Windows注册表检验
一、实验目的
通过实验,使用学员了解Windows操作系统注册表检验的内容,熟练掌握注册表提取和分析的方法,为Windows操作系统取证打下坚实的基础。
二、实验内容
(一)掌握Windows系统注册表存储的位置和文件名称;
(二)使用不同的工具检验Windows注册表内容。
三、实验器材
(一)台式电脑,Windows 2000 / 2003 / XP/2003 操作系统;
(二)EnCase、X-Ways Forensics、AccessData Registry Viewer工具;
(三)移动存储设备。
四、实验方法步骤
以班为单位,每2人一组展开作业。
(一)Windows操作系统注册表存储位置
1、windows95/98/ME操作系统
在Windows操作系统中不同的操作系统注册表文件由不同的文件组成。windows95/98/ME操作系统的注册表文件在Windows目录中,包括System.dat和User.dat 两个文件。
2、windowsNT/2000/XP/2003操作系统
windowsNT/2000/XP/2003操作系统的注册表文件包括在\%SYSTEMROOT%\system32\config\目录中的system.SAM、SECURITY、software和default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。
3、Vista和Win7操作系统
Vista和Win7操作系统注册表中增加了一些注册表文件,以下的列表代表了在默认的Vista系统中的注册表的所有配置单元:
C:\Windows\System32\config\Regback\SECURITY
C:\Windows\System32\config\Regback\SOFTWARE
C:\Windows\System32\config\Regback\DEFAULT
C:\Windows\System32\config\Regback\SAM
C:\Windows\System32\config\Regback\COMPONENTS
C:\Windows\System32\config\Regback\SYSTEM
C:\Windows\System32\config\BCD-Template
C:\Windows\System32\config\COMPONENTS
C:\Windows\System32\config\DEFAULT
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SECURITY
C:\Windows\System32\config\SOFTWARE
C:\Windows\System32\config\SYSETM
用户的NTUSER.DAT文件文件用户根目录下(\User\username)。目前Vista和Win7使用了“REGBACK”目录来备份注册表副本,不再使用Windows2000/XP/2003系统所用的“REPAIR”文件夹。
现在Vista和Win7包含了一个叫“虚拟注册表”的功能,作为加强安全控制的一部分。该特性确保不让非系统管理员用户对系统注册表的某些部分进行写入,特别是在软件安装过程中。如果一个程序尝试向受保护的注册表键进行写入操作,那么这个安装程序将无缝地被转向到一个“虚拟”的包含该用户个人注册表配置单元(NTUSER.DAT)的注册表键。任何非管理员对以下注册表HKEY_LOCAL_MACHINE\Software的写入尝试,将被转向到用户的配置文件的一个虚拟存储器HKEY_USERS \
4、操作系统还原点中的注册表文件
Windows操作系统的系统还原功能保存一系列的系统还原点。在系统变得不稳定或者异常时,可以将系统还原到以前某个工作正常的配置。由此可见,系统还原点备份了相当多有用的信息。虽然备份到还原点中的注册表文件仅是System32\config目录中注册表文件的一部分。但是仍能为调查人员提供很多系统以前配置的有用信息,如通过对比SAN文件内容的分析,能够判断出用户组成员是否发生改变;通过对比系统之前和之后安装软件的变化,可以得出用户删除了哪些软件和安装了哪些新软件。
系统还原点保存在System V olume Information目录中,在系统运行的情况下必须有System管理权限才能查看。在取证过程中一般用取证分析软件用离线的方式查看。检验操作系统还原点中注册表文件的调查内容与方法和调查System32\config目录中的注册表一样。
(二)注册表检验内容
注册表是Windows操作系统的核心。存储了大量系统相关的配置信息,用户的配置信息,活动行为信息,甚至一些以明文形式保存的口令,对于计算机取证调查取证都有着十分重要的意义。
1、操作系统信息
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \
ProductNAME (操作系统名称)
InstallDate (安装日期)
Systemroot (系统安装目录)
2、计算机最后关机时间
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Windows \ ShutdownTime
3、计算机共享的文件夹
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ <共享名>
(如果所在分区是NTFS,那么还有以下注册表键值生成)
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ Security \ <共享名>
4、USB移动设备接入情况(用户曾经接入该计算机的所有USB设备清单)
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Enum \ USBSTOR
5、用户最后访问的文档
HKEY_CURRENT_USER \ Software \ Microsoft \ CurrentVersion \ Explorer \ RecentDocs
6、IE浏览器地址栏输入的URL地址列表
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ TypedURLs
