注册表与木马(一)——注册表读写

　木马是什么?

　　　　木马(网络程序) = 客户端程序(控制端) + 服务端(被控端)

　　　　服务端程序开启远程后门

　　　　客户端使用Telnet进行远程控制

　　　　服务端程序需要在每次电脑开机时运行，这就需要在注册表中添加开机启动。

  　注册表：

               木马的自启动，在Windows启动时，自动加载。

　　　   注册表编辑器 :  RegEdit (一个有关Windows的巨大的数据库)

         

　　　 

    　　

　　　　有关注册表关于开机启动的键值可以自行百度。(除了最基础的3种，其实expleror.exe这个进程所在的键值也是病毒木马经常用来实现自启动的位置)

　　　　

　　接下来是Windows关于注册表读写的方法

　　　　　　注册表内部结构：

　　　　　　　　　　Key -> subkey -> value -> 名称，类型，数据

　　　　　　读写函数：

　　　　　　　　　RegCreateKey()           |      RegCreateKeyEx()

　　　　　　　　　RegOpenKey() 　　　|　  RegOpenKeyEx()

　　　　　　　　　RegQueryValue() 　　|  　RegQueryValueEx()

　　　　　　　　　RegDeleteKey()　　   |   　RegDeleteKeyEx()

　　　　　　　　　RegCloseKey() 　　   |

　　　                                     　　　　　　　　　（分为新旧两种）

 　　

　　 读取实例  读取CPU信息 ：

#include<stdio.h>
#include<windows.h>
#include<iostream>
#include <tchar.h>
using namespace std ;

int main(){
    HKEY hkey ;
    TCHAR p[64] ;
    long ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE,_T("HARDWARE\DESCRIPTION\System\CentralProcessor\0"),0,KEY_QUERY_VALUE,&hkey) ;
    if(ret==ERROR_SUCCESS){
        // 打开成功
        cout << "Open  !" << endl ;
        DWORD size = sizeof(p) ;
        ret = RegQueryValueEx(hkey,_T("ProcessorNameString"),NULL,NULL,(LPBYTE)p,&size);
        if(ret==ERROR_SUCCESS){
            // 读取成功
            cout << "Read  !" << endl ;
            cout << p << endl;
        }else {
            cout << "Read error !" << endl ;
        }
    }else {
        cout << "Open error !" << endl ;
    }
    return 0 ;
}

　　运行结果：

 

　　　　

　 写入实例  ：

　　接上CPU信息读取方法，在同一 subkey 下写入键值 hello :  helloRegedit 

　　代码如下：

#include<stdio.h>
#include<windows.h>
#include<iostream>
#include <tchar.h>
using namespace std ;

int main(){
    HKEY hkey ;
    TCHAR p[64] ;
    long ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE,_T("HARDWARE\DESCRIPTION\System\CentralProcessor\0"),0,KEY_QUERY_VALUE,&hkey) ;
    if(ret==ERROR_SUCCESS){
        // 打开成功
        cout << "Open  !" << endl ;
        DWORD size = sizeof(p) ;
        ret = RegQueryValueEx(hkey,_T("ProcessorNameString"),NULL,NULL,(LPBYTE)p,&size);
        if(ret==ERROR_SUCCESS){
            // 读取成功
            cout << "Read  !" << endl ;
            cout << p << endl;
            ret = RegCreateKey(HKEY_LOCAL_MACHINE,_T("HARDWARE\DESCRIPTION\System\CentralProcessor\0"),&hkey);
            if(ret==ERROR_SUCCESS){
                ret = RegSetValueEx(hkey,_T("hello"),0,REG_SZ,(const BYTE*)("helloRegedit"),12);
                if(ret==ERROR_SUCCESS){
                    // 写入成功
                    cout << "Write Ok !"
                }else {
                    // 写入失败
                    cout << "Write filed !"
                }
            }
        }else {
            cout << "Read error !" << endl ;
        }
    }else {
        cout << "Open error !" << endl ;
    }
    return 0 ;
}

运行结果：

 

 可以发现已经写入了注册表中，利用注册表的读写，可以使木马的自启动，隐藏用户等操作很容易实现