¿Por qué mi 360 no tiene herramientas para adelgazar el registro y defensa contra piratas informáticos?
¿Qué es el registro? En los días en que todavía se usaban los sistemas operativos Dos y Win3.x, la mayoría de las aplicaciones usaban archivos ini (archivos de inicialización) para guardar cierta información de configuración, como rutas de configuración, variables de entorno, etc. System.ini y win.ini controlan las características y los métodos de acceso de todas las ventanas y aplicaciones, y funcionan bien en entornos con unos pocos usuarios y unas pocas aplicaciones. A medida que aumenta el número y la complejidad de las aplicaciones, también aumenta la necesidad. archivo ini. De esta manera, en un entorno en constante cambio, todos cambiarán después de instalar la aplicación en el sistema. archivo ini. Sin embargo, casi nadie lo borra. ini, por lo que los dos archivos system.ini y win.ini serán cada vez más grandes. El rendimiento del sistema se vuelve cada vez más lento cada vez que agrega contenido. Un problema similar ocurre cada vez que se actualiza la aplicación: se agregan más elementos de parámetros después de la actualización, pero la configuración de parámetros anterior nunca se elimina. Hay otro problema obvio. el tamaño máximo. El archivo ini es de 64 KB. Para resolver este problema, los proveedores de software comenzaron a respaldar los suyos propios. ini y luego apunta a un archivo ini específico, por lo que hay varios. Los archivos ini afectan la configuración del nivel de acceso normal del sistema.
En la secuencia del sistema operativo Windows, los dos archivos system.ini y win.ini contienen todas las funciones de control e información de las aplicaciones del sistema operativo. system.ini administra el hardware de la computadora y win.ini administra escritorios y aplicaciones. Todos los controladores, fuentes, configuraciones y parámetros se guardarán en formato . Cualquier procedimiento nuevo será documentado. archivo ini. Se hará referencia a estos registros en el código del programa. Debido al límite de tamaño de archivo de win. INI y system.ini, los programadores añaden asistencia. archivos ini para controlar más aplicaciones. Por ejemplo, Microsoft Word tiene un archivo Word.ini, que contiene opciones, configuraciones, parámetros predeterminados y otra información relacionada con el funcionamiento normal de Word. En system.ini y win.ini, simplemente indique la ruta y el nombre del archivo de word.ini.
Para resolver problemas relacionados, Microsoft lanzó oficialmente WIN95 en 1995, reemplazando a WIN3. x sistema operativo. Hasta cierto punto, la aparición de WIN95 es un producto que hace época, porque Windows95 utiliza el "registro" por primera vez para configurar y administrar muchos hardware plug-and-play o necesarios, así como programas de software llamados temporalmente o residentes permanentemente. . Esto convierte a Windows95 en un verdadero sistema operativo de 32 bits, equipado con las cinco funciones básicas de un sistema operativo de microcomputadora. Esto también pone el registro a la vista de todos por primera vez.
El registro se diseñó originalmente como un archivo de datos relacionado con los archivos de referencia de una aplicación y, finalmente, se amplió para incluir todas las funciones de los sistemas operativos y aplicaciones de 32 bits. El registro es un conjunto de archivos que controlan la apariencia del sistema operativo y cómo responde a eventos externos. Estos "eventos" van desde el acceso directo al dispositivo de hardware hasta cómo responde la interfaz a un usuario específico y cómo se comporta la aplicación. Por su finalidad y naturaleza, el registro resulta muy complejo. Está diseñado específicamente para aplicaciones de 32 bits y tiene un límite de tamaño de archivo de alrededor de 40 MB. Utilice una poderosa base de datos de registro para administrar centralmente las instalaciones de hardware del sistema, la configuración del software y otra información para facilitar la administración y mejorar la estabilidad del sistema.
Por lo tanto, el registro es la "base de datos" central para el funcionamiento normal y el almacenamiento de configuraciones de dispositivos de hardware y aplicaciones cliente en sistemas operativos Windows 95 y superiores. También se puede decir que es un sistema de base de datos jerárquico en forma de árbol muy grande. Registra el software y cada información relacionada con el programa instalado por el usuario en la máquina; incluye la configuración del hardware de la computadora, incluidos los dispositivos plug-and-play configurados automáticamente, varias descripciones de dispositivos existentes, atributos de estado y diversa información y datos de estado.
