攻击与防护步骤三:连接远程主机注册表(选择“注册表”—”连接网络注册表”)项目二、常见注册表的攻击方法注册表的攻击与防护步骤四:断开网络注册表右击远程计算机,选择断开,断开远程注册表的连接项目二、常见注册表的攻击方法注册表的攻击与防护3.导入注册表reg文件的攻击步骤一:打开记事本,然后编辑添加主键,在记事本中写入:REGEDIT4[HKEY_CURRENT_USERS\Software\HACK]]保存文件为test1.reg,项目二、常见注册表的攻击方法注册表的攻击与防护步骤二将注册表文件拷贝到远程主机双击reg文件,将信息导入注册表,查看远程注册表是否建立项目二、常见注册表的攻击方法注册表的攻击与防护注意:实例中通过双击导入注册表,容易被远程主机管理员现,因为每次导入都会有提示对话框项目二、常见注册表的攻击方法注册表的攻击与防护通过命令行倒入使用专门的注册表导入工具使用windows系统自带的导入工具windows自带的导入工具使用命令:regedit/sreg文件regedit是系统自带的命令,不使用任何工具。/s表示不需要询问,直接倒入4。注册表导入方法注册表的攻击与防护项目三、注册表的防护1.利用注册表增加系统安全性•禁止CD-ROM的自动运行•关闭默认共享•禁止建立空连接HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters设置键值名称AutoShareServer,类型为DWORD,键值为0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom设置AutoRun值为0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa设置键值名为“RestrictAnonymous”,类型为DWORD,键值为1注册表的攻击与防护项目三、注册表的防护2.注册表访问控制权限注册表的攻击与防护项目三、注册表的防护3.禁止对注册表的远程访问