第三篇網(wǎng)絡(luò)安全理論與技術(shù)實(shí)驗(yàn)篇第十章網(wǎng)絡(luò)安全編程實(shí)驗(yàn)10.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程110.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康模罕敬螌?shí)驗(yàn)主要通過(guò)編程實(shí)現(xiàn)注冊(cè)表子鍵的創(chuàng)建、刪除，以及子鍵鍵值查詢(xún)和修改功能，加深對(duì)注冊(cè)表的理解。同時(shí)了解注冊(cè)表在微軟系統(tǒng)安全方面的作用，深入分析注冊(cè)表部分關(guān)鍵鍵值的功能（如系統(tǒng)啟動(dòng)項(xiàng)，文件關(guān)聯(lián)等注冊(cè)表鍵值）。深刻理解在注冊(cè)表安全防護(hù)方面的實(shí)現(xiàn)原理后，設(shè)計(jì)注冊(cè)表安全防護(hù)工具，利用VS編程實(shí)現(xiàn)。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程210.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)要點(diǎn)說(shuō)明：（實(shí)驗(yàn)難點(diǎn)說(shuō)明）VS的下載及安裝理解注冊(cè)表編程實(shí)現(xiàn)原理編程實(shí)現(xiàn)注冊(cè)表各安全防護(hù)功能網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程310.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)準(zhǔn)備：（實(shí)驗(yàn)環(huán)境，實(shí)驗(yàn)先有知識(shí)技術(shù)說(shuō)明）操作系統(tǒng)Windows7及以上VS2010及以上開(kāi)發(fā)環(huán)境網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程410.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)原理：在網(wǎng)絡(luò)中，病毒、木馬、后門(mén)以及黑客程序嚴(yán)重影響著信息的安全。這些程序感染微軟系統(tǒng)計(jì)算機(jī)都是通過(guò)在注冊(cè)表中寫(xiě)入信息，從而達(dá)到自動(dòng)運(yùn)行病毒程序、破壞系統(tǒng)和傳播等目的。注冊(cè)表是MicrosoftWindows中的一個(gè)重要的數(shù)據(jù)庫(kù)，用于存儲(chǔ)系統(tǒng)和應(yīng)用程序的設(shè)置信息。在Windows的注冊(cè)表中，所有的數(shù)據(jù)都是通過(guò)一種樹(shù)狀結(jié)構(gòu)以鍵和子鍵的方式組織起來(lái),就象磁盤(pán)文件系統(tǒng)的目錄結(jié)構(gòu)一樣。每個(gè)鍵都包含了一組特定的信息，每個(gè)鍵的鍵名都是和它所包含的信息相關(guān)聯(lián)的。注冊(cè)表的根鍵共有6個(gè)，這些根鍵都是大寫(xiě)的，并以HKEY為前綴。(1)HKEY_CLASSES_ROOT管理文件系統(tǒng)，根據(jù)在Windows中安裝的應(yīng)用程序的擴(kuò)展名，該根鍵指明其文件類(lèi)型的名稱(chēng)，相應(yīng)打開(kāi)該文件所要調(diào)用的程序等信息。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程510.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)原理：(2)HKEY_CURRENT_USER管理系統(tǒng)當(dāng)前的用戶(hù)信息，在這個(gè)根鍵中保存了本地計(jì)算機(jī)中存放的當(dāng)前登錄的用戶(hù)信息，包括用戶(hù)登錄用戶(hù)名和暫存的密碼，在用戶(hù)登錄Windows時(shí)，其信息從HKEY_USERS中相應(yīng)的項(xiàng)拷貝到HKEY_CURRENT_USER中。(3)HKEY_LOCAL_MACHINE該根鍵存放本地計(jì)算機(jī)硬件數(shù)據(jù)，管理當(dāng)前系統(tǒng)硬件配置，此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中，用來(lái)提供HKEY_LOCAL_MACHINE所需的信息。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程610.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)原理：(4)HKEY_USERS管理系統(tǒng)的用戶(hù)信息，在這個(gè)根鍵中保存了存放在本地計(jì)算機(jī)口令列表中的用戶(hù)標(biāo)識(shí)和密碼列表，同時(shí)每個(gè)用戶(hù)的預(yù)配置信息都存儲(chǔ)在HKEY_USERS根鍵中，HKEY_USERS是遠(yuǎn)程計(jì)算機(jī)中訪問(wèn)的根鍵之一。