7、用户最后运行的命令行
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU
8、开机自动运行的程序
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
9、本机自动登录的用户名和密码
HKEY_LOCAL_MACHINE\Software\Microsoft\Window NT \ CurrentVersion\Winlogon DefaultUserName (默认用户名)
DefaultPassword (默认密码)
(三)调查方法和工具
实验过程中,一般采用注册表离线调查的方法,即把要检验的硬盘以只读方式接入的检验工作站用专用的注册表分析软件进行检验。
1、EnCase工具检验
EnCaseV6案件处理器中有2个模块(Windows案例寝化模块和扫描注册表模块),该模块可以方便地提取调查人员最关心的一些信息,并进行相关信息的转化,还可以生成可读性较强的报告,然后导出报告。具体操作步骤如下:
(1)运行EnCase,新建案例,加载证据文件,切换到脚本面板,找到自带脚本“案例扫描”,并双击运行,勾选案例。
(2)需要将Windows案例初始化勾选,然后双击进入模块设置。
(3)选择要扫描的一些信息模块,也可以全部选择。
(4)脚本运行完成后,转到“书签”(Bookmark)标签页面进行查看提取的各种信息,然后导出报告。
2、X-Ways Forensics工具检验过程
(1)运行X-Ways Forensics,新建案例,加载证据文件后,打开注册表文件。
(2)为注册表项创建报告
(3)选择X-Ways Forensics自带的报告格式文件“Reg Report Keys.txt”
(4)选择路径保存报告,并查看报告。
3、AccessData Registry Viewer检验过程
(1)首先下载AccessData提供的注册表摘要报告模版,然后添加到AccessData Registry Viewer软件安装目录下的Data目录中。
(2)用AccessData Registry Viewer软件打开注册表文件后,调用管理摘要报告。
(3)调用“预览”或“生成”完整的注册表报告。
五、实验注意事项
(一)实验过程中,切不可用系统电脑自带的注册表编辑器打开嫌疑硬盘中的注册表,以免造成不必要的损失。
(二)在使用工具分析注册表时,嫌疑硬盘一定要使用只读锁和系统电脑连接。
六、实验作业
每组认真完成实验,并写实验报告。针对在取证过程中出现的问题进行详细记录,实验
结束后,大家进行讨论。
七、思考题
(一)如何采用在线方式分析检验注册表?
(二)分析注册表能不能了解用户使用移动存储设备的具体情况?为什么?
去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导入后需要重新启动资源管理器)Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000000 恢复搜索按钮1.导入如下即可(两个注册表任选其一即可恢复注意导入后需要重新启动资源管理器) Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Search] "EnableProactive"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Search] "EnableProactive"=dword:00000001 去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg文件)
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 恢复多任务按钮 1. Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000000 2. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MultitaskingView\AllUpView] "Enabled"=dword:00000001 预览版更新选择功能,预览版微软锁定了选择权,现提供注册表方法更
信息与科学技术学院学生上机实验报告 课程名称:计算机网络安全 开课学期:2015——2016学年 开课班级:2013级网络工程(2)班 教师姓名:孙老师 学生姓名:罗志祥 学生学号:37 实验一、信息收集及扫描工具的使用 【实验目的】 1、掌握利用注册信息和基本命令实现信息收集 2、掌握结构探测的基本方法 3、掌握X-SCAN的使用方法 【实验步骤】 一、获取以及的基本信息 1.利用ping 和nslookup获取IP地址(得到服务器的名称及地址) 2.利用来获取信息 二、使用工具获取到达的结构信息 三、获取局域网内主机IP的资源信息 -a IP 获得主机名;
-a IP 获得所在域以及其他信息; view IP 获得共享资源; a IP 获得所在域以及其他信息; 四、使用X-SCAN扫描局域网内主机IP; 1.设置扫描参数的地址范围; 2.在扫描模块中设置要扫描的项目; 3.设置并发扫描参数; 4.扫描跳过没有响应的主机; 5.设置要扫描的端口级检测端口; 6.开始扫描并查看扫描报告; 实验二、IPC$入侵的防护 【实验目的】 ?掌握IPC$连接的防护手段 ?了解利用IPC$连接进行远程文件操作的方法 ?了解利用IPC$连接入侵主机的方法 【实验步骤】 一:IPC$ 连接的建立与断开 通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。 1.单击“开始”-----“运行”,在“运行”对话框中输入“cmd”
