|
我們不用360安全衛(wèi)士���,自己寫程序也能解鎖注冊(cè)表。
在上網(wǎng)瀏覽了惡意網(wǎng)頁(yè)后���,經(jīng)常會(huì)遇到注冊(cè)表被禁用的事情�����。注冊(cè)表被加鎖�,其主要原理就是修改注冊(cè)表。在注冊(cè)表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerssion\Policies\System分支下�����,新建DWORD值“Disableregistrytools”�����,并設(shè)鍵值為“1”��。這樣�����,當(dāng)有人運(yùn)行注冊(cè)表編輯器時(shí)就會(huì)出現(xiàn)“注冊(cè)編輯已被管理員所禁止”的對(duì)話框���,這樣就可以達(dá)到限制別人使用注冊(cè)表編輯器的目的。給注冊(cè)表解鎖的方法有很多��,編輯REG文件導(dǎo)入注冊(cè)表是最常用的��。本文要介紹的是與眾不同的七招,在此與您分享����。
用Word的宏來解鎖
Word也可以給注冊(cè)表解鎖?沒錯(cuò)�!我們利用的是微軟在Word中提供的“宏”,沒想到吧�?具體方法是:運(yùn)行Word,然后編寫如下面所示的這個(gè)“Unlock”宏���,即可給注冊(cè)表解鎖:
Sub Unlock()
Dim RegPath As String
RegPath = “HKEY_CURRENT_USER\Software
\Microsoft\Windows\CurrentVersion\Policies\System”
System.PrivateProfileString(FileName:=“”,Section:=RegPath,Key:=“Disableregistrytools”)=“OK!”
End Sub
其實(shí)���,這個(gè)方法一點(diǎn)都不神秘,只是利用了注冊(cè)表的一個(gè)特性��,即在同一注冊(cè)表項(xiàng)下��,不能有相同名字的字符串值和DWORD值�,如果先前有一個(gè)DWORD值存在,則后建立的同名的字符串值會(huì)將其覆蓋���,這也就間接的刪除了原值���。在本例中就是DWORD值Disableregistrytools被同名的字符串值所覆蓋刪除����。
修改Regedit.exe文件
修改Regedit.exe文件也可以給注冊(cè)表解鎖�����,前提條件是手頭上要有十六進(jìn)制文件編輯軟件如UltraEdit或WinHex等��。我們以UltraEdit為例���,用Ultraedit打開注冊(cè)表編輯器Regedit.exe。點(diǎn)擊“搜索”菜單下的“查找”�,在彈出的對(duì)話框中的“查找ASCII字符”前面打上“√”,在“查找什么”欄中輸入:Disableregistrytools(如圖2)����,點(diǎn)擊“確定”開始查找。會(huì)找到僅有的一處結(jié)果����,改成別的字符就可以了。不過長(zhǎng)度一定要一樣(20個(gè)英文字母)�,這樣就可以解除對(duì)注冊(cè)表編輯器的禁用。
使注冊(cè)表編輯器無(wú)法被禁用
給注冊(cè)表編輯器Regedit.exe做個(gè)小手術(shù),使之對(duì)注冊(cè)表禁用功能具有“免疫力”�����,可以打造一個(gè)鎖不住的注冊(cè)表編輯器��。這對(duì)防范惡意網(wǎng)頁(yè)對(duì)注冊(cè)表的禁用非常有好處�。用十六進(jìn)制文件編輯器Ultraedit打開Regedit.exe,查找74 1B 6A 10 A1 00���,找到后�����,把74改為EB即可?���,F(xiàn)在�����,你就有了一個(gè)鎖不住的注冊(cè)表編輯器了�����。下次既使注冊(cè)表被禁用也不用害怕了,只管運(yùn)行之����,保管惡意網(wǎng)頁(yè)的修改無(wú)效。
用INF文件解鎖
大家一定看到過在Windows中有一種后綴為INF的驅(qū)動(dòng)安裝文件����,它實(shí)際上是一種腳本語(yǔ)言,通過解釋執(zhí)行�。它包含了設(shè)備驅(qū)動(dòng)程序的所有安裝信息,其中也有涉及修改注冊(cè)表的相關(guān)信息語(yǔ)句����,所以我們也可以利用INF文件對(duì)注冊(cè)表解鎖。
INF文件是由各個(gè)小節(jié)(Section) 組成�。小節(jié)的名字從中括號(hào)中起,且在此文件中必須是惟一的����。小節(jié)的名字是它的入口點(diǎn)�����。后面是小節(jié)內(nèi)容�,形式上是“鍵名稱=鍵值”。在文件中可以添加注釋,由分號(hào)完成�����,分號(hào)后的內(nèi)容不被解釋執(zhí)行���。讓我們開始行動(dòng)�����,用記事本編輯如下內(nèi)容的文件:
[Version]
Signature=“$CHICAGO$”
[DefaultInstall]
DelReg=del
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\
System,Disableregistrytools,
1,00,00,00,00
將上面的內(nèi)容存為del.inf�����,使用時(shí)用右鍵點(diǎn)擊它��,在彈出菜單中選擇“安裝”即可給注冊(cè)表解鎖(如圖3)���。
用JScript解鎖
用記事本編輯如下內(nèi)容的文件,保存為以.js為后綴名的任意文件����,使用時(shí)雙擊就可以了。
VAR WSHShell=WSCRIPT.CREA-TOBJEt(“WSCRIPT.SHELL”);
WSHShell.Popup(“為你解鎖注冊(cè)表”);
WSHShell.RegWrite(“HKCU\\Software\\Microsoft\\
Windows\\CurrentVersion\\Policies\\
system\\DisableRegistryTools”, 0,“reg_dword”);
大家可以看出用JS對(duì)鍵值進(jìn)行操作時(shí)要用兩斜杠“\\”����,并且要用“;”表示結(jié)束��。一般只要能注意這兩點(diǎn)����,就沒有問題了�����。
用VBScript解鎖
用VBScript對(duì)注冊(cè)表進(jìn)行解鎖�?沒錯(cuò)!很容易又很簡(jiǎn)單的一個(gè)方法�,用記事本編輯如下內(nèi)容:
DIM WSH
SET WSH=WSCRIPT.CreateObject(“WSCRIPT.SHELL”)
WSH.POPUP(“為你解鎖注冊(cè)表!”)
WSH.Regwrite“HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\System\DisableRegistryTools”,0,“REG_DWORD”
WSH.POPUP(“注冊(cè)表解鎖成功!”)
將以上內(nèi)容保存為以.vbs為擴(kuò)展名的任意文件,使用時(shí)雙擊即可���。
利用SCR文件給注冊(cè)表解鎖
眾所周知���,SCR文件是屏幕保護(hù)文件,SCR文件也能給注冊(cè)表解鎖��?是的�!方法是將注冊(cè)表編輯器regedit.exe改名為Regedit.scr�����。然后,在桌面上點(diǎn)擊鼠標(biāo)右鍵���,在彈出菜單中選擇“屬性”�����,在彈出的“顯示 屬性”對(duì)話框中選中“屏幕保護(hù)程序”�,在“屏幕保護(hù)程序”下拉列表框中找到Regedit這個(gè)假冒的屏幕保護(hù)文件(圖4)�,然后按一下“預(yù)覽”鍵,你會(huì)發(fā)現(xiàn)注冊(cè)表編輯器成功地打開了�����。再刪除上述鍵值����,重新啟動(dòng)計(jì)算機(jī),就可以給注冊(cè)表解鎖了��!
不麻煩吧����。
|