(5)HKEY_CURRENT_CONFIG管理當(dāng)前用戶(hù)的系統(tǒng)配置，在這個(gè)根鍵中保存著定義當(dāng)前用戶(hù)桌面配置(如顯示器等等)的數(shù)據(jù)，該用戶(hù)使用過(guò)的文檔列表，應(yīng)用程序配置和其他有關(guān)當(dāng)前用戶(hù)的安裝信息。(6)HKEY_DYN_DATA管理系統(tǒng)運(yùn)行數(shù)據(jù)，在這個(gè)根鍵中保存了系統(tǒng)在運(yùn)行時(shí)的動(dòng)態(tài)數(shù)據(jù)，此數(shù)據(jù)在每次顯示時(shí)都是變化的，因此，此根鍵下的信息沒(méi)有放在注冊(cè)表中。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程710.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)原理：以上是注冊(cè)表樹(shù)最頂層的6個(gè)分支所分別代表的含義，可以由用戶(hù)有針對(duì)性的對(duì)其進(jìn)行修改、編輯等操作，但也可能受到來(lái)自網(wǎng)絡(luò)的惡意攻擊。因此，注冊(cè)表安全就是防止非授權(quán)用戶(hù)訪問(wèn)注冊(cè)表敏感鍵值和注冊(cè)表本身。而惡意程序?yàn)閷?shí)現(xiàn)自動(dòng)運(yùn)行、破壞系統(tǒng)和傳播的目的，往往對(duì)如下子鍵或鍵值感興趣，是我們防護(hù)的主要對(duì)象。具體分析如下：(1)系統(tǒng)啟動(dòng)項(xiàng)Windows操作系統(tǒng)的系統(tǒng)啟動(dòng)項(xiàng)是在注冊(cè)表中設(shè)置的，惡意程序往往會(huì)修改系統(tǒng)啟動(dòng)項(xiàng)的鍵值，達(dá)到自我運(yùn)行的目的。在注冊(cè)表中常見(jiàn)的自啟動(dòng)位置如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的Run、RunOnce、RunOnceEx、RunServices和RunServicesOnce；網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程810.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)原理：在這些注冊(cè)表位置下，如果添加一新鍵值，并指定運(yùn)行的程序，那么只要操作系統(tǒng)啟動(dòng)，該程序自動(dòng)啟動(dòng)。(2)文件關(guān)聯(lián)文件關(guān)聯(lián)是將一種類(lèi)型的文件與一個(gè)可以打開(kāi)它的程序建立起一種依存關(guān)系。當(dāng)用戶(hù)雙擊該類(lèi)型文件時(shí)，系統(tǒng)就會(huì)先啟動(dòng)這一應(yīng)用程序，再用它來(lái)打開(kāi)該類(lèi)型文件。文件關(guān)聯(lián)也是很多流行病毒、木馬經(jīng)常利用的隱藏和自動(dòng)運(yùn)行的手段?？赡鼙徊《拘薷挠糜趩?dòng)病毒的，比較常見(jiàn)的是.exe關(guān)聯(lián)方式被破壞，其他的文件關(guān)聯(lián)也有可能被病毒利用。對(duì)應(yīng)的注冊(cè)表項(xiàng)主要有如下幾項(xiàng)：HKEY_CLASSES_ROOT\exefile\shell\open\command；HKEY_CLASSES_ROOT\comfile\shell\open\command；HKEY_CLASSES_ROOT\txtfile\shell\open\command；HKEY_CLASSES_ROOT\batfile\shell\open\command；HKEY_CLASSES_ROOT\inifile\shell\open\command。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程910.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn)打開(kāi)注冊(cè)表進(jìn)行增刪查改操作時(shí)，首先需要打開(kāi)注冊(cè)表的句柄。注冊(cè)表的句柄可以由調(diào)用RegOpenKeyEx()和RegCreateKeyEx()函數(shù)得到的；注冊(cè)表鍵值的查詢(xún)可以通過(guò)函數(shù)RegQueryValueEx()來(lái)實(shí)現(xiàn)；注冊(cè)表鍵值的增加和修改可以通過(guò)函數(shù)RegSetValueEx()來(lái)實(shí)現(xiàn)；注冊(cè)表鍵值的刪除可以通過(guò)RegDeleteValue()來(lái)實(shí)現(xiàn)。(1)創(chuàng)建注冊(cè)表鍵值創(chuàng)建一個(gè)注冊(cè)表鍵值，我們首先需要打開(kāi)或創(chuàng)建子鍵，接著在該子鍵下面創(chuàng)建鍵值，下面以創(chuàng)建子鍵并創(chuàng)建鍵值為例，其適用于控制臺(tái)應(yīng)用程序的代碼示例如下：網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1010.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn)#include<stdio.h>#include<windows.h>main(){ HKEYhKey1; DWORDdwDisposition; LONGlRetCode; //創(chuàng)建