1.建立IPC$连接,键入命令 net use 123 / user:administrator 2.映射网络驱动器,使用命令: net use y: 1.映射成功后,打开“我的电脑”,会发现多了一个y盘,该磁盘即为目标主机的C盘 1.在该磁盘中的操作就像对本地磁盘操作一 1.断开连接,键入 net use * /del 命令,断开所有的连接 1.通过命令 net use 可以删除指定目标IP 的IPC$ 连接。 ?建立后门账号 1.编写BAT文件,内容与文件名如下,格式改为:.bat 1.与目标主机建立IPC$连接 2.复制文件到目标主机。(或映射驱动器后直接将放入目标主机的C 盘中) 1.通过计划任务使远程主机执行文件,键入命令:net time ,查看目标主机的时间。 1.如图,目标主机的系统时间为13:4513:52 c:\ ,然后断开IPC$连接。 1.验证账号是否成功建立。等一段时间后,估计远程主机已经执行了文件,通过建立IPC$连接来验证是否成功建立“sysback”账号:建立IPC$连接,键入命令 net use 123 /user:sysback 1.若连接成功,说明管理员账号“sysback”已经成功建立连接。
Win10各种注册表小设置 很多人不适应Win10的新功能,且还有强迫症,讨厌任 务栏的搜索和多任务按钮。现提供屏蔽方法。去除搜索按钮 复制粘贴一下内容,保存为reg文件,双击,确定(注意导 入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000如何你想恢复,导入如下即可(两个注册表任选其一即可恢复 注意导入后需要重新启动资源管理器)Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000000或者导入Windows Registry Editor Version CurrentVersion\Search]"EnableProactive"=dword:00000001去除多任务(虚拟桌面)按钮(同一楼,复制粘贴保存为reg 文件)Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000恢复多任务按钮Windows Registry Editor
Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000000或者Windows Registry Editor Version CurrentVersion\Explorer\MultitaskingView\AllUpView]"Enable d"=dword:00000001预览版更新选择功能,预览版微软锁定 了选择权,现提供注册表方法更改从不检查更新(不推 荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000001检查更新,但是让我选择是否下载和安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000002下载更新,但是让我选择是否安装更新Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win dows\CurrentVersion\WindowsUpdate\Auto Update]"AUOptions"=dword:00000003自动安装更新(推荐)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win
注册表数据结构(一) 使用注册表编辑器之前,首先得了解注册表的数据结构,例如注册表的显示方式、主键与子键、键值项数据的类型等等。 注册表显示方式 在Windows系统中,注册表是采用“关键字”及其“键值”来描述登录项及其数据的。所有的关键字都是以“HKEY”作为前缀开头。实际上,“关键字”是一个句柄。这种约定使得系统及应用程序的开发人员,可以在使用注册表中的API函数时把它用于应用程序的开发中。为此,Windows提供了若干API函数,以便在开发 for Windows 应用程序时添加、修改、查询和删除注册表的登录项。 在注册表中,关键字可以分为两类:一类是由系统定义的,一般都称为“预定义关键字”;另一类是由应用程序定义的,由于安装的应用软件不同,其登录项也就不同。在Windows系统中,打开注册表编辑器,可以看到注册表中的关键字,如图: 注册表通过主关键字(最上层的为“根键”,例如下图中的HKEY_CURRENT_USERS就是一个根键,标题栏上也有显示)和子键来管理各种信息,下图中的“Keyboard Layout”是一个主键,展开后就可以看到它里面的子键。注册表中的所有信息是以各种形式的“键值项数据”保存下来,如下图中的键值项Attributes的数据为“REG_DWORD:0”。其中“REG_DWORD”是该键值的数据类型;“0”是代表该键值被赋予的数值。
在注册表的左边窗口中,所有的数据都是通过一种树状结构,以键和子键的方式组织起来,十分类似于资源管理器内的目录结构,如下图。每个键都包含有一组特定的信息,每个键的键名都是与它所包含的信息相关的(注册表内是以英文的方式出现,比如‘Control Panel’表示的是控制面板内的一些内容)。 如果这个键包含子键,则在注册表编辑器窗口的左边出现一个“+”号,用来表示在这个文件夹内还有好多内容。如果这个文件夹被用户打开了,那么“+”号就变为“-”号,与我们使用资源管理器的方法是一样的,如图:
实验三、注册表安全编程实验 一、实验目的与要求 1、了解windows注册表的作用 2、设计注册表安全防护工具,并利用vc++ 编程实现 二、实验环境 Visual C++ 6.0 三、实验原理 在Windows的注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来,就象磁盘文件系统的目录结构一样。每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关联的。注册表的根键共有6个,这些根键都是大写的,并以HKEY为前缀,这种命令约定是以Win32API的Registry函数的关键字的符号变量为基础的。它们分别为: 1)HKEY_CLASSES_ROOT 管理文件系统,根据在Windows中安装的应用程序的扩展名,该根键指明其文件类型的名称,相应打开该文件所要调用的程序等信息。 2)HKEY_CURRENT_USER 管理系统当前的用户信息,在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码,在用户登录Windows时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。 