一，批處理生成.Reg文件操作注冊表
　　用批處理中的重定向符號可以輕松地生成.reg文件。然后用命令執(zhí)行.reg文件即可!
　　這里，著重要了解.reg文件操作注冊表的方法。
　　首先.reg文件首行必須是：Windows Registry Editor Version 5.00。然后才是操作注冊表的內(nèi)容。
　　(就和從注冊表中導(dǎo)出的文件格式一致)

　　1，創(chuàng)建子項(xiàng)
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]

　　在HKEY_LOCAL_MACHINE\SOFTWARE\下創(chuàng)建了一個名字為“TTT”的子項(xiàng)。

　　2，創(chuàng)建一個項(xiàng)目名稱

　　這樣就在[HKEY_LOCAL_MACHINE\SOFTWARE\TTT]下新建了:Name、EMail、 URL、Type這四個項(xiàng)目
　　Name、Email、URL的類型是“String Value”
　　Type的類型是“DWORD Value”

　　(附：windows注冊表值類型：
　　REG_SZ 字符串值
　　REG_BINARY 二進(jìn)制值
　　REG_DWORD DWORD值
　　REG_MULTI_SZ 多字符串值
　　REG_EXPAND_SZ 可擴(kuò)充字符串值)

　　3，修改鍵值
　　修改相對來說比較簡單，只要把你需要修改的項(xiàng)目導(dǎo)出，然后用記事本進(jìn)行修改，然后導(dǎo)入（regedit /s）即可。就象新建一樣即可?？梢砸淮涡薷耐蛔禹?xiàng)下的多個項(xiàng)目。

　　4，刪除項(xiàng)目名稱

　　執(zhí)行該腳本，"EMail"就被刪除了；

　　5，刪除子項(xiàng)

　　執(zhí)行該腳本，子項(xiàng)ttt和ddd就已經(jīng)被刪除了。

　　6，.reg文件執(zhí)行方法
　　1)直接執(zhí)行reg文件
　　2)regedit /s *.reg (/s不用確認(rèn))
　　3)reg import *.reg

　　7，其實(shí)，我們也可以用dll文件代替reg文件。

　　批處理例1：

　　批處理2：(這個例子是別人的，不是很懂的說~~)
　　我們現(xiàn)在在使用一些比較老的木馬時,可能會在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run(Runonce、Runservices、Runexec)]下生成一個鍵值用來實(shí)現(xiàn)木馬的自啟 動.但是這樣很容易暴露木馬程序的路徑,從而導(dǎo)致木馬被查殺,相對地若是將木馬程序注冊為系統(tǒng)服務(wù)則相對安全一些.下面以配置好地IRC木馬DSNX為例 (名為windrv32.exe)


　　二，reg命令操作注冊表

　　Reg命令是Windows提供的一下專門操作注冊表的工具?？梢苑奖愕牟樵?，添加，刪除，導(dǎo)入，導(dǎo)出，比較等操作