Bien, ahora que hemos terminado de hablar sobre el registro y su desarrollo, veamos sus funciones. Uno de los beneficios del registro es la capacidad de agregar o eliminar programas, que forma parte de la funcionalidad del Panel de control en el menú Inicio.
Cuando instala software, crea un registro en el registro para que aparezca como parte de una lista especial en Agregar o quitar programas. El registro se almacena en varios archivos en su disco duro, pero la única forma de acceder a ellos y modificarlos es utilizar el programa Editor del Registro. Para acceder a él, haga clic en el botón Inicio y luego haga clic en Ejecutar. Escriba regedit en el cuadro de diálogo que aparece y presione Entrar. Esto lo llevará al Editor del Registro y verá el registro ahora.
El registro está organizado más como archivos en un disco. Si alguna vez ha utilizado la Vista de carpetas en el Explorador de Windows, estará familiarizado con ella. Sin embargo, en el registro, estas carpetas se denominan claves de registro. Para abrir una clave, simplemente haga clic en el pequeño signo más (+) al lado. Luego verá que cada clave contiene más claves, llamadas subclaves o valores. Los valores se refieren a configuraciones individuales para varias claves y, por lo tanto, se pueden personalizar. Están ordenados por nombre en el lado izquierdo de la ventana de registro y también describen los tipos de datos contenidos y los datos en sí. No importa qué tipo de datos se utilice, porque es obvio para los datos en sí; de lo contrario, se explicará al editar. Estos miles de claves están organizadas de forma lógica y el primer vistazo al registro puede confundirlo. Para aclarar las cosas, primero debemos saber que existen cinco claves raíz y la estructura básica del registro.
Lo que hay que mencionar aquí es que con el uso del tiempo y el impacto de una gran cantidad de basura generada por el sistema, el registro se hará cada vez más grande. Este no es un buen fenómeno, porque. cuanto más grande sea el registro, mayor será el impacto de su computadora y más lento se ejecutará. Entonces, cuando muchos amigos novatos preguntan por qué su computadora se está volviendo cada vez más lenta, a menudo es porque hay demasiada basura inútil en su registro, lo que hace que su sistema funcione cada vez más lento. Por lo tanto, a menudo "adelgazan" el registro. Por supuesto, muchos programas de terceros, como Super Rabbit, WINDOWS Optimizer y otros programas de limpieza del sistema, vienen con la función de limpiar la basura del registro. Se recomienda que los amigos novatos den el siguiente paso, optimicen a menudo su registro y sistema y estudien algunas de las configuraciones internas, lo que será de gran ayuda para la seguridad y el funcionamiento de la computadora.
Expliquemos uno por uno según la Figura 2:
En Windows NT/2000/XP, si lo abres con el editor que viene con Windows, solo podrás ver cinco, y hay una clave raíz oculta: HKEY_PERFORMANCE_DATA.
* HKEY _Class_Root
Registra el formato y la información relacionada de todos los archivos de datos en el sistema operativo Windows, registrando principalmente los sufijos de nombres de archivos de diferentes archivos y aplicaciones correspondientes, y sus sub- Los elementos se dividen en dos categorías: uno es la extensión del archivo registrado, estos subelementos tienen un "." delante de ellos; el otro es información sobre varios tipos de archivos.
*HKEY usuario actual
Esta clave raíz contiene la información del perfil de usuario del usuario que ha iniciado sesión actualmente, lo que garantiza que diferentes usuarios utilicen sus propias configuraciones modificadas al iniciar sesión en la computadora, como como ellos mismos Fondos de pantalla definidos, tu propia bandeja de entrada, tu propio acceso seguro.
* HKEY_LOCAL_MACHINE
Esta clave raíz contiene el halo de configuración actual de la computadora, incluidas las configuraciones de hardware y software instaladas. Esta información es utilizada por todos los usuarios al iniciar sesión en el sistema. ¡Esta es la clave raíz más grande e importante del registro!
* HKEY_User
La clave raíz del usuario HKEY incluye la información del usuario predeterminado (subclave predeterminada) y la información de todos los usuarios que iniciaron sesión anteriormente.