lRetCode=RegCreateKeyEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\IniFileMapping\\WebSecurity",0,NULL,REG_OPTION_NON_VOLATILE,KEY_WRITE,NULL,&hKey1,&dwDisposition);網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1110.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn) //如果創(chuàng)建失敗，顯示出錯(cuò)信息

if(lRetCode!=ERROR_SUCCESS){ printf("ErrorincreatingWebSecuritykey\n"); return(0); } //創(chuàng)建第一個(gè)鍵值

lRetCode=RegSetValueEx(hKey1,"Hack_Name", 0,REG_SZ,(byte*)"sixage",100); //創(chuàng)建第二個(gè)鍵值

lRetCode=RegSetValueEx(hKey1,"Hack_Hobby",0,REG_SZ,(byte*)"Running",100);網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1210.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn) //如果創(chuàng)建失敗，顯示出錯(cuò)信息

if(lRetCode!=ERROR_SUCCESS){ printf("ErrorinsettingSection1value\n"); return(0); } printf("注冊(cè)表編寫(xiě)成功！\n"); return(0);}程序運(yùn)行完后，如圖10-2-1所示，結(jié)果是在如下所示的注冊(cè)表目錄中：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\WebSecurity創(chuàng)建2個(gè)鍵值Hack_Hobby和Hack_Name，關(guān)鍵代碼已經(jīng)用加黑標(biāo)出。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1310.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn)(2)查詢(xún)注冊(cè)表鍵值在安全防護(hù)軟件中，檢查鍵值是否被修改是一項(xiàng)常規(guī)功能。例如：中了“冰河”木馬的計(jì)算機(jī)注冊(cè)表都將被修改了擴(kuò)展名為txt的文件的打開(kāi)方式，在注冊(cè)表中txt文件的打開(kāi)方式定義在HKEY_CLASSES_ROOT主鍵下的“txtfile\shell\open\command”中，如圖10-2-2所示，圖中的鍵名為：NULL，該正常的值為“%systemroot%\\system32\\notepad.exe%1”。我們可以通過(guò)，打開(kāi)該鍵值，查詢(xún)其內(nèi)容是否和正常值一致來(lái)判別是否中了“冰河”木馬。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1410.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn)

下面以控制臺(tái)下的運(yùn)行的程序?yàn)槔?，打開(kāi)關(guān)聯(lián)的注冊(cè)表鍵值，查詢(xún)鍵值的內(nèi)容是否和正常一樣，一樣則認(rèn)為沒(méi)有中毒，不一樣則認(rèn)為有毒。具體的程序代碼如下，關(guān)鍵代碼已經(jīng)用加黑標(biāo)出。#include<stdio.h>#include<windows.h>main(){HKEYhKEY;LPCTSTRdata_Set="txtfile\\shell\\open\\command";longret0=(RegOpenKeyEx(HKEY_CLASSES_ROOT,data_Set,0,KEY_READ,&hKEY));if(ret0!=ERROR_SUCCESS)//如果無(wú)法打開(kāi)hKEY，則終止程序的執(zhí)行{ return0; }網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1510.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn)//查詢(xún)有關(guān)的數(shù)據(jù) LPBYTEowner_Get=newBYTE[80]; DWORDtype_1=REG_EXPAND_SZ; DWORDcbData_1=80; longret1=RegQueryValueEx(hKEY,NULL,NULL,&type_1,owner_Get,&cbData_1); if(ret1!=ERROR_SUCCESS) { return0; }

