| 導購 | 订阅 | 在线投稿
分享
 
 
 

注冊表解鎖有奇招妙用系統策略編輯器

來源:互聯網  2005-02-06 09:49:15  評論

很多人由于浏覽了惡意網站從而導致注冊表被鎖,

相關報刊介紹了各種各樣的處理方法,例如通過編輯注

冊表文件或用超級兔子等工具來進行修改等等。但是如

果你手頭一時無此類工具,又記不住注冊表文件的內容

,該怎麽辦呢?其實,你完全可以利用微軟在系統安裝

光盤中所提供的另一款利器——系統策略編輯器

(Poledit),輕松地解決這個問題。不僅如此,你還

可以利用系統策略編輯器來實現一些只有通過修改注冊

表才能實現的功能。

我們以在Windows 9x操作系統下的使用爲例來介紹

。首先將安裝光盤中Tools\Reskit\Netamin\Poledit文

件夾中的所有文件複制到硬盤中,然後雙擊

Poledit.exe運行系統策略編輯器(如果提示找不到模

板文件,可以從系統策略編輯器的「選項」菜單中選擇

「模板」,然後單擊「打開模板」,再選擇Admin.adm

文件即可)。在「文件」菜單中選擇「打開注冊表」,

此時你就會發現下面原來空白的面板中多了兩個圖標:

一個是「本地計算機」,一個是「本地用戶」。

我們要用的主要是「本地用戶」(「本地計算機」

裏面主要是網絡和系統方面的設置,有興趣的讀者可以

自己去試試)。雙擊「本地用戶」,會彈出「本地用戶

屬性」界面,在該界面中可看到一個樹形目錄,包括「

控制面板」、「桌面」、「網絡」、「外殼」和「系統

」5項。

下面我們就來體驗一下系統策略編輯器的威力吧!

對于上面提及的注冊表被鎖的例子,現在我們只要選擇

「系統→限制」選項,就可以看到4個選項。如果你的

注冊表被鎖,則「禁用注冊表編輯器」前的複選框被選

中。取消對該選項的選取,按「確定」退回主界面。別

急,這時工作還沒完成呢!選擇「文件→保存」,你所

做的修改才能生效。然後試試運行Regedit,是不是可

以用了呢?其實在這5個基本目錄中你還可以實現很多

常用的個性化設置,這裏就不多談了,留給讀者朋友自

己去慢慢發現吧。

提示:在Windows 2000/XP/2003中,我們可以通過

單擊「開始→運行」,輸入「Gpedit.msc」後回車,

打開「組策略」。然後依次展開「用戶配置→管理模板

→系統」,雙擊右側窗口中的「阻止訪問注冊表編輯工

具」,在彈出的窗口中選擇「已禁用」,「確定」後再

退出「組策略」,即可爲注冊表解鎖。

注冊表修複不成功的原因

道高一尺,魔高一丈,惡意網頁的卑鄙手段可謂是

「推陳出新」啊。用一些簡單的注冊表修複方法後,已

經不能完全解決問題了。如果你的注冊表在恢複後又回

到了被修改的老樣子,不妨看看是否是以下原因引起的

呢?

