实验一——病毒注册表操作

【实验内容】
（1）强制隐藏.exe文件的扩展名
刚开始应用程序的exe扩展名都是可见的

1、注册表项：HKEY_CLASS_ROOT\exefile，
2、新建字符串值：取名为NeverShowExt。
用Mytool工具：

直接在注册表中添加

3、重启计算机
重启之后，所有exe文件的扩展名都被隐藏。

（2）隐藏“文件夹选项”子菜单项
刚开始“文件夹选项”子菜单选项是可以用的

1、注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
2、新建DWORD值，取名NoFolderOptions, 设置为1

3、重启计算机
重启之后“文件夹选项”子菜单选项被隐藏。

（3）注册表失效
1、注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System
2、新建选择“DWORD”值，取名为DisableRegistryTools，设置为1

注册表被禁用：

（4）利用注册表实现记事本程序自启动
记事本路径：

1、注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
2、新建字符串值notepad，数值数据：C:\windows\system32\notepad.exe (notepad.exe的路径)
（1）MyTool中新建注册表项——设置txt文件的关联程序

2）利用注册表实现记事本程序自启动

3、重启计算机
开机之后，记事本果然自己启动了。

（5）利用注册表改变文本文件所关联的程序
1、注册表项：HKEY_CLASSES_ROOT\txtfile
或HKEY_LOCAL_MACHINE\Software\command\txtfile子键，依次展开shell\open\command
2、修改键值为：C:\windows\system32\freecell.exe (freecell.exe的路径)
因为镜像中没有这个freecell.exe文件，所以我把文本文件所关联的程序由记事本notepad.exe改成了写字板wordpad.exe。

打开txtx文本，已经是默认写字板打开了：

（6）利用注册表禁止记事本程序运行
1、注册表项：HKEY_Local_Machine\Software\microsoft\windows NT\CurrentVersion\Image file execution options路径下新建一项:notepad.exe
2、新建字符串值，取名Debugger，数值数据随便选择。

记事本已经无法打开了：

思考：（1）至（6）步实现对注册表的操作，这些操作对计算机病毒起到什么样的作用？
第（1）题：强制隐藏.exe文件的扩展名：
没有了.exe文件的扩展名，这样使用户不清楚文件是否可执行，可能会执行病毒文件，让计算机病毒更容易被执行。
第（2）题隐藏“文件夹选项”子菜单项：
选项“消失”，让人无法修改“高级设置”中的文件夹选项
第（3）题注册表失效
注册表失效可以让很多病毒无法执行，因为很多病毒是通过在注册表中与系统启动有关的子键下，可以指定在系统启动后自动运行这些病毒程序。注册表失效后这些病毒便无法运行了。
第（4）题利用注册表实现记事本程序自启动
用类似的方法添加病毒的路径和病毒的可执行文件，就可以在系统启动的时候，自动运行病毒。
第（5）题利用注册表改变文本文件所关联的程序：
通过这种方式修改注册表，可以把某种文件关联的正常程序改为关联病毒程序，这样用户在打开这种文件的时候就会执行病毒程序。
第（6）题利用注册表禁止记事本程序运行
当发现某些程序异常运行时，可以禁止它的运行。