Các Phương Pháp can thiệp vào Registry. (Dành cho newbie)

Registry là gì?


.....
Cấu trúc của Registry:


.....
Thao tác lên Registry.

Chat nhiều nick

Code: Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\yahoo\pager\Test]
"Plural"=dword:00000001 Có nhiều cách thao tác lên Registry gồm các cách sau:



Cách thông thường nhất là sử dụng chương trình Registry Edit có sẵn trong Window: => vào start ==> Run ==> Regedit (dành cho người sử dụng window).



Trong các ngôn ngữ lập trình ứng dụng với window đều có tích hợp sẵng những hàm để can thiệp vào Registry (dành cho lập trình)



Nhưng không phải lúc nào bạn cũng có thể can thiệp được vào Registry một khi người quản trị hệ thống vừa khóa chức năng soạn thảo Registry (trong những lúc bạn sử dụng máy ở ngoài tiệm internet hay trong văn phòng…) để tránh trường hợp người không có kinh nghiệm sửa đổi sẽ làm cho hệ thống mất ổn định.



Vậy nếu như bạn gặp trường hợp đó chẳng lẽ phải bó tay sao và nhất là với những ai chuyên nghiên cứu về vào sâu chẳng hạn.



Ví dụ như người quản trị ẩn hết tất cả các menu Run, các items trong Control Panel, tắt các service quan trọng,… và ẩn cả những chức năng và các biểu tượng trên desktop… Và sau đó không cho mở trình truy cập vào Registry. Vậy làm sao bạn có thể thao tác và sửa đổi khi mà Registry Editor không thể sử dụng được?



Trong bài viết này tui sẽ chủ yếu đi vào cách can thiệp vào Registry một cách đơn giản nhất bằng những công cụ có sẵn và chắc chắn là ít bao giờ bị khóa đó là sử dụng chương trình NotePad để can thiệp và có thể sử dụng cả command line.



Cách thứ nhất: tạo ra file thuần text có đuôi .reg và đơn giản là chạy nó để tạo key trong Registry



File .reg có cấu trúc như sau:


Code: Windows Registry Editor phiên bản 5.00
(Khoảng trống)
(Key cần tạo)




Ví dụ: Tạo một Registry có chức năng cấm hiển thị Task Manager (Ctrl + Alt + Del)



Bạn mở Notepad dán đoạn code dưới vào sau đó lưu với tên


disTaskManager.reg


Code: Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001





Chạy thử nó và nhấn Yes để chấp nhận sau đó nhấn thử (Ctrl + Alt + Del) thì Task Manager sẽ không được phép thực thi.



Để bật lại chỉ cần thay giá trị dword:00000001 ==> dword:00000000 và chạy lại lần nữa. Sau đó để hiển thị được Task Manager bạn chỉ cần cho chạy file này:



enableTaskManager.reg


Code: Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000





Để thực thi được file .reg với điều kiện là chức năng này được cho phép, Vậy trong trường hợp bị khóa thì sao ???



Ví dụ: Bạn tạo thử một file .reg có tên là LockRegistry.reg sau đó chạy thử xem chuyện gì sẽ xảy ra nha



LockRegistry.reg


Code: Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001




Khi chạy file LockRegistry.reg rồi bạn thử vào start ==> run ==> regedit thì một dòng thông báo sẽ hiện ra như sau: “Registry Editing have been disabled by your administrator” và bạn tạo file



unLockRegistry.reg


Code: Windows Registry Editor phiên bản 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000




và khi thực thi nó thì dòng thông báo trên cũng vẫn xuất hiện và không cho phép tiếp tục thực thi file unLockRegistry.reg.



2/Cách thứ hai



Vậy làm cách nào để bật Registry edit lên lại?? xin thưa bạn hãy xem qua bài chạy chương trình bất kỳ dưới quyền hệ thống thì sẽ có cách giải quyết ngay thôi.



Bạn sẽ làm như sau: ví dụ giờ của hệ thống đang là 10:30AM


_Mở Start ==> Run ==> cmd


_Từ dấu nhắc dos gõ lệnh: At 10:31AM /interactive Registry


_Sau đó ngồi chờ đúng 10:31 thì Registry Editor sẽ hiện lên.


_Vào HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System


và đổi giá trị cho key DisableRegistryTools ==> dword=00000000 thế là xong, quá đơn giản phải không?



Cách thứ 3: sử dụng command line


Đó là bạn sử dụng lệnh Reg (để nghiên cứu thêm về lệnh reg các bạn có thể ra Mở Run =>cmd=>reg/? để biết thêm chi tiết.