1.修改注冊表禁止命令形式的修改,目的是不讓用

戶通過注冊表修複回去。

最通常的修改是鎖住注冊表,還有破壞關聯:比如

.reg,.vbs,.inf等

關于解鎖注冊表,在前面已經介紹了方法,至于被

修改關聯,只要我前面說的注冊表修改的方法裏的關聯

還 能用,就可以用其中的任意一個,但如

果.reg,.vbs,.inf都被修改了,怎麽辦啊?,也不用

怕,把 .exe 後綴改爲.com後綴,我一樣可以編輯注冊

表,.com也被改了,怎麽辦?沒那麽狠吧,行,我再改

後綴爲.scr 。嘿嘿,一樣還可以修改。

最好的最簡單的辦法,馬上重新啓動,按F8進入

DOS下,敲入SCANREG/RESTORE,選擇以前的正常時的注

冊表 還原就可以,注意了,一定要選擇沒被修改時的

注冊表!如果發現連scanreg都被刪除了(一些網站就是

這麽 狠的,用A盤COPY一個scanreg.exe到COMMAN下即

有必要在這裏說說常見的文件關聯的默認值

正常的exe關聯爲

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

默認的鍵值爲:"%1 %*" 將此關聯改回去即可使用

exe文件

2.修改注冊表後留後門,目的讓你修改注冊表好像

成功,重新啓動後又恢複到被修改的狀態。

這主要是在啓動項裏留了後門,大家可以打開注冊

表到(也可以用一些工具比如優化大師等來察看)

HKCU\Software\Microsoft\Windows\CurrentVersion\R

un

HKCU\Software\Microsoft\Windows\CurrentVersion\R

unOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\R

unServices

HKCU\Software\Microsoft\Windows\CurrentVersionRu

n-

看看有沒有可疑的啓動項目,這一點最多朋友忽略

,哪些啓動可疑呢?

我這裏給出幾個大家需要注意的,啓動項裏鍵值有

出現.hml和.htm後綴的,最好都去掉,還有有.vbs後綴

的 啓動項也去掉,還有一個很重要的,如果有這一個

啓動項,出現有類似鍵值的,比如:

system 鍵值是regedit -s c:\windows……請注意

,這個regedit -s 是注冊表的一個後門參數,是用來

導 入注冊表的,這樣的選項一定要去掉

還有一類修改會在c:\windows\産生.vbs後綴的文

件,或是.dll文件,其實.dll文件實際是.reg文件(喬

裝成DLL文件的惡意網頁病毒)

此時你要看看c:\windows\win.ini文件,看看

load=,run=,這兩個選項後面應該是空的,如果有其

他程序 修改load=,run=,將=後面程序刪除,刪除前

看看路徑和文件名,刪除後在到system下刪除對應的文

還有一種方法,大家如果屢次修改重啓又恢複回去

,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用

記 事本打開,看到裏面有關于修改注冊表的都把它刪

除或保險起見把後綴改掉,你可以按中惡意網頁的病毒

的 時間來搜索文件:)

下面的這個漏洞大家非常值得注意,很多朋友說,

你說的方法我都試了,啓動項裏絕對沒有什麽可疑的,

也沒有什麽vbs文件,呵呵,大家在啓動IE時還有一個

陷阱,就是IE主界面的工具的菜單裏的廣告,一定要去

掉,因爲這些會在你啓動IE時啓動,所以你修改完其他

的先別著急打開IE窗口,否則白費力氣,方法:打開注

冊表

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet

Explorer\Extensions看到廣告就刪,別留情!

一個很重要的問題,在中了惡意網頁的陷阱後一定

要先清空IE所有臨時文件,切記!

說了那麽多,那如何防禦這類惡意網頁呢?

一個一勞永逸的方法,把F935DC22-1CF0-11D0-

ADB9-00C04FD58A0B這個ID刪掉在注冊表的路徑爲

HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-

ADB9-00C04FD58A0B}

記住,看清楚了再刪除,千萬別刪錯其他。刪掉這

個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會

有影響的。

在IE的選單欄中選擇「工具」→「Internet選項」

,在彈出的對話框中切換到「安全」標簽,選擇「

Internet」後點擊「自定義級別」按鈕,在「安全設置

」對話框中,把「ActiveX控件和插件」、「腳本」 中

的相關選項全部選擇「禁用」或「提示」即可。但如果

選擇了「禁用」,一些正常使用ActiveX和腳本的 網站

可能無法完全顯示。建議選擇:提示。遇到警告時,看

看該網站的原代碼,如果發現有出現 Shl.RegWrite等

的代碼,就不要去了,如果是加密的原代碼,不是自己

熟悉的網站也不要去,如果連右鍵都用不了的,也要小

心爲好(看看原碼有什麽所謂啊,除非有什麽好的JAVA

或是惡意代碼)

