注冊表的概念:
注冊表是windows系統的配置信息存儲數據庫。
注冊表工具:
win + r : regedit
注冊表子樹:
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
注冊表子樹的作用如下:
HKEY_LOCAL_MACHINE
記錄關於本地計算機系統的信息,包括硬件和操作系統
HKEY_USERS
記錄關於動態加載的用戶配置文件和默認配置文件的信息
HKEY_CURRENT_USER
HKEY_USERS的子樹,它指向HKEY_USERS\,包含當前用戶的安全 ID,包含當前以交互方式登錄的用戶的用戶配置文件
HKEY_CURRENT_CONFIG
HKEY_LOCAL_MACHINE的 子樹,指向
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current,包含在啟動時由本地計算機系統使用的硬件配置文件的相關信息,加載的設備驅動程序、顯示時要使用的分辨率
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER的子樹,包含用於各種 OLE 技術和文件類關聯數據的信息
注冊表的組成:
1) 項:具有含義的名稱;
2) 值:針對不用的功能,值類型;
注冊表的開啟與關閉:
遠程桌面服務修改端口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
打開或關閉遠程桌面:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
fDenyTSConnections => 1(拒絕)或0(允許)
Ctrl + f:搜索注冊表項。
禁用任務管理器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Dword=>“DisableTaskMgr”=> 1
禁用注冊表:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
解禁注冊表:
[Version]
Signature=“$CHICAGO$”
[DefaultInstall]
DelReg=del
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\
System,Disableregistrytools,
1,00,00,00,00
寫入該內容后,將文件后綴改為“.inf”
用戶UID:
UID = SID + 唯一標識
S-1-5-21-81863700-3685614511-3644296785-500 : administrator
S-1-5-21-81863700-3685614511-3644296785-1000 :普通用戶的唯一標識從1000開始