注册表的概念:
注册表是windows系统的配置信息存储数据库。
注册表工具:
win + r : regedit
注册表子树:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
注册表子树的作用如下:
HKEY_LOCAL_MACHINE
记录关于本地计算机系统的信息,包括硬件和操作系统
HKEY_USERS
记录关于动态加载的用户配置文件和默认配置文件的信息
HKEY_CURRENT_USER
HKEY_USERS的子树,它指向HKEY_USERS\,包含当前用户的安全 ID,包含当前以交互方式登录的用户的用户配置文件
HKEY_CURRENT_CONFIG
HKEY_LOCAL_MACHINE的 子树,指向
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current,包含在启动时由本地计算机系统使用的硬件配置文件的相关信息,加载的设备驱动程序、显示时要使用的分辨率
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER的子树,包含用于各种 OLE 技术和文件类关联数据的信息
注册表的组成:
1) 项:具有含义的名称;
2) 值:针对不用的功能,值类型;
注册表的开启与关闭:
远程桌面服务修改端口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
打开或关闭远程桌面:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
fDenyTSConnections => 1(拒绝)或0(允许)
Ctrl + f:搜索注册表项。
禁用任务管理器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Dword=>“DisableTaskMgr”=> 1
禁用注册表:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
解禁注册表:
[Version]
Signature=“$CHICAGO$”
[DefaultInstall]
DelReg=del
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\
System,Disableregistrytools,
1,00,00,00,00
写入该内容后,将文件后缀改为“.inf”
用户UID:
UID = SID + 唯一标识
S-1-5-21-81863700-3685614511-3644296785-500 : administrator
S-1-5-21-81863700-3685614511-3644296785-1000 :普通用户的唯一标识从1000开始