對于Windows98用戶,請打開

C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的

「ActiveXComponent.class刪掉,對于WindowsMe用戶

,請打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,

把其中的「ActiveXComponent.class」刪掉,這些刪掉

不會影響正常浏覽網頁

在Windows 2000/XP,可以通過禁用「遠程注冊表

服務」來阻擋部分惡意腳本。具體方法是:在「控制面

板」→「管理工具」→「服務」中右鍵單擊「Remote

Registry Service」,在彈出選單中選擇「屬性」,打

開屬性對話框,在「General」內將「Startup ype」設

爲「Disabled」。這樣也可以攔截部分惡意腳本程序。

嘿嘿,不用IE。用其他浏覽器也可以……大家在中

了惡意網頁的陷阱後,先不要立即重新啓動計算機,到

啓動項裏看看,有沒有什麽危險的啓動項,不如

deltree之類的

注冊表損壞之症狀和修複

Windows的注冊表實際上是一個數據庫,它包含了

五個方面的信息,即PC的全部硬件、軟件設置、當前配

置、動態狀態及用戶特定設置等內容,主要儲存在

C:\windows下的system.dat和user.dat兩個文件中。由

此可見注冊表是Windows系統的命根子,稍有閃失,後

果嚴重。注冊表文件損壞而不能正常啓動系統或運行應

用程序的情況經常出現,那麽注冊表損壞一般存在哪些

症狀呢?