Trở lại ví dụ lúc nãy để enable lại Registry edit gõ lệnh như sau:



REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f



Vậy như đặt trường hợp lỡ hợp thoại Run cũng bị khóa và Hệ thống không cho truy cập Dos thì sao ?? Cái này là thường thấy ở các tiệm Net



Cách thứ 4: Thế là lại nhờ tới anh NotePad và biết một chút về lập trình với VBScript là xong, còn nếu không biết về VBScript thì cứ copy và dán đoạn Script sau vào và đặt tên là EnableRegistry.vbs và chỉ cần nhấn đúp để chạy nó thì Registry Edit sẽ hết bị khóa.



EnableRegistry.vbs


Code: Option Explicit
Dim WSHShell: Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim Root: Root = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
Dim Key: Key = "DisableRegistryTools"
Dim ItemType: ItemType = "REG_DWORD"
'0:Enable , 1isable
Dim Value: Value = 0
On Error Resume Next
WSHShell.RegWrite Root & Key, Value, ItemType
Mybox = MsgBox("Registry Enabled", 4096, "Success")




Ngoài ra VBscript cũng cung cấp sẵn các hàm để tạo Key, Xóa Key, Đọc Key các bạn tự tham khảo.


_Đọc Key: n = WSHShell.RegRead (Root & Key) đưa ra giá trị n


-Xóa Key: WSHShell.RegDelete (Root & Key)



Ví dụ: Tạo một file VBScript có tác dụng tắt và mở chức năng của Registry (File này tự động dò tìm nếu trường hợp Registry đang bị Disable thì Enable lên và ngược lại:



AutoRegistry.vbs


Code: Option Explicit

Dim WSHShell: Set WSHShell = WScript.CreateObject("WScript.Shell")
'Khai bao key
Dim Root: Root = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
Dim Key: Key = "DisableRegistryTools"
Dim ItemType: ItemType = "REG_DWORD"

'0:Enable , 1isable
Dim enaValue: enaValue = 0
Dim disValue: disValue = 1

'Cac cau thong bao
Dim enaMes: enaMes="Enabled !"
Dim disMes: disMes="Disabled !"
Dim mainMes: MainMes="Registry Editor is "

Err.Clear

On Error Resume Next
'lay va kiem tra gia tri cua Key xem dang Enable hay Disable
Dim valueGet: valueGet = WSHShell.RegRead (Root & Key)
Dim errNum: errNum = Err.Number

'Neu khong co key thi tao key
On Error Goto 0
if errNum <> 0 then
WSHShell.RegWrite Root & Key , disValue, itemtype
End If
'Neu co key kiem tra gia tri key n neu dang enable thi disable va nguoc lai
Dim MyBox
If valueGet = enaValue Then
WSHShell.RegWrite Root & Key , disValue, itemtype
MyBox = MsgBox(MainMes & disMes, 4096, "Success")
ElseIf valueGet = disValue then
WSHShell.RegWrite Root & Key, enaValue, itemtype
MyBox = MsgBox(MainMes & enaMes, 4096, "Success")

End If




Nói chung là còn rất nhiều cách nhưng vấn đề ở đây là cốt lõi và bạn phải nắm được căn bản về Registry và phải biết “Tùy cơ ứng biến”.



Sau đây là các Thủ thuật về Registry cần thiết cho chuyện thâm nhập:



1/Enable Remote Assistance (Windows XP)


Registry Settings


System Key: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server]


Value Name: AllowTSConnections, fDenyTSConnections, fAllowToGetHelp


Data Type: REG_DWORD (DWORD Value)



Tạo hay sửa các Giá trị DWORD:


Giá trị REG_SZ mặt định


AllowTSConnections REG_DWORD 0×00000001 (1) sửa thành ==>0


fDenyTSConnections REG_DWORD 0×00000000 (0) sửa thành ==>1


fAllowToGetGiúp REG_DWORD 0×00000001 (1) sửa thành ==>0



2/Bật hay tắt các Service khác



Các giá trị của dword được hiểu như sau:


dword:00000002 Automatic


dword:00000003 Manual


dword:00000004 Disabled



Để bật Service nào đó bạn chỉ cần đổi giá trị về dword:00000002 và khởi động lại



REGEDIT4



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Alerter]


“Description”=”Allows alert messages to be sent to W2K servers.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ALG]


“Description”=”Allows you to use the built-in firewall.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\AppMgmt]


“Description”=”Allows programs to use the add/remove control panel”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BITS]


“Description”=”Allows you to resume file transfers on slow connections.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Browser]