3)HKEY_LOCAL_MACHINE 该根键存放本地计算机硬件数据,管理当前系统硬件配置,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息。 4)HKEY_USERS 管理系统的用户信息,在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表,同时每个用户的预配置信息都存储在HKEY_USERS根键中,HKEY_USERS是远程计算机中访问的根键之一。 5)HKEY_CURRENT_CONFIG 管理当前用户的系统配置,在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表,应用程序配置和其他有关当前用户的安装信息。 6)HKEY_DYN_DATA 管理系统运行数据,在这个根键中保存了系统在运行时的动态数据,此数据在每次显示时都是变化的[2],因此,此根键下的信息没有放在注册表中。 以上是注册表树最顶层的6个分支所分别代表的含义,可以由用户有针对性的对其进行修改、编辑等操作,但也可能受到来自网络的恶意攻击。因此,注册表安全就是防止非授权用户访问注册表敏感键值和注册表本身。 系统启动项 Windows操作系统的系统启动项是在注册表中设置的,在注册表中常见的自启动位置如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
作者: DesertFlower 时间: 2005-8-25 01:32 标题: windows注册表详解 no1chengl 注册表对有的人还是比较陌生的,因为现在第三方软件太多了,如优化大师、魔法兔子等等,但个人觉得改善系统的第三方软件还不够完善,如果初级用户使用不当,会出现严重的后果,所以提供这篇文章,希望大家多多学习,本人能力有限,还希望大家多提宝贵意见: 一、注册表的由来 PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统,如Win3.x中,对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的,但INI文件管理起来很不方便,因为每种设备或应用程序都得有自己的INI文件,并且在网络上难以实现远程访问。 为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。按照这一原则,Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表,用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。 与INI文件不同的是: 1.注册表采用了二进制形式登录数据; 2.注册表支持子键,各级子关键字都有自己的“键值”; 3.注册表中的键值项可以包含可执行代码,而不是简单的字串; 4.在同一台计算机上,注册表可以存储多个用户的特性。 注册表的特点有: 1.注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置,这使得修改某些设置后不用重新启动成为可能。 2.注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当Windows检测到机器上的新设备时,就把有关数据保存到注册表中,另外,还可以避免新设备与原有设备之间的资源冲突。 3.管理人员和用户通过注册表可以在网络上检查系统的配置和设置,使得远程管理得以实现。 二、使用注册表 1.大家可以在开始菜单中的运行里输入regedit 2.也可以在DOS下输入regedit 三、注册表根键说明 hkey_classes_root 包含注册的所有OLE信息和文档类型,是从hkey_local_machine\software\classes复制的。 hkey_current_user 包含登录的用户配置信息,是从hkey_users\当前用户子树复制的。 hkey_local_machine 包含本机的配置信息。其中config子树是显示器打印机信息;enum子树是即插即用设备信息;system子树是设备驱动程序和服务参数的控制集合;software子树是应用程序专用设置。 hkey_users 所有登录用户信息。 hkey_current_config 包含常被用户改变的部分硬件软件配置,如字体设置、显示器类型、打
实验一、注册表安全机制实验 【实验目的】 (1)了解注册表在系统安全中的地位和作用 (2)了解几个与系统安全密切相关的重要注册表键值 (3)掌握使用Windows API访问注册表的编程方法。 【实验内容】 通过编程以对话框形式完成对注册表编辑器的禁用与解禁。 【实验方法步骤】 (1)用RegOpenKeyEx()函数打开注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\Currest Version\Policies\System。如果该注册表项不存在,则用RegCreateKeyEx()函数创建该项。 (2)如果该项为新创建的,则新建立一个REG_SZ值项DisableChangePassword 和一个REG_DWORD值项dword。如果该值项已经存在,则用 RegQueryValueEx()读取值项DisableRegistryTools的dword的值。(3)用wsprintf()和MessageBox()函数把项值显示在屏幕上。 (4)将值项dword的值置为1。 (5)用RegFlushKey()函数将对注册表项的修改写入注册表。 (6)用RegCloseKey()函数关闭打开的注册表项。 (7)编译执行立即生效。 (8)发regedit命令验证结果。 【实验报告】 (1)提交原程序、可执行程序代码。 (2)编写并提交程序数据字典。 【实验注意事项】 由于注册表值项中值的改变会直接影响系统性能,编程时需慎重,除本次实验要求的内容外,不得随意改变或删除其它注册表项。 【相关知识点】 1、实验必备知识 注册表既是Windows的重要组成部分,也是黑客攻击的主要对象之一。黑客通过对被攻击方注册表的的访问获取大量系统信息,甚至直接击毁系统。防止注册表攻击的方法有许多,其中一种就是禁止用户运行系统提供的两个注册表工具Regedt32.exe和Regedit.exe。禁止的方法由修改下列注册表项的值实现:HKEY_CURRENT_USER\Software\Wicrosoft\Windows\CurrentVersion\Policie s\System 值项:DisableRegistryTools 类型:REG_DWORD 值为1表示禁止使用Windows 中的注册表工具Regedt32.exe和Regedit.exe。