1、當使用過去正常工作的程序時,得到諸如「找不到

*.dll」的信息,或其他表明程序部分丟失和不能定位

的信息。

2、應用程序出現「找不到服務器上的嵌入對象」或「

找不到OLE控件」這樣的錯誤提示。

3、當單擊某個文檔時,Windows給出「找不到應用程序

打開這種類型的文檔」信息,即使安裝了正確的應用程

序且文檔的擴展名(或文件類型)正確。

4、「資源管理器」頁面包含沒有圖標的文件夾、文件

或者意料之外的奇怪圖標。

5、「開始」菜單或「控制面板」項目丟失或變灰而處

于不可激活狀態。

6、網絡連接不能建立或不再出現在「撥號網絡」中或

「控制面板」的「網絡」中。

7、不久前工作正常的硬件設備不再起作用或不再出現

在「設備管理器」的列表中。

8、Windows系統根本不能啓動,或僅能以安全模式或

MS-DOS模式啓動。

9、Windows系統顯示「注冊表損壞」這樣的信息。

10、啓動時,系統調用注冊表掃描工具對注冊表文件進

行檢查,然後提示當前注冊表已損壞,將用注冊表的備

份文件進行修複,並要求重新啓動系統。而上述過程往

往要重複數次才能進入系統。其實此乃系統的誤報,此

時的注冊表並沒有損壞,倒是你的內存條或硬盤值得好

好檢查一下,這是硬件故障造成的假象。

以上羅列了注冊表損壞的十種症狀,除第十項外,

前九項都是可以簡單修複的,前提是有注冊表文件備份

。備份的方法也不難,在機器工作正常時,運行注冊表

編輯器regedit.exe,選擇「注冊表/導出注冊表文件」

,接下來「導出範圍」選擇「全部」,「存爲類型」選

擇「注冊表文件」,最後任取一個文件名(如「backup

」)就行了;也可以直接拷貝「system.dat」和

「user.dat」兩個文件進行備份。修複時進入DOS模式

狀態(開機時按「F8」調出多重引導菜單,選擇

「Command Prompt Only」),在提示符後鍵入

「regedit/c backup.reg」回車即可。倘若沒有備份,

我們可以利用Windows的自動備份進行修複,同樣進入

DOS實模式狀態,鍵入「scanreg /restore」,進入菜

單界面,選擇一個備份文件,稍等片刻即可。

很多人由于浏覽了惡意網站從而導致注冊表被鎖, 相關報刊介紹了各種各樣的處理方法,例如通過編輯注 冊表文件或用超級兔子等工具來進行修改等等。但是如 果你手頭一時無此類工具,又記不住注冊表文件的內容 ,該怎麽辦呢?其實,你完全可以利用微軟在系統安裝 光盤中所提供的另一款利器——系統策略編輯器 (Poledit),輕松地解決這個問題。不僅如此,你還 可以利用系統策略編輯器來實現一些只有通過修改注冊 表才能實現的功能。   我們以在Windows 9x操作系統下的使用爲例來介紹 。首先將安裝光盤中Tools\Reskit\Netamin\Poledit文 件夾中的所有文件複制到硬盤中,然後雙擊 Poledit.exe運行系統策略編輯器(如果提示找不到模 板文件,可以從系統策略編輯器的「選項」菜單中選擇 「模板」,然後單擊「打開模板」,再選擇Admin.adm 文件即可)。在「文件」菜單中選擇「打開注冊表」, 此時你就會發現下面原來空白的面板中多了兩個圖標: 一個是「本地計算機」,一個是「本地用戶」。   我們要用的主要是「本地用戶」(「本地計算機」 裏面主要是網絡和系統方面的設置,有興趣的讀者可以 自己去試試)。雙擊「本地用戶」,會彈出「本地用戶 屬性」界面,在該界面中可看到一個樹形目錄,包括「 控制面板」、「桌面」、「網絡」、「外殼」和「系統 」5項。   下面我們就來體驗一下系統策略編輯器的威力吧! 對于上面提及的注冊表被鎖的例子,現在我們只要選擇 「系統→限制」選項,就可以看到4個選項。如果你的 注冊表被鎖,則「禁用注冊表編輯器」前的複選框被選 中。取消對該選項的選取,按「確定」退回主界面。別 急,這時工作還沒完成呢!選擇「文件→保存」,你所 做的修改才能生效。然後試試運行Regedit,是不是可 以用了呢?其實在這5個基本目錄中你還可以實現很多 常用的個性化設置,這裏就不多談了,留給讀者朋友自 己去慢慢發現吧。   提示:在Windows 2000/XP/2003中,我們可以通過 單擊「開始→運行」,輸入「Gpedit.msc」後回車, 打開「組策略」。然後依次展開「用戶配置→管理模板 →系統」,雙擊右側窗口中的「阻止訪問注冊表編輯工 具」,在彈出的窗口中選擇「已禁用」,「確定」後再 退出「組策略」,即可爲注冊表解鎖。 注冊表修複不成功的原因 道高一尺,魔高一丈,惡意網頁的卑鄙手段可謂是 「推陳出新」啊。用一些簡單的注冊表修複方法後,已 經不能完全解決問題了。如果你的注冊表在恢複後又回 到了被修改的老樣子,不妨看看是否是以下原因引起的 呢?      1.修改注冊表禁止命令形式的修改,目的是不讓用 戶通過注冊表修複回去。   最通常的修改是鎖住注冊表,還有破壞關聯:比如 .reg,.vbs,.inf等   關于解鎖注冊表,在前面已經介紹了方法,至于被 修改關聯,只要我前面說的注冊表修改的方法裏的關聯 還 能用,就可以用其中的任意一個,但如 果.reg,.vbs,.inf都被修改了,怎麽辦啊?,也不用 怕,把 .exe 後綴改爲.com後綴,我一樣可以編輯注冊 表,.com也被改了,怎麽辦?沒那麽狠吧,行,我再改 後綴爲.scr 。嘿嘿,一樣還可以修改。   最好的最簡單的辦法,馬上重新啓動,按F8進入 DOS下,敲入SCANREG/RESTORE,選擇以前的正常時的注 冊表 還原就可以,注意了,一定要選擇沒被修改時的 注冊表!如果發現連scanreg都被刪除了(一些網站就是 這麽 狠的,用A盤COPY一個scanreg.exe到COMMAN下即 可   有必要在這裏說說常見的文件關聯的默認值   正常的exe關聯爲 [HKEY_CLASSES_ROOT\exefile\shell\open\command]   默認的鍵值爲:"%1 %*" 將此關聯改回去即可使用 exe文件   2.修改注冊表後留後門,目的讓你修改注冊表好像 成功,重新啓動後又恢複到被修改的狀態。   這主要是在啓動項裏留了後門,大家可以打開注冊 表到(也可以用一些工具比如優化大師等來察看) HKCU\Software\Microsoft\Windows\CurrentVersion\R un HKCU\Software\Microsoft\Windows\CurrentVersion\R unOnce HKCU\Software\Microsoft\Windows\CurrentVersion\R unServices HKCU\Software\Microsoft\Windows\CurrentVersionRu n-   看看有沒有可疑的啓動項目,這一點最多朋友忽略 ,哪些啓動可疑呢?   我這裏給出幾個大家需要注意的,啓動項裏鍵值有 出現.hml和.htm後綴的,最好都去掉,還有有.vbs後綴 的 啓動項也去掉,還有一個很重要的,如果有這一個 啓動項,出現有類似鍵值的,比如:   system 鍵值是regedit -s c:\windows……請注意 ,這個regedit -s 是注冊表的一個後門參數,是用來 導 入注冊表的,這樣的選項一定要去掉   還有一類修改會在c:\windows\産生.vbs後綴的文 件,或是.dll文件,其實.dll文件實際是.reg文件(喬 裝成DLL文件的惡意網頁病毒)   此時你要看看c:\windows\win.ini文件,看看 load=,run=,這兩個選項後面應該是空的,如果有其 他程序 修改load=,run=,將=後面程序刪除,刪除前 看看路徑和文件名,刪除後在到system下刪除對應的文 件   還有一種方法,大家如果屢次修改重啓又恢複回去 ,可以搜索C盤下所有的.vbs文件,可能有隱藏的,用 記 事本打開,看到裏面有關于修改注冊表的都把它刪 除或保險起見把後綴改掉,你可以按中惡意網頁的病毒 的 時間來搜索文件:)   下面的這個漏洞大家非常值得注意,很多朋友說, 你說的方法我都試了,啓動項裏絕對沒有什麽可疑的, 也沒有什麽vbs文件,呵呵,大家在啓動IE時還有一個 陷阱,就是IE主界面的工具的菜單裏的廣告,一定要去 掉,因爲這些會在你啓動IE時啓動,所以你修改完其他 的先別著急打開IE窗口,否則白費力氣,方法:打開注 冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions看到廣告就刪,別留情!   一個很重要的問題,在中了惡意網頁的陷阱後一定 要先清空IE所有臨時文件,切記!   說了那麽多,那如何防禦這類惡意網頁呢?   一個一勞永逸的方法,把F935DC22-1CF0-11D0- ADB9-00C04FD58A0B這個ID刪掉在注冊表的路徑爲 HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0- ADB9-00C04FD58A0B}   記住,看清楚了再刪除,千萬別刪錯其他。刪掉這 個F935DC22-1CF0-11D0-ADB9-00C04FD58A0B對系統不會 有影響的。   