远程修改注册表—Reg命令

远程修改注册表—Reg命令

要修改注册表，可以通过注册编辑器，或者先新建一个注册表文件（.REG），然后双击导入即可。在Windows 2000/XP/2003中，可以使用REG命令在命令行下导入注册表。该命令非常有用，尤其在入侵了某台主机后，需要悄悄更改注册表项目时，可以使用该命令。

利用REG命令可以添加、更改和显示注册表项中的注册表子项信息和键值。REG有多个子命令，包括：REG ADD、REG COMPARE、REG COPY、REG DELETE、REG EXPORT、REG IMPORT、REG LOAD、REG QUERY、REG RESTORE、REG SAVE、REG UNLOAD等。

?实例1：为远程计算机注册表添加自启动键值

假设我们要在注册表的启动项目中添加一个键值，让系统在启动时自动运行指定的木马程序，可以执行如下命令：

reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /v qidong /t reg_sz /d c:\windows\muma.exe

图2-48 为远程计算机注册表添加自启动键值

如图2-48所示，其中/v参数表示建立一个新的字符串，/d表示建立的字符串值内容。

命令执行后，就可以在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”下添加一个名为qidong的字符串值，如图2-49所示，其数值数据为：“c:\windows\muma.exe”，打开注册表编辑器，可以看到刚添加的注册表项目，这样每次在系统启动时就会执行木马程序。

图2-49 在注册表编辑器中查看添加的注册表项目

?实例2：导入/导出注册表

n导入注册表

REG命令同样可以将注册表文件导入系统注册表中，例如执行命令：

reg import c:\启动.reg

如图2-50所示，这样就可以把注册表文件“c:\启动.reg”导入注册表中了。

图2-50 导入注册表

n导出注册表

REG命令还可以将指定子项、项和值的副本创建到文件中，以便进行修改或传输。

例如执行命令：

reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" c: \启动.reg

如图2-51所示，这样就可以把“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”下的注册表项导出到“c: \runbkup.reg”文件中。

图2-51 导出注册表

?实例3：删除注册表项目

REG命令还可以从注册表中删除指定的项或子项，例如执行：

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v qidong

如图2-52所示，这样就可以删除“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”子项中的qidoang子键了。