“Description”=”Used to show a list of computers on a local network.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ClipSrv]


“Description”=”Permits you to cut and paste text and graphics over the network.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\COMSysApp]


“Description”=”Allows COM-aware software components to communicate with each other.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\CryptSvc]


“Description”=”Allows for authentication, encoding and encryption to verify software signatures.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ERSvc]


“Description”=”Allows applications to send error reports to Microsoft if/when they crash.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\EventSystem]


“Description”=”A method for allowing software compenents to communicate with each other.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FastUserSwitchingCompatibility]


“Description”=”Allows for multiple users on a single machine without requiring you to log out.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\helpsvc]


“Description”=”Allows the XP Built-in Giúp and Support Center to run.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ICFS]


“Description”=”Enables the built-in Microsoft firewall.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation]


“Description”=”The Workstation service enables a computer to connect to and use network resources.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LmHosts]


“Description”=”Enables NetBIOS over TCP/IP (NetBT) services.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Messenger]


“Description”=”Despite its best efforts, it’s an evil service that has massive security flaws.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\mnmsrvc]


“Description”=”Allows NetMeeting programs to access the local computer.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSDTC]


“Description”=”Provides data replication between a client and multiple Windows servers.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSIServer]


“Description”=”Allows for programs to be installed. Enough said.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Nla]


“Description”=”Useful if you have a multihomed or multiple-network connected computer.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PolicyAgent]


“Description”=”Provides IPSEC capabilities (secure TCP/IP).”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ProtectedStorage]


“Description”=”Allows the local computer to save passwords.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RDSessMgr]


“Description”=”Allows remote access and control of the local computer.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteRegistry]


“Description”=”Allows remote access and control of the Windows registry.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RSVP]


“Description”=”See MS-Technet Q316666 for vague details.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RPCLocator]


“Description”=”Allows distributed applications to use the Microsoft RPC name service.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\seclogon]


“Description”=”Enables starting processes under alternate credentials.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SENS]


“Description”=”Allows the computer to be aware of network connectivty interruptions.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Spooler]


“Description”=”Loads files to memory for faster printing.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srservice]


“Description”=”System Restore BloatWare ™. Just say no.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule]


“Description”=”Start programs at specified times.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SSDPSRV]


“Description”=”An often unused discovery protocol that has yet to catch on.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TermService]


“Description”=”Used mainly to allow for fast user switching.”


“Start”=dword:00000004



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Themes]


“Description”=”Applies visual styles to the user interface via ComCtl32.dll.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TrkWks]


“Description”=”Updates the location of links that are moved on NTFS volumes.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\upnphost]


“Description”=”Essentially a networkable phiên bản of Plug and Play that never really caught on.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UPS]


“Description”=”Uninterruptible Power Supply service Manager.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time]


“Description”=”Allows the local computer to synchronize its clock with an Internet Time Server”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WebClient]


“Description”=”Enables Windows-based programs to create, access, and modify non-local files across the Internet.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\winmgmt]


“Description”=”Similiar to Simple Network Management Protocol (SNMP) and Desktop Management Interface (DMI).”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmdmPmSp]


“Description”=”Allows your portable music player to be tracked by serial number.”


“Start”=dword:00000003



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Wmi]


“Description”=”Essentially an XML encoder for representing network services.”


“Start”=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wuauserv]


“Description”=”Allows you to use the WindowsUpdate website.”


“Start”=dword:00000002



Ngoài ra các bạn có thể tham khảo thêm về các thủ thuật về Registry chủ yếu là công dụng của từng key có rất nhiều trên


các website bài viết này tui chỉ giới thiệu một vài key cần thiết và làm cách nào để can thiệp vào Registry mà thôi công chuyện tìm công năng của từng key các bạn hãy tự tìm (ví dụ như tắt Firewall, Tắt chương trình thông báo của Microsoft, tắt các chương trình Antivirus …)



Thân chào




các bạn có thể tham khảo các Key tại địa chỉ:




Code: Copyright © 2008 HVAOnline.net

thông báo không biết chắc thì đừng có đụng vào, coi chừng mất luôn những gì đang có>> cài lại windows có ngày

kisimaquai2001 thông báo không biết chắc thì đừng có đụng vào, coi chừng mất luôn những gì đang có>> cài lại windows có ngày bạn nói thế nghĩa là sao vậy? mình không hiểu

Bạn ơi cho mình hỏi . Cú pháp để add 1 Registry key vào như thế nào vậy .


Thank trước nha!!!

Bác nào muốn cài lại windows cứ liên lạc với tớ nhé