在IE的選單欄中選擇「工具」→「Internet選項」 ,在彈出的對話框中切換到「安全」標簽,選擇「 Internet」後點擊「自定義級別」按鈕,在「安全設置 」對話框中,把「ActiveX控件和插件」、「腳本」 中 的相關選項全部選擇「禁用」或「提示」即可。但如果 選擇了「禁用」,一些正常使用ActiveX和腳本的 網站 可能無法完全顯示。建議選擇:提示。遇到警告時,看 看該網站的原代碼,如果發現有出現 Shl.RegWrite等 的代碼,就不要去了,如果是加密的原代碼,不是自己 熟悉的網站也不要去,如果連右鍵都用不了的,也要小 心爲好(看看原碼有什麽所謂啊,除非有什麽好的JAVA 或是惡意代碼)   對于Windows98用戶,請打開 C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的 「ActiveXComponent.class刪掉,對于WindowsMe用戶 ,請打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP, 把其中的「ActiveXComponent.class」刪掉,這些刪掉 不會影響正常浏覽網頁   在Windows 2000/XP,可以通過禁用「遠程注冊表 服務」來阻擋部分惡意腳本。具體方法是:在「控制面 板」→「管理工具」→「服務」中右鍵單擊「Remote Registry Service」,在彈出選單中選擇「屬性」,打 開屬性對話框,在「General」內將「Startup ype」設 爲「Disabled」。這樣也可以攔截部分惡意腳本程序。   嘿嘿,不用IE。用其他浏覽器也可以……大家在中 了惡意網頁的陷阱後,先不要立即重新啓動計算機,到 啓動項裏看看,有沒有什麽危險的啓動項,不如 deltree之類的 注冊表損壞之症狀和修複 Windows的注冊表實際上是一個數據庫,它包含了 五個方面的信息,即PC的全部硬件、軟件設置、當前配 置、動態狀態及用戶特定設置等內容,主要儲存在 C:\windows下的system.dat和user.dat兩個文件中。由 此可見注冊表是Windows系統的命根子,稍有閃失,後 果嚴重。注冊表文件損壞而不能正常啓動系統或運行應 用程序的情況經常出現,那麽注冊表損壞一般存在哪些 症狀呢? 1、當使用過去正常工作的程序時,得到諸如「找不到 *.dll」的信息,或其他表明程序部分丟失和不能定位 的信息。 2、應用程序出現「找不到服務器上的嵌入對象」或「 找不到OLE控件」這樣的錯誤提示。 3、當單擊某個文檔時,Windows給出「找不到應用程序 打開這種類型的文檔」信息,即使安裝了正確的應用程 序且文檔的擴展名(或文件類型)正確。 4、「資源管理器」頁面包含沒有圖標的文件夾、文件 或者意料之外的奇怪圖標。 5、「開始」菜單或「控制面板」項目丟失或變灰而處 于不可激活狀態。 6、網絡連接不能建立或不再出現在「撥號網絡」中或 「控制面板」的「網絡」中。 7、不久前工作正常的硬件設備不再起作用或不再出現 在「設備管理器」的列表中。 8、Windows系統根本不能啓動,或僅能以安全模式或 MS-DOS模式啓動。 9、Windows系統顯示「注冊表損壞」這樣的信息。 10、啓動時,系統調用注冊表掃描工具對注冊表文件進 行檢查,然後提示當前注冊表已損壞,將用注冊表的備 份文件進行修複,並要求重新啓動系統。而上述過程往 往要重複數次才能進入系統。其實此乃系統的誤報,此 時的注冊表並沒有損壞,倒是你的內存條或硬盤值得好 好檢查一下,這是硬件故障造成的假象。 以上羅列了注冊表損壞的十種症狀,除第十項外, 前九項都是可以簡單修複的,前提是有注冊表文件備份 。備份的方法也不難,在機器工作正常時,運行注冊表 編輯器regedit.exe,選擇「注冊表/導出注冊表文件」 ,接下來「導出範圍」選擇「全部」,「存爲類型」選 擇「注冊表文件」,最後任取一個文件名(如「backup 」)就行了;也可以直接拷貝「system.dat」和 「user.dat」兩個文件進行備份。修複時進入DOS模式 狀態(開機時按「F8」調出多重引導菜單,選擇 「Command Prompt Only」),在提示符後鍵入 「regedit/c backup.reg」回車即可。倘若沒有備份, 我們可以利用Windows的自動備份進行修複,同樣進入 DOS實模式狀態,鍵入「scanreg /restore」,進入菜 單界面,選擇一個備份文件,稍等片刻即可。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有