反修改注册表
作者:绝地苍狼
Http://www.20cn.net/
最近为了出题目找资料,很多同事误访问了一些带有陷阱的主页,该类主页含有一些恶意的JS代码,能够修改注册表信息,如:修改IE标题、更换且锁定默认打开主页、锁定注册表编辑、自动打开一些不良主页、登录WINDOWS之前弹出警告框等等。为了方便说明问题,我手动修改了一些注册表信息,且附有截图。(注:主页http://www.20cn.net 专门研究和交流网络安全技术的网站,不含任何恶意JS代码,仅作为例子说明)
1、 登录WINDOWS之前弹出警告框,如下图:
“确定”后才出现WINDOWS登录对话框。
解决办法:开始——>运行,在打开框中输入regedit进入注册表编辑器。
依次打开以下主键:
右框中有两个“字符串值”
,删除重启即可。如下图:
2、 常进入WINDOWS桌面后自动打开一些不良主页。
解决办法:同上进入注册表编辑器,依次打开以下主键
右框中有一个“字符串值” 
,删除重启即可。如下图:
3、 修改IE标题,如下图:
解决办法:依次打开以下主键
右框中有一个“字符串值” 
,删除重启即可。如下图:
4、 更换且锁定默认打开主页
解决办法:依次打开以下主键
右框中有一个“字符串值” 
,删除重启即可。如下图:
5、 如果对方把注册表禁止了,嘿嘿,以上的步骤均无法操作。你运行regedit则出现如下警告:
在主键
下有一个“二进制值” 
,默认为0,改成1后注册表编辑就被禁止了,且立即生效。如下图:
解决办法:从其他正常主机导出该主键的注册表信息,共享(COPY)给被禁主机,双击导入即可。或者用本附件中的一个工具文件CRE.exe
导出注册表信息:选中要导出的主键,如:
将光标选中“System”,然后打开“注册表(R)”下拉菜单,选择“导出注册表文件(E)”默认导出“选择的分支”,当然也可以把注册表全部导出,不过太费时间。
强烈建议:对注册表作修改之前,一定要导出相应的分支,以防误修改而导致主机运行错误或瘫痪!