2-3注册表的入侵与防护.ppt

1、学习情境二 主机入侵技术的应用与防护 任务三 注册表的入侵与防护,2.3 注册表的攻击与防护,教学的实施过程,思考、探讨完成任务需要的相关资料，搜集资料，制定工作计划,明确需要完成的工作任务；,教师进行点评、确定最终的实施方法；对技术问题进行讲授和答疑。,学生进入网络实训室，根据工作计划完成每个工作项目，完成每个项目实施日志和心得总结,学生分组相互检查任务完成情况，分析不足，给出评价；教师对学生的日志和总结进行分析，给出评价。,探索更多的注册表攻击与防护的方法，搜索相关工具，并在虚拟网络或网络实训室中进行验证。,问题引领,2.3 注册表的攻击与防护,什么是注册表，注册表对系统的作用是什么？ 如

2、何使用工具或命令对注册表对主机进行攻击？ 使用什么方法可以防护针对主机注册表的攻击？,项目一、注册表基础和系统安全,1.认识注册表,注册表（Registry）是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。注册表包含计算机中每个用户的配置文件、有关系统硬件的信息、安装的程序及属性设置。Windows 在操作过程中不断地引用这些信息。,2.3 注册表的攻击与防护,项目一、注册表基础和系统安全,2.注册表的结构,注册表由键（或称“项”）、子键（子项）和值项构成。一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是

3、一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。,2.3 注册表的攻击与防护,项目一、注册表基础和系统安全,2.3 注册表的攻击与防护,在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此，注册表使用这些条目。下面是六个控制键,项目一、注册表基础和系统安全,2.3 注册表的攻击与防护,注册表的数据类型主要有以下四种：,项目一、注册表基础和系统安全,2.3 注册表的攻击与防护,3.注册表编辑器,在开始菜单下的运行中输入Regedit命令或Regedt32命令打开

4、注册表编辑器，通过使用注册表编辑器完成对注册表的各种操作,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,1.入侵注册表的条件,入侵之前我们需要有对远程主机的操作权限，因此我们可以用建立IPC$的方式取得对远程主机的操作权限，并开启远程主机的远程注册表功能,建立IPC$连接 开启远程注册表服务,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,开启远程注册表服务的过程如下：,1-1.建立IPC$连接使用 net use命令建立到远端主机的IPC$连接,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,1-2.打开“计算机管理”，用“计算机管理”管理远程计算机,项目二、

5、常见注册表的攻击方法,2.3 注册表的攻击与防护,1-3.开启远程注册表服务,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,1-4.关闭“计算机管理”，断开IPC$连接,2.入侵远程主机的注册表,入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。,步骤一：执行regedit来打开注册表编辑器,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,步骤二：建立IPC$连接,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,步骤三：连接远程主机注册表（选择“注册表”连接网络注册表”）,项目二、常见

6、注册表的攻击方法,2.3 注册表的攻击与防护,步骤四：断开网络注册表右击远程计算机，选择断开，断开远程注册表的连接,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,3.导入注册表reg文件的攻击,步骤一：打开记事本，然后编辑添加主键，在记事本中写入： REGEDIT4 HKEY_CURRENT_USERSSoftwareHACK 保存文件为test1.reg，,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,步骤二 将注册表文件拷贝到远程主机 双击reg文件，将信息导入注册表，查看远程注册表是否建立,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,注意：实例中通过

7、双击导入注册表，容易被远程主机管理员现，因为每次导入都会有提示对话框,项目二、常见注册表的攻击方法,2.3 注册表的攻击与防护,通过命令行倒入 使用专门的注册表导入工具 使用windows系统自带的导入工具 windows自带的导入工具使用命令： regedit /s regedit是系统自带的命令，不使用任何工具。/s表示不需要询问，直接倒入,4。注册表导入方法,2.3 注册表的攻击与防护,项目三、注册表的防护,1.利用注册表增加系统安全性,禁止CD-ROM的自动运行 关闭默认共享 禁止建立空连接,HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparameters 设置键值名称AutoShareServer，类型为 DWORD，键值为0,HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesCdrom设置AutoRun值为0,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa