反病毒教程第4課: 注冊(cè)表鍵值的運(yùn)用

正確判斷鍵值的含義

第2課中,講了如何修改注冊(cè)表實(shí)現(xiàn)文件隱藏,還留下了一個(gè)問(wèn)題:

顯示系統(tǒng)文件夾的內(nèi)容(操作1),位于注冊(cè)表的哪個(gè)位置?

基本上都回復(fù)正確了

答案為WebviewParricade的鍵值由0改為1(完整注冊(cè)表路徑為HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced).

其實(shí)HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced下面還有很多我們常用的設(shè)置,下面一個(gè)個(gè)來(lái)說(shuō)明,如果第2課的作業(yè)你做了的話(huà)應(yīng)該基本了解得差不多了.以下鍵如果不存在的話(huà)可以新建,類(lèi)型為DWORD值.

ShowCompColor 值為1時(shí),彩色顯示加密或壓縮的NTFS文件.

TaskbarAnimations 值為1時(shí),任務(wù)欄動(dòng)畫(huà).

TaskbarGroupSize 值為1時(shí),分組相似任務(wù)欄按鈕 (任務(wù)欄和開(kāi)始菜單屬性中可設(shè)置)

ShowInfoTip 值為1時(shí)顯示提示信息

HideIcons 值為1時(shí)將隱藏圖標(biāo).

SeparateProcess 值為1時(shí)在單獨(dú)的進(jìn)程中打開(kāi)窗口.

StartButtonBalloonTip 值為2時(shí),開(kāi)始菜單顯示"單擊這里開(kāi)始"

StartMenuFavorites 值為0時(shí),開(kāi)始菜單不顯示"收藏夾"

StartMenuRun 值為1時(shí),開(kāi)始菜單顯示"運(yùn)行"

StartMenuChange 值為1時(shí),允許更改開(kāi)始菜單

TaskbarSizeMove 值為1時(shí),鎖定任務(wù)欄

FolderContentsInfoTip 值為1時(shí),顯示文件夾內(nèi)容信息提示

FriendlyTree 值為1時(shí),在資源管理器文件夾列表中顯示簡(jiǎn)單文件夾查看

DisableThumbnailCache 值為0時(shí),使用略縮圖緩存

ClassicViewState 值為1時(shí),不啟用"記住每個(gè)文件夾的視圖位置"

PersistBrowsers 值為0時(shí),不啟用"在登陸時(shí)還原上一個(gè)文件夾的窗口"

EnableBalloonTips 值為1時(shí),托盤(pán)區(qū)啟用氣球提示

StartMenuAdminTools 值為0并且Start_AdminToolsRoot為2,開(kāi)始菜單中顯示管理工具.若Start_AdminToolsRoot為0,則不顯示.值為1并且Start_AdminToolsRoot為2,在開(kāi)始菜單和所有程序都顯示管理工具,Start_AdminToolsRoot為0,則只在所有程序中顯示.

Start_AutoCascade 值為1時(shí),開(kāi)始菜單自動(dòng)展開(kāi)

Start_EnableDragDrop 值為1時(shí),開(kāi)始菜單啟用拖放

Start_LargeMFUIcons 值為1時(shí),大圖標(biāo)顯示開(kāi)始菜單程序,為0則小圖標(biāo)顯示.

Start_MinMFU 值為0時(shí),開(kāi)始菜單的左邊不顯示常訪(fǎng)問(wèn)的程序

Start_NotifyNewApps 值為0時(shí),不高亮顯示新安裝的程序

Start_ShowControlPanel 值為2時(shí),在開(kāi)始菜單顯示"控制面板",為則0不顯示,為1顯示為鏈接.

Start_ShowHelp 值為0時(shí),開(kāi)始菜單中不顯示"幫助"

Start_ShowMyComputer 值為0時(shí),開(kāi)始菜單中不顯示"我的電腦"

Start_ShowMyDocs 值為0時(shí),開(kāi)始菜單中不顯示"我的文檔"

Start_ShowMyMusic 值為0時(shí),開(kāi)始菜單中不顯示"我的音樂(lè)"

Start_ShowMyPics 值為0時(shí),開(kāi)始菜單中不顯示"照片收藏"

Start_ShowNetConn 值為0時(shí),開(kāi)始菜單中不顯示"網(wǎng)絡(luò)連接"

Start_ShowNetPlaces 值為0時(shí),開(kāi)始菜單中不顯示"網(wǎng)上鄰居"

Start_ShowPrinters 值為0時(shí),開(kāi)始菜單中不顯示"打印機(jī)和傳真"

Start_ShowRecentDocs 值為0時(shí),開(kāi)始菜單中不顯示"常用文檔"

Start_ShowSearch 值為0時(shí),在開(kāi)始菜單顯示"搜索"

Start_ShowSetProgramAccessAndDefaults 值為0時(shí),不顯示"設(shè)置程序訪(fǎng)問(wèn)和默認(rèn)值"

一大堆,大家是不是看得眼花了,如果認(rèn)識(shí)幾個(gè)英文單詞的話(huà)就很好記了.Start_開(kāi)頭的鍵都和開(kāi)始菜單有關(guān), Show,就是顯示的意思了,大部分情況下整個(gè)鍵的值為1時(shí)顯示,為0時(shí)不顯示.

實(shí)際操作

大家看看這個(gè)路徑是否和剛才的一樣：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advaned

除了HKEY_LOCAL_MACHINE,后面的全部一樣,什么意思呢?HKEY_LOCAL_MACHINE下面的修改會(huì)影響到整個(gè)系統(tǒng)中所有用戶(hù)的設(shè)置,而HKEY_CURRENT_USER下面的設(shè)置只影響當(dāng)前用戶(hù).也就是說(shuō),即使你把上面提到的鍵值全改了,換個(gè)用戶(hù)登陸情況完全不一樣了.而在HKEY_LOCAL_MACHINE下設(shè)置的,無(wú)論哪個(gè)用戶(hù)登陸,都將是一樣的,病毒也往往更喜歡優(yōu)先修改這里的.

展開(kāi)Folder,下面還有好多項(xiàng),這里的情況和上面差不多,但又有些區(qū)別.看這一項(xiàng):

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL

CheckedValue的值為1時(shí)顯示所有文件和文件夾.(文件夾選項(xiàng))

Type的值為radio時(shí)表示在文件夾選項(xiàng)中該項(xiàng)設(shè)置顯示為單選.

Text的值決定了該單選框上顯示的文字,這里的值為@shell32.dll,-30500,表示從shell32.dll這個(gè)文件的特定位置讀取資源,這里的資源是一個(gè)字符串,內(nèi)容是"顯示所有文件和文件夾".shell32.dll這個(gè)文件的路徑是%systemroot%/system32/shell32.dll.順便說(shuō)一下%systemroot%這個(gè)代表windows目錄.(試一下:開(kāi)始,運(yùn)行,輸入%systemroot%,確定.),這是一個(gè)環(huán)境變量.

Folder下各項(xiàng)的設(shè)置和上面的很類(lèi)似,大家自己應(yīng)該可以看懂了.

再現(xiàn)禽獸病毒.(見(jiàn)附件)

和上次一樣,這只是一個(gè)演示程序,并不會(huì)破壞系統(tǒng).為什么叫禽獸病毒呢,因?yàn)樗盐募A選項(xiàng)中的一個(gè)字符串改成了"禽獸尚且有半點(diǎn)憐憫之心,而我一點(diǎn)都沒(méi)有,所以我不是禽獸"(沒(méi)聽(tīng)說(shuō)過(guò)的話(huà),百度一下這句話(huà)吧).

癥狀如下:隱藏文件無(wú)法顯示.文件夾選項(xiàng)中"顯示所有文件和文件夾"這一選項(xiàng)消失,"不顯示隱藏文件"這一項(xiàng)被竄改.如圖:

解決方法:

先結(jié)束進(jìn)程,注冊(cè)表按下面修改

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼NOHIDDEN]

Text的值改成@shell32.dll,-30501

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL]

Type的值改成radio

其他的按第2課中講的修改.