如何彻底清除注册表垃圾 CleanReg是一个功能强大的注册表编辑和维护工具。第一次运行的时候,CleanReg会对当前注册表进行一个彻底的扫描,这个过程会耽误一些时间,所以当你发现机器在2-3分钟之间没有响应的话,千万别着急重新启动系统。等到注册表扫描完毕后,CleanReg就采用五个子窗口来显示相关的系统信息,而且你还可以在这些窗口中进行对注册表进行编辑修改与系统维护工作。 1、CleanReg(清理注册表) 在这个窗口中,程序已经将注册表中无效的垃圾文件完整的提供给你,这其中包括你以前打开的文件记录、删除软件之后残留在注册表中的主键、无效的DLL动态连接库文件等等。此时你只要选中相应的文件并按下DEL按键就可以把它们删除,以便对注册表进行一个彻底的清理,如下图所示。 2、Undo(取消) 如果在清理注册表的时候出现了误删文件的情况,那么就可以在Undo 窗口下对以前的文件信息进行一个浏览,同时还能将选中的注册表信息和文件进行恢复操作。 3、All File in Registry(注册表中的文件) 这里显示的是当前系统中所有文件,以及它们在注册表中的相应位置。也许你会认为这个窗口似乎没有很实用的功能,但是对于那些想把注册表研究透彻的朋友来说,通过这个窗口可以摸清楚每一个文件所对应的注册表位置,
因此是高手必须去看看的地方。 4、Registry(注册表窗口) 这里有点像Windows下的注册表编辑器,但是又和注册表编辑器有很大的差别,主要是提供的信息更为详尽。比如我们常用的NetAnts,在这个窗口中就有所在的路径、语言种类、版本等很多项内容,你可以直接进行查看。而且还可以对其进行删除和清空键值的操作,如下图所示。 在实际的使用过程中,笔者发现CleanReg对于注册表的垃圾文件查找功能很强大,比如你原先在桌面上打开了一个文本文件,但是查看这个文件之后又将其删除了,但是这个信息已经被保存在注册表中。日积月累的话,这类不存在的文件查看记录就很多很多,它们在注册表中占据了一定的空间,不仅造成注册表的个头很大,而且还会导致系统启动速度变慢、程序运行延迟等现象,所以在CleanReg的帮助下能够彻底将这些垃圾文件全部查找出来并清空它们。
为了方便对windows7的操作,我们可以利用注册表优化使系统性能、速度、稳定性更加突出。 把下面的文字用记事本保存成.reg文件,导入即可 Windows Registry Editor Version 5.00 ;--------------------------------------------------------------------------------------------- ; 侧边栏设置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] "AllowElevatedProcess"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Compatibil ity] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Sidebar\Settings] ;--------------------------------------------------------------------------------------------- ; 资源管理器设置 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Start_SearchFiles"=dword:00000002 "ServerAdminUI"=dword:00000000 "ShowCompColor"=dword:00000001 "DontPrettyPath"=dword:00000000 "ShowInfoTip"=dword:00000001 "HideIcons"=dword:00000000 "MapNetDrvBtn"=dword:00000000 "WebView"=dword:00000001 "Filter"=dword:00000000 "SeparateProcess"=dword:00000000 "AutoCheckSelect"=dword:00000000 "IconsOnly"=dword:00000000 "ShowTypeOverlay"=dword:00000001 "ListviewAlphaSelect"=dword:00000001 "ListviewShadow"=dword:00000001 "TaskbarAnimations"=dword:00000001 "StartMenuInit"=dword:00000004 "Start_ShowRun"=dword:00000001 "Start_LargeMFUIcons"=dword:00000000 "Start_MinMFU"=dword:0000000a
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2017年10 月27 日