*Configuración actual de HKEY
Esta clave raíz es en realidad los mismos datos en la rama HKDY _ local _ machine/config/0001.
*Clave raíz HKEY_DYN_DATA
Esta clave guarda la configuración del sistema y la información de rendimiento actual creada cada vez que se inicia el sistema. Esta clave raíz sólo existe en Windows9X.
*Datos de rendimiento de HKEY
Aunque no hay ningún elemento HKEY_DYN_DAT en el registro de Windows NT/2000/XP, hay un elemento llamado "HKEY_Performance_Data" oculto. Toda la información dinámica del sistema se almacena en esta subclave y no es visible para el Editor del Registro que viene con el sistema. Sólo se pueden utilizar programas especiales para ver esta clave, como Performance Monitor.
Hablemos de modificaciones del registro.
Como recordatorio, si no está seguro, recuerde hacer una copia de seguridad del registro antes de modificarlo. Para modificar el registro, además de utilizar el editor regedit.exe de Microsoft, también puede modificarlo mediante software de terceros o escribirlo. Registre el archivo de registro manualmente. ¿Alguna vez has intentado escribir tu propio archivo de registro? ¿Sin ninguna modificación? Vuelva a escribir directamente el archivo de registro -. ¿Registrarse en el registro? Jaja, no todo el mundo necesita conocer esta habilidad, solo necesitas conocer las dos anteriores. Por supuesto, si eres un aficionado a la informática, somos partidarios del aprendizaje en profundidad.
Ahora veamos. Documento de registro.
El formato estándar. El archivo de registro es el siguiente:
Registro 4
[Ruta] (nota en caso)
"Nombre de clave" = "Valor de clave" (para cadena Clave valor)
"Nombre de clave"=Hex:Valor de clave (para valores de clave binaria)
"Nombre de clave"=DWORD:Valor de clave (para valores de clave DWORD)
El contenido entre corchetes son mis propios comentarios y esos corchetes no son necesarios al escribir el archivo. Todo lo demás enumerado anteriormente debe incluirse. Tenga en cuenta que las comillas no se pueden ingresar en chino y deben ingresarse en inglés; de lo contrario, se producirá un error.
Entonces, ¿cómo escribir un archivo .reg? Necesitamos un editor de texto, solo use el Bloc de notas de Windows. Haga clic con el botón derecho del mouse, seleccione un nuevo documento de texto e ingrese el contenido de las especificaciones anteriores en el archivo de texto generado. Finalmente seleccione Guardar como e ingrese el nombre del archivo que desea +. Regístrese para ahorrar. Por ejemplo, si desea generar test.reg, ingrese test.reg y guárdelo. Puedes ver que se ha generado un test.reg con un ícono. Haga doble clic para ejecutar este archivo test.reg y modifique el registro en consecuencia. El sistema le solicitará información como "¿Se debe importar el registro?" y confirmará. Bien, podemos escribir el registro manualmente. No se preocupe, veamos un ejemplo estándar, que se deriva del registro. Puedes aprender lentamente y escribir por ti mismo. El archivo reg imitado.
Registro 4
[HKEY_Usuario actual\Software\Microsoft\Windows\Versión actual\Policy\Explorer]
" NoRun"=dword :00000000
" NoRecentDocsMenu"=hex:01,00,00,00
" NoFavoritesMenu " = dword:00000000
"User" ="sundrink "
Como puede ver, dword es 16, hex es binario y las cadenas se pueden asignar directamente. Simplemente copie y guarde lo anterior en un documento de texto y guárdelo como. El archivo de registro que desea ejecutar. Jaja, no es tan difícil. Ser paciente. Por supuesto, si quieres imitar, debes escribir. Para registrar el archivo usted mismo, simplemente use el Bloc de notas.
Dime algunas palabras más, ¿por qué necesitas escribir el formulario de registro a mano? Porque a veces nos encontramos con una máquina que bloquea regedit, ¿qué debemos hacer para desbloquearla? Jaja, si puedes escribir a mano el archivo de registro, será muy sencillo... ¡usemos tu imaginación! No pasará mucho tiempo.
El método de modificación manual anterior es sólo para aquellos entusiastas de la informática. Generalmente, es mejor que los amigos novatos utilicen el método proporcionado por el software de terceros para modificarlo honestamente, lo cual es conveniente y se puede ver con claridad. Sin embargo, se recomienda hacer una copia de seguridad antes de realizar cualquier cambio. Bien, eso es todo por las modificaciones al registro. Hay muchos tutoriales similares en Internet, como aumentar la velocidad de la red y optimizar el rendimiento. Siempre puedes buscar en Google e informarte. De hecho, muchas cosas en la computadora las descubrí yo mismo. Sólo explorándose diligentemente podrá mejorar realmente sus habilidades informáticas. Sin más, continuemos.
Ahora hablamos de la seguridad del registro. A juzgar por la tendencia de desarrollo de los virus informáticos, cada vez hay más virus, como gusanos y caballos de Troya. A diferencia de los virus de archivos comunes que infectan archivos ejecutables, estos programas generalmente no infectan archivos normales del sistema, sino que se instalan como parte del sistema. En términos relativos, este tipo de virus está más oculto y es más difícil de descubrir para los usuarios. Pero no importa qué tipo de programa de virus infecte el sistema, dejará algunas pistas.
Aquí resumimos los posibles cambios de varios virus para que puedan ser encontrados más rápido.
Primero, cambie los archivos de configuración relevantes del sistema. Esta situación se aplica principalmente a los sistemas 95/98.
El virus puede cambiar autoexec.bat. Al agregar declaraciones que ejecutan el archivo del programa del virus, el virus puede activarse automáticamente cuando se inicia el sistema. *Cambiar unidad:\windows\win.ini o archivo system.ini. Los virus generalmente agregan el nombre del archivo del virus después de "run=" en win.ini, o cambian "shell=" en el archivo system.ini.
En segundo lugar, cambie el valor de la clave de registro.
En la actualidad, los nuevos gusanos/virus troyanos generalmente modifican el registro del sistema. Generalmente se modifican en los siguientes lugares:
HKLM\Software\Microsoft\Windows\Current Version\Run Once\
Descripción: Programa que se ejecuta automáticamente cuando se inicia el sistema.
HKLM\Software\Microsoft\Windows\Current Version\Running Services\
Descripción: un programa de servicio del sistema que se ejecuta automáticamente cuando se inicia el sistema.
HKLM\Software\Microsoft\Windows\Current Version\Run\
Descripción: Un programa que se ejecuta automáticamente cuando se inicia el sistema. Aquí es donde es más probable que se modifique o agregue el virus. Por ejemplo Win32. El virus Swen.B aumentará: hklm\software\Microsoft\Windows\current version\run\ucfzjza="cxsgrhcl.exe autorun".
HKEY_class_ROOT\exefile\shell\open\comando
Descripción: Este valor de clave permite que el virus se ejecute cuando el usuario ejecuta cualquier programa EXE, etc...\ txtfile\...o...\comfort file\... también se puede modificar para realizar la función de ejecución automática del virus.
Además, algunos valores clave se pueden utilizar para implementar funciones especiales:
Algunos virus impiden que los usuarios vean y modifiquen el registro modificando los siguientes valores clave:
HKCU \ Software\Microsoft\Windows\Current Version\Policies\
System\DisableRegistryTools=
Para evitar que los usuarios lo utilicen. reg, los siguientes valores clave también se modificarán para mostrar una ventana de error de acceso a la memoria.
Por ejemplo, Win32. El virus Swen.B cambiará el valor predeterminado a:
HKCR \ regfile \ shell \ open \ command \(default)="cxsgrhcl.exeshowerror "
Al modificar los lugares anteriores, El objetivo principal del programa antivirus es ejecutarse automáticamente cuando se inicia el sistema o el programa se está ejecutando, logrando el propósito de la activación automática.
Después de resumir los distintos troyanos y virus que pueden cambiar, hablemos de defensa. Por supuesto, antes de hablar de ello, todavía debemos seguir enfatizando la copia de seguridad del registro. Para ser honesto, para los cada vez más poderosos troyanos y virus, confiar en los métodos existentes está lejos de ser suficiente. Hacer una copia de seguridad de un registro "completamente limpio" es lo más importante. Hay muchos métodos de copia de seguridad disponibles en Internet, por lo que no entraré en detalles aquí, solo los buscaré en Google.
Riesgo de seguridad: en el sistema Windows 2000/XP, se inicia el servicio Messenger predeterminado y personas malintencionadas pueden enviar información a la computadora de destino mediante el comando "netsend". El ordenador objetivo recibirá mensajes acosadores de otros de vez en cuando, afectando gravemente a su uso normal.
Solución: Primero abra el Editor del Registro. Para los servicios del sistema, podemos administrarlos a través de las opciones en "Servicio de configuración de control actual del sistema HKEY_Local_Machine" en el registro, donde cada subclave es el "servicio" correspondiente en el sistema. Por ejemplo, el subelemento correspondiente al servicio "Messenger" es "Messenger". Sólo necesitamos encontrar el valor de la clave INICIO en Messenger y cambiarlo a 4.
De esta forma, el servicio queda desactivado y el usuario ya no será acosado por "cartas".
Riesgo de seguridad: Si un hacker se conecta a nuestro ordenador y se ha habilitado el servicio RemoteRegistry en el equipo, el hacker puede configurar de forma remota los servicios en el registro, por lo que el servicio de registro remoto requiere una protección especial.
Solución: Podemos configurar el modo de inicio del servicio RemoteRegistry como deshabilitado. Sin embargo, después de que los piratas informáticos invaden nuestras computadoras, aún pueden cambiar el servicio de "deshabilitado" a "iniciado automáticamente" mediante operaciones simples. Por eso es necesario que eliminemos este servicio.
Busque el elemento RemoteRegistry en "HKEY_Local_Machine System Current Control Settings Service" en el registro, haga clic derecho y seleccione "Eliminar" (Figura 1). Después de eliminar la clave, el servicio no puede iniciarse.
Asegúrese de exportar y guardar esta información antes de eliminarla. Cuando desee utilizar este servicio, simplemente importe el archivo de registro guardado.
Riesgos de seguridad: Como todos sabemos, en Windows 2000/XP/2003, algunos "* * *disfrutes" están habilitados de forma predeterminada. Son IPC$, C$, d$, e$ y admin$. A muchos piratas informáticos y virus les gusta utilizar este método predeterminado para invadir el sistema operativo.
Solución: para evitar ataques de IPC$, el elemento RestrictAnonymous de "HKEY_Local_Machine System Current Control Settings Control" en el registro debe establecerse en "1", lo que prohibirá las conexiones de IPC$.
Para disfrutar * * * de forma predeterminada de c$, d$ y admin$, necesita encontrar "HKEY _Local_Machine System Current Control Settings Service sLanmanserverParameters" en el registro. Si el sistema es Windows2000Server o Windows2003, el valor clave "AutoShareServer" (tipo "REG_DWORD", valor "0") debe agregarse a este elemento. Si el sistema es Windows 2000 PRO, se debe agregar el valor clave "AutoShareWks" (tipo "REG_DWORD", valor "0") a esta entrada.
Riesgos de seguridad: Cuando el sistema Windows se ejecuta incorrectamente, hay un programa DR.WATSON dentro del sistema que guarda automáticamente la información privada llamada por el sistema. La información privada se guardará en los archivos user.dmp y drwtsn32.log. Un atacante puede obtener información privada del sistema descifrando este programa. Por eso tenemos que impedir que los programas filtren información.
Solución: busque "Error de versión actual de Microsoft Windows del software HKEY_Loal_Machine" y establezca el valor de la clave automática en 0. Ahora Dr. Watson no registrará mensajes de error mientras el sistema esté en ejecución. Al mismo tiempo, haga clic en "Documentos y configuraciones → Todos los usuarios → Documentos → drwatson" para buscar los archivos user.dmp y drwtsn32.log y eliminarlos. El propósito de eliminar estos dos archivos era eliminar la información privada que el Dr. Watson había guardado previamente.
Consejos: Si se prohíbe la ejecución del programa DR.WATSON, no se encontrarán la carpeta "drwatson" ni los archivos user.dmp y drwtsn32.log.
Riesgos de seguridad: muchos troyanos y virus ocultan controles ActiveX maliciosos en páginas web y ejecutan programas de forma privada en el sistema, destruyendo así el sistema local. Para garantizar la seguridad del sistema, debemos evitar que los controles ActiveX ejecuten programas sin permiso.