網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1610.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：1）注冊(cè)表鍵值增刪查改編程實(shí)現(xiàn) if(strcmp((constchar*)owner_Get,"%systemroot%\\system32\\notepad.exe%1")==0) { printf("沒(méi)有中冰河"); } else { printf("可能中了冰河"); } printf("\n");}

網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1710.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：2）利用MFC實(shí)現(xiàn)可視化增刪改注冊(cè)表(1)建立工程，設(shè)計(jì)界面先建立一個(gè)基于對(duì)話框的工程C**RegSEC，建立成功后，設(shè)計(jì)好注冊(cè)表編輯界面。如圖10-2-3所示，設(shè)計(jì)好后，分別給各個(gè)控件填上恰當(dāng)?shù)拿只蛘逫D。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程18(2)為控件添加變量完成上述內(nèi)容后，右鍵選擇類(lèi)向?qū)?，添加成員變量，如圖10-2-4所示。(3)實(shí)現(xiàn)創(chuàng)建注冊(cè)表鍵值功能添加好成員變量后，回到設(shè)計(jì)界面。雙擊創(chuàng)建按鈕，進(jìn)入代碼編輯段，完成創(chuàng)建鍵值的功能。在CJiaocaiRegSecDlg：：OnBnClickedButton1()函數(shù)中，添加如下代碼：10.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：2）利用MFC實(shí)現(xiàn)可視化增刪改注冊(cè)表VoidCJiaocaiRegSecDlg：：OnBnClickedButton1(){ UpdateData(); HKEYhKey1; DWORDdwDisposition; LONGlRetCode; CStringtemp; unsignedchar*value_1=(unsignedchar*)(LPCTSTR)m_firstvalue; unsignedchar*value_2=(unsignedchar*)(LPCTSTR)m_secondvalue; lRetCode=RegCreateKeyEx(HKEY_USERS,".DEFAULT\\WebSecurity",0,NULL,REG_OPTION_NON_VOLATILE,KEY_WRITE,NULL,&hKey1,&dwDisposition);網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程1910.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：2）利用MFC實(shí)現(xiàn)可視化增刪改注冊(cè)表 if(lRetCode!=ERROR_SUCCESS){ temp="ErrorincreatingWebsecuritykey\n"; m_ifsuccess.AddString(temp); } lRetCode=RegSetValueEx(hKey1,m_firstname,0,REG_SZ,(byte*)value_1,100); lRetCode=RegSetValueEx(hKey1,m_secondname,0,REG_SZ,(byte*)value_2,100); if(lRetCode!=ERROR_SUCCESS){ temp="ErrorinsettingSection1value\n"; m_ifsuccess.AddString(temp); } temp="注冊(cè)表編寫(xiě)成功"; m_ifsuccess.AddString(temp);}網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程2010.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：2）利用MFC實(shí)現(xiàn)可視化增刪改注冊(cè)表值得說(shuō)明的是，當(dāng)注冊(cè)表中存在m_firstname，m_secondname值時(shí)，RegSetValueEx()即可以實(shí)現(xiàn)修改功能。刪除注冊(cè)表鍵值功能只要調(diào)用刪除注冊(cè)表鍵值函數(shù)RegDDeleteValue()即可，這里不做贅述。網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程21(4)編譯程序編譯程序，可能出現(xiàn)錯(cuò)誤點(diǎn)：constchar類(lèi)型的實(shí)參與LPCWSTR類(lèi)型的形參不兼容，如圖10-2-5所示，解決方法是選擇項(xiàng)目——>屬性——>常規(guī)——>字符集下將Unicode字符集改為使用多字節(jié)字符集即可解決，如圖10-2-6所示。10.2注冊(cè)表安全防護(hù)編程實(shí)驗(yàn)實(shí)驗(yàn)步驟：2）利用MFC實(shí)現(xiàn)可視化增刪改注冊(cè)表網(wǎng)絡(luò)空間安全技術(shù)實(shí)踐教程22(5)運(yùn)行程序點(diǎn)擊運(yùn)行，出行程序窗口界面，如圖10-2-7所示。輸入鍵名和鍵值，點(diǎn)擊創(chuàng)建后，會(huì)在注冊(cè)表目錄下生成子鍵WebSecurity，里面包含兩個(gè)鍵值，如圖10-2-8所示。10.2注冊(cè)表