XX大学实验报告 课程名称:计算机信息安全实验类型:演示、验证 实验项目名称:实验七计算机及手机病毒防范 实验地点:信息楼320 实验日期:2017 年10月27 日 1.实验目的 360安全卫士及杀毒软件的实验目的主要包括: 1)理解360安全卫士及杀毒软件的主要功能及特点。 2)掌握360安全卫士及杀毒软件主要技术和应用。 3)熟悉360安全卫士及杀毒软件主要操作界面和方法。 2. 实验内容 (1)主要实验内容 360安全卫士及杀毒软件的实验内容主要包括: ①360安全卫士及杀毒软件的主要功能及特点。 ②360安全卫士及杀毒软件主要技术和应用。 ③360安全卫士及杀毒软件主要操作界面和方法。 实验用时:2学时(90-120分钟) (2)360安全卫士主要功能特点 360安全卫士是奇虎自主研发的软件一款电脑安全辅助软件,拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能,并独创了“木马防火墙”功能,依靠抢先侦测和云端鉴别,可全面、智能地拦截各类木马,保护用户的账号、隐私等重要信息。目前木马威胁之大已远超病毒,360安全卫士运用云安全技术,在拦截和查杀木马的效果、速度以及专业性上表现出色,能有效防止个人数据和隐私被木马窃取,被誉为“防范木马的第一选择”。360安全卫士自身非常轻巧,同时还具备开机加速、垃圾清理等多种系统优化功能,可大大加快电脑运行速度,内含的360软件管家还可帮助用户轻松下载、升级和强力卸载各种应用软件。360安全卫士的主要功能: ①电脑体检。可对用户电脑进行安全方面的全面细致检测。 ②查杀木马。使用360云引擎、启发式引擎、本地引擎、360奇虎支持向量机QVM(Qihoo Support Vector Machine)四引擎毒查杀木马。 ③修复漏洞。为系统修复高危漏洞、加固和功能性更新。 ④系统修复。修复常见的上网设置和系统设置。 ⑤电脑清理。清理插件、清理垃圾和清理痕迹并清理注册表。 ⑥优化加速。通过系统优化,加快开机和运行速度。 ⑦电脑门诊。解决电脑使用过程中遇到的有关问题帮助。 ⑧软件管家。安全下载常用软件,提供便利的小工具。 ⑨功能大全。提供各式各样的与安全防御有关的功能。 360安全卫士将木马防火墙、网盾及安全保镖合三为一,安全防护体系功能大幅增强。具有查杀木马及病毒、清理插件、修复及危险项漏洞、电脑体检、开机加速等多种功能,并独创了“木马防火墙”功能,利用提前侦测和云端鉴别,可全面、智能地拦截各类木马,保护用户的账号、隐私等重要信息。运用云安全技术,在拦截和查杀木马的效果、速度以及专
;加速APP [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem] "ConfigFileAllocSize"=dword:000001f4 ;加速菜单显示 [HKEY_CURRENT_USER\Control Panel\Desktop] "MenuShowDelay"="0" ;加速关机 [HKEY_CURRENT_USER\Control Panel\Desktop] "AutoEndTasks"="1" "HungAppTimeout"="500" "WaitToKillAppTimeout"="1000" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] "WaitToKillServiceTimeout"="1000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control] "WaitToKillServiceTimeout"="1000" ;禁用系统还原 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "RPSessionInterval"=dword:00000000 "FirstRun"=dword:00000000 "LastIndex"=dword:00000011 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\cfg] "DiskPercent"=dword:0000000f [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup_Last] "Generalize_DisableSR"=dword:00000000 ;禁用自动播放 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff
Windows注册表检验 一、实验目的 通过实验,使用学员了解Windows操作系统注册表检验的内容,熟练掌握注册表提取和分析的方法,为Windows操作系统取证打下坚实的基础。 二、实验内容 (一)掌握Windows系统注册表存储的位置和文件名称; (二)使用不同的工具检验Windows注册表内容。 三、实验器材 (一)台式电脑,Windows 2000 / 2003 / XP/2003 操作系统; (二)EnCase、X-Ways Forensics、AccessData Registry Viewer工具; (三)移动存储设备。 四、实验方法步骤 以班为单位,每2人一组展开作业。 (一)Windows操作系统注册表存储位置 1、windows95/98/ME操作系统 在Windows操作系统中不同的操作系统注册表文件由不同的文件组成。windows95/98/ME操作系统的注册表文件在Windows目录中,包括System.dat和User.dat 两个文件。 2、windowsNT/2000/XP/2003操作系统 windowsNT/2000/XP/2003操作系统的注册表文件包括在\%SYSTEMROOT%\system32\config\目录中的system.SAM、SECURITY、software和default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。 3、Vista和Win7操作系统 Vista和Win7操作系统注册表中增加了一些注册表文件,以下的列表代表了在默认的Vista系统中的注册表的所有配置单元: C:\Windows\System32\config\Regback\SECURITY C:\Windows\System32\config\Regback\SOFTWARE C:\Windows\System32\config\Regback\DEFAULT C:\Windows\System32\config\Regback\SAM C:\Windows\System32\config\Regback\COMPONENTS C:\Windows\System32\config\Regback\SYSTEM C:\Windows\System32\config\BCD-Template C:\Windows\System32\config\COMPONENTS C:\Windows\System32\config\DEFAULT C:\Windows\System32\config\SAM C:\Windows\System32\config\SECURITY
