Windows注册表的学习

什么是注册表

注册表是Windows在Win95/98系统开始引入的一种核心数据库,里面存放着各类的配置信息、参数等、直接控制着系统的启动、硬件的装载以及Winodws程序的运行

手册表的功能

记录用户安装在计算机上的软件和每个程序的相关信息,通过他可以控制硬件、软件、用户环境和操作系统界面的数据信息文件.

注册表的结构

快捷键regedit可以打开注册表,查看详细的结构

不同机器注册表结构
win7

win10

win08

可以看到大部分机器的注册表的根键是差不多的.

简单结构

根键:被称为HKEYxxxxxx,某一项的句柄项:附加文件夹和一个或多个值

子项:在某一个项(父项)下面出现的项(子项)

项值:带有一个名称和一个值的有序值，每个项都可包括任何数量的值项，值项由三个部分组成：名称、数据类型和数据

1.名称:不包括反斜线的字符、数字、代表符和空格的任意组合。同一键中不可有相同的名称

2.数据类型：包括字符串、二进制和双字节等

3.数据：值项的具体值，它的大小可以占用64KB

总体结构分析

注册表包括以下5个根键

HKEY_CLASSES_ROOT

该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系

驱动程序名,DDE和OLE信息,类ID,编号和应用程序与文档的图标等.

HKEY_CURRENT_USER

该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等

HKEY_LOCAL_MACHINE

该根键包括本地计算机的系统信息,包括硬件和操作系统信息。

安全数据和计算机专用的各类软件设置信息

HKEY_USERS

该根键包括计算机的所有用户使用的配置数据(是所有用户哦)

这些数据只有在用户登录系统时才能访问.

这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体

HKEY_CURRENT_CONFIG

该根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的

注册表中的结构详解

HKEY_CLASSES_ROOT

以AVIFILE这个项来举例

CLSID:分类标识,系统可以用这个类标识来识别相同类型的文件

Compressors:它下面有两个子项：auds:用于设置音频数据压缩程序的类标识；vids:用于设置视频数据压缩程序的类标识

RIFFHandlers:在它的下面有两个类标识：AVI：用于设置AVI文件的类标识；WAVE：用于设置WAVE文件的类标识

Shellex:包括了视频文件的外壳扩展

HKEY_CURRENT_USER

此根键中保存当前用户的子项信息

HKEY_LOCAL_MACHINE

此根键中存放的是用来控制系统和软件的设置，由于这些设置是针对那些使用Windows系统的用户而设置的，是一个公共配置信息，所以它与具体的用户没多大关系。

HARDWARE:有四个子项

    1. ACPI:存放高级电源管理接口数据

    2. DEVICEMAP: 用于存放设备映射

    3. DEscriptION: 存放有关系统信息

    4. RESOURCEMAP: 用于存放资源列表

SAM子项:跟系统的存储密码有关

SECURITY子项:该子项只是为将来的高级功能而预留的

SOFTWARE子项:该子项中保留的是所有已安装的32位应用程序的信息，各个程序的控制信息分别安装在相应的子项中，由于不同的计算机安装的应用程序互不相同，因此这个子项下面的子项信息也不完全一样。

SYSTEM子项:该子项是启动时所需的信息和修复系统时所需要的信息

另外说明一点:我们转储hash时候导出的注册表就是在这个根键里面的(请参考亮神的文章)

HKEY_USERS

此根键中保存的是默认用户（default)，当前登录用户和软件（software) 的信息.

其中DEFAULT子项是其中最重要的，它的配置是针对未来将会被创建的新用户的。

新用户根据默认用户的配置信息来生成自己的配置文件，该配置文件包括环境、屏幕和声音等多种信息

没有什么好讲的

HKEY_CURRENT_CONFIG

此根键存放的是当前配置的文件信息.

总结

注册表看似是五个分支(五个根键),其实不然,其实就是HKEY_LOCAL_MACHINE、HKEY_USERS这两个才是真正的注册表键,其它都是从某个分支映射出来的,相当于快捷方式或是别名.

注册表的基本操作

常用操作

创建项和项值

更新项值的数据

删除项、子项或值项

查找项、值项或数据

基本数据类型

二进制值（reg_binary）:多数硬件信息以二进制数据存储，而以十六进制格式显示在注册表编辑器中

字符串值（reg_sz）:包括字符串的注册表键，使用字符串数据类型

双字节值（reg_dword）:是32位信息常显示成4个字节。它在出错控制功能上用处极大，其数据一般以十六进制格式显示在注册表编辑器中。

多字符串值(reg_multi_sz):允许将一系列项目作为单独的一个值使用。对于多种网络协议、多个项目、设备列表以及其他类似的列表项目来说，可以使用多字符串值可扩充字符串值（reg_expand_sz）：代表一个可扩展的字符串

操作实战

向"HKEY_CURRENT_USER"下创建一个子键"Mikasa",向该子键中添加名为"Mikasa",类型为"REG_ZS",数据为"QAQ"

reg add HKCU\Mikasa /v Mikasa /t REG_SZ /d "QAQ"

参数解释:/v 值 /t 类型 /d 数据

修改注册表中的值

reg add "HKCU\Mikasa" /f /v Saber /t REG_SZ /d "test"

同理的我们可以修改支持远程桌面连接

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /f /v fDenyTSConnections /t REG_DWORD /d 0

修改支持远程桌面
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

查询一下
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

查询注册表的值

reg query HKLM\xxx /v xxx /v指定值查询,例如查询我们插入的值

reg query HKCU\Mikasa /v Mikasa

导入/导出注册表

reg import c:\test.reg  //导入

reg export HKCU\Mikasa c:\test1.reg  //导出注册表

上述都是需要管理员权限的,不然会发生错误

删除注册表中的某一项

reg delete HKCU\Mikasa /v Mikasa /f

删除成功

渗透中常用的注册表操作

reg add "hklm\system\currentcontrolset\control\terminal server" /f /v fDenyTSConnections /t REG_DWORD /d 0

启动远程桌面

netsh firewall set service remoteadmin enable

netsh firewall set service remotedesktop enable

配置防火墙

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

查看RDP远程连接的端口

reg add "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters" /f /v RequireSecuritySignature /t REG_DWORD /d 0

开启hash传递

亮神的注册表导出数据库,本地破解hash

reg save HKLM\SYSTEM sys.hiv

reg save HKLM\SAM sam.hiv

reg save HKLM\security security.hiv

有师傅总结的关于可能保存密码的注册表键

HKCU\Software\ORL\WinVNC3\Password

HKCU\Software\SimonTatham\PuTTY\Sessions

HKLM\SYSTEM\Current\ControlSet\Services\SNMP

HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions

HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon

也可以用注册表语句检索

reg query HKLM /f password /t REG_SZ /s

reg query HKCU /f password /t REG_SZ /s

参考资料

http://ittxx.cn/view/139
http://t3ngyu.leanote.com/post/Windows-Reg