Solución: El control ActiveX ejecuta el programa llamando al componente Windowsscriptinghost, por lo que primero podemos eliminar el archivo wshom.ocx en el directorio "system32", para que el control ActiveX no pueda llamar a Windowsscriptinghost. Luego, busque "HKEY_Local_Machine Software Class CLSID" en el registro y elimine el elemento. Mediante las operaciones anteriores, los controles ActiveX ya no pueden llamar a programas de script de forma privada.
Riesgos de seguridad: el archivo de intercambio de páginas de Windows 2000 también es objetivo de ataques de piratas informáticos como el programa DR.WATSON mencionado anteriormente, porque el archivo de páginas puede filtrar algunos datos que estaban originalmente en la memoria y luego se transfirieron. al disco duro. Después de todo, no es fácil para los piratas informáticos ver la información en la memoria, pero la información en el disco duro es fácil de obtener.
Solución: busque "HKEY_Local_Machine System Current Control Settings Control Session Management" y establezca el valor del elemento ClearPageFileAtShutdown debajo de él en 1 (Figura 2).
De esta forma, el sistema eliminará el archivo de la página después de cada reinicio, evitando así eficazmente la fuga de información.
Riesgos de seguridad: al navegar en un sistema Windows, el sistema suele registrar automáticamente la información de la contraseña y el sistema completará automáticamente la contraseña cuando vuelva a acceder en el futuro. Esto puede conducir fácilmente a la filtración de su información privada.
Solución: busque la subclave de red en la rama "HKEY_local_machine software crosoftwindowscurentversionpolicies" (si no, puede agregarla usted mismo), cree un nuevo valor de doble byte llamado enablepasswordcaching debajo de la subclave y establezca el valor a 1. Después de reiniciar la computadora, el sistema operativo no será lo suficientemente inteligente como para registrar la contraseña.
Riesgo de seguridad: los virus actuales son muy inteligentes. A diferencia de antes, solo se cargan a través del valor RUN del registro o de los elementos en MSCONFIG. Algunos virus avanzados se cargan a través de los servicios del sistema. Entonces, ¿podemos evitar que virus o troyanos inicien servicios sin los permisos correspondientes?
Solución: Ejecute el comando "regedt32" para habilitar la función de asignación de permisos del Editor del Registro. Busque la rama "Servicio de configuración de control actual del sistema HKEY_Local_Machine" en el registro, luego haga clic en "Seguridad → Permisos" en la barra de menú, haga clic en "Agregar" en la ventana emergente de configuración de permisos del servicio e importe la cuenta de Renren. Seleccione la cuenta de Renren. establezca el permiso de "Lectura" de la cuenta en "Permitir" y configúrelo en "Control total". Ahora ningún troyano o virus puede iniciar los servicios del sistema por sí solo. Por supuesto, este método sólo es eficaz contra virus y troyanos que no tienen derechos de administrador.
Riesgos de seguridad: Muchos virus se cargan a través del valor RUN en el registro y se inician cuando se inicia el sistema operativo. Podemos seguir el método introducido en "Servicio de inicio libre de virus" para evitar que los virus y troyanos modifiquen el valor de la clave.
Solución: Ejecute el comando "regedt32" para iniciar el Editor del Registro. Busque la rama de "HKEY_Current_Machine Software CroofWindowsCurrentVersionRun" en el registro, establezca el permiso de "Lectura" de todos para esta rama en "Permitir" y anule la selección del permiso de "Control total". De este modo, los virus y troyanos no pueden iniciarse a través de este valor clave.
Los virus y troyanos están "evolucionando" constantemente y debemos seguir aprendiendo nuevos conocimientos de protección para resistir la invasión de virus y troyanos. En lugar de ser infectado por virus o troyanos y luego matarlos, es mejor preparar las defensas con anticipación y construir un muro fuerte para resistir. Es necesario desarrollar el buen hábito de navegar por Internet de forma segura, intentar no contactar con sitios web no seguros ni descargar software y vídeos no seguros, iniciar software 360 y antivirus, hacer una copia de seguridad de un archivo de registro seguro, aplicar parches con frecuencia y aprender más, "nip de raíz" Eso es lo que debemos perseguir.
Echemos un vistazo primero. Estos son los conceptos básicos.