网络安全实验报告 Nessus扫描工具的使用 网络10-2班 XXX 08103635 一、实验目的 通过Nessus扫描工具的使用,了解漏洞扫描的常用方法,掌握插件扫描的原理,了解针对扫描工具的防范措施。 二、实验要求 (1)本实验可以在Linux环境也可以在Windows环境下进行。 (2)总结Nessus使用过程中遇到的问题和解决方法。 (3)分析Nessus扫描结果,得出自己的分析报告。 三、实验内容 (1)安装Nessus 的服务器端、插件库和客户端。 (2)配置Nessus服务器端,分配具体用户。 (3)用Nessus客户端对局域网或者公共网主机进行扫描。 (4)分析扫描结果报告,获取系统的有用信息,发现网络系统的安全漏洞。 (5)提出防范扫描工具的具体措施,并付诸实施。再用Nessus进行扫描,比较两次扫描结果的异同。 四、实验分析 1、对网络中的部分主机扫描: 本实验我选取的ip段是:219.219.68.110-219.219.68.120(不包含本机219.219.68.106),一共11台主机,理论上可以将11台主机全部扫描出来,但最终只扫描出来8台主机,
造成这种情况的原因可能是另外三台主机没有接入网络,或主机ip已经被篡改。
这里我先简单比较分析一下上面两图的不同,具体的扫描内容分析将会在下面的本机扫描中呈现。 从上面两图中可以看出,扫描出来的8台主机,有5台显示黄色(下面以ip尾号.113为例),其余的是黑色(下面以ip尾号.112为例),.113有标记:“Medium Severity problem(s) found”,意思为“发现中等严重程度的问题”。仔细比较,不难发现,113的扫描数据比112多了一项general/udp,因为udp是传输不可靠,所以我分析就是这个传输不可靠造成被发现中等严重程度的问题。 2、只对本机扫描:
注册表使用及维护 1) 注册表概述 注册表是Windows系统用来存储计算机配置信息的一个庞大数据库,它包含了应用程序和计算机系统的配置、操作系统和应用程序的初始化信息、应用程序和文档的关联关系、硬件设备的说明、状态和属性以及各种状态信息和数据。注册表中存放着各种参数,直接控制着系统的启动、硬件驱动程序的装载以及一些系统应用程序的运行,从而在整个系统中起着核心作用。 2) 注册表文件组成 注册表是由多个具有系统隐藏属性的文件组成。不同版本的Windows操作系统其注册表文件的组成也不同,以实验环境Windows XP为例,文件分成系统配置文件和用户配置文件两大部分,其中系统配置文件保存在系统目录下system32\config中,包括AppEvent.Evt、SecEvent.Evt、SysEvent.Evt、default、system和software等多个文件,以及相应的.LOG(日志)文件和.SAV文件;用户配置文件保存在系统根目录下的Documents and Settings目录下的用户名目录中,分别是NTUSER.DAT、ntuser.ini以及日志文件ntuser.dat.LOG文件。在Windows 2000和Windows XP运行时,无法使用其它的工具将这些注册表文件打开,这一点与Windows 98下的SYSTEM.DAT和USER.DAT不同。 3) 注册表结构 注册表结构类似于目录管理的树状分层结构,由项、子项、配置单元和值项组成。 项:出现在【注册表编辑器】对话框中的文件夹。项可以包含子项和值项,例如,Software 是HKEY_CURRENT_CONFIG的一个子项。 其中,“预定义项”是代表注册表的一个主要部分的项。每个“预定义项”都单独显示在【注册表编辑器】对话框的左窗格中。主要有5个“预定义项”,分别是: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG 子项:在项的下面是子项,如同子文件夹一样。项与子项的关系类似于资源管理器中的文件夹与子文件夹,如果某个项包含了子项,则在【注册表编辑器】对话框中代表该项的文件夹的左边会出现一个“+”号,单击“+”号,则可展开该项下的子项,同时“+”号变成“-”号,单击“-”号,则可收敛该项下的子项。 配置单元:作为文件出现在硬盘上的注册表的一部分。注册表树型结构中的子树部分被划分成配置单元,它位于注册表层的顶部,是项、子项和值项的离散体。 值项:出现在【注册表编辑器】对话框的右窗格中的数据字符串。项和子项可以包含一个或多个值项,值项由名称、数据类型和值本身三个部分组成。 4) 注册表五个预定义项 HKEY_LOCAL_MACHINE:是注册表的核心,用于存放计算机系统软、硬件以及应用程序的全部配置信息。它包括以下8个部分:Config系统配置、Driver驱动程序、Enum即插即用设备、Hardware硬件、Network网络、Security安全、Software软件和System系统。 HKEY_USERS:储存了计算机上所有的用户配置文件,其中一个子项HKEY_USERS\DEFAULT 包含用户登录前使用的信息,另一个子项总是映射为HKEY_CURRENT_USER。 HKEY_CURRENT_USER:保存了当前登录用户的信息,它是HKEY_USERS\用户名的快捷方式,若未激活用户配置则它是HKEY_USERS\DEFAULT的快捷方式。 HKEY_CLASSES_ROOT:记录的是系统中各类文件与其应用程序之间的对应关系,即记录了
实验报告书写要求 1.实验名称:电子商务安全支付现状及客户机安全调查 2.实验设备:计算机一台 3.实验目的和要求: 了解中国互联网发展状况,特别有关电子商务发展的现状。 了解电子商务客户机存在的安全风险及对应的安全措施。 4.实验步骤:请根据这份实验指导书填写。 5.实验结果与分析: 对下载的互联网状况及安全方面的分析报告进行总结并提出自己观点,形成500字以上的总结报告一份。 6.请用手写学校所发统一实验报告纸,每项都必须填写。分析报告需要打印,实验报告纸和分析报告装订在一起,请在左上角用一颗订书针钉上!
实验一、电子商务安全支付现状及客户机安全 一、任务 1、阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支 付的数据及分析,了解中国电子商务发展的现状。 2、防病毒软件的安装和使用、IE对安全区域的设置、处理cookie。 二、步骤 1、了解互联网发展动态 (1)进入中国互联网络信息中心网站:https://www.doczj.com/doc/298512114.html, 输入网址进入中国互联网络信息中心主页,如图1所示。 图1.1中国互联网络信息中心主页1 (2)中国互联网发展研究报告下载 在主页中找到“中国互联网发展研究报告”(图1.1红圈所示),下载权威发 布的研究报告,还可查看不同研究观点。 2、了解互联网安全现状 (1)报告下载 在主页右下角的“互联网研究”分组中找到“报告下载”链接(图1.2红圈所示),点击进入,在列表中选择“第36次中国互联网络发展状况统计报告”、
“2014年中国网民信息安全状况研究报告”、“2014年中国网络支付安全状况报告”等和电子商务安全相关的最新调查报告下载至本地机。 (2)分析总结 查找并比较其中关于电子商务安全和支付方面的数据,分析变化的原因,形成并提交报告。 图1.2中国互联网络信息中心主页2 3、了解互联网发展动态 找到互联网发展大事记中近两年所发生大事,就其中熟悉且感兴趣的事件做深入了解。 4、防病毒软件的安装与使用 (1)了解防病毒软件的工作原理 如何扫描病毒、如何识别病毒、如何有效保护客户机的安全等方面。 (2)防病毒软件的使用 下载一款免费防病毒软件,安装后根据之前了解的工作原理对照查看。详细了解软件的相关设置,分析如何做到有效保护客户机安全。 5、IE对安全区域的设置 (1)了解IE中安全区域 通过网络搜索相关文档,了解IE安全区域的概念、意义及作用。 (2)浏览器安全级别设置 打开浏览器,按以下菜单进行操作:工具→Internet选项,选择“安全”标
目录 项目一 Vmware虚拟机及sniffer抓包软件的使用项目二网络基本命令的使用 项目三扫描和网络监听 项目四后门与木马 项目五操作系统安全配置方案 项目六防火墙技术
项目一 Vmware虚拟机及sniffer抓包软件的使用 一实验目的 1、学会安装和使用vmware软件并能够熟练配置虚拟机。 2、学会使用sniffer软件抓取数据包。 二实验设备 1、配置有vmware软件和sniffer软件的电脑多台。 2、局域网环境。 三实验学时 4学时 四实验内容 1、安装vmware虚拟机。 2、配置vmware虚拟机。 1)在虚拟机中装操作系统,选择菜单栏“File”下的“New”菜单项,再选 择子菜单“New Virtual Machine”。 2)有两种选择,选项“Typical”是典型安装,选项“Custom”是自定义安装,我 们选择“Custom”安装方式。点击按钮“下一步”。3)进入选择操作系统界面,设置将来要安装的操作系统windows 2000 advanced sever. 点击按钮“下一步”. Used Bridged networking”,点击“下一步”。Create a new virtual disk,点击下一步。 7)选择虚拟磁盘所要安装的目录,最后完成。 3、测试vmware虚拟机和局域网中其他电脑的连通性。 1)设置虚拟机的ip(与主机ip在同一网段)。 2)用ping命令测试虚拟机在局域网的连通性。 4、使用sniffer抓包 1)进入Sniffer主界面,抓包之前必须首先设置要抓取数据包的类型。选择主菜单Capture下的Define Filter菜单 2)在Address下拉列表中,选择抓包的类型是IP。 3)点击该窗口的Advanced选项卡,拖动滚动条找到IP项,将IP和ICMP 选中。 4)主机的DOS窗口中Ping虚拟机,点击开始键,出现的窗口选择Decode 选项卡,可以看到数据包在两台计算机间的传递过程。 五实验小结
Windows系统注册表的中文注释.txt爱人是路,朋友是树,人生只有一条路,一条路上多棵树,有钱的时候莫忘路,缺钱的时候靠靠树,幸福的时候别迷路,休息的时候靠靠树!第一:进程是什么 进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。 危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。 第二:什么是木马 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。 传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。 第三:什么是计算机病毒 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓 延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随 同文件一起蔓延开来。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎 仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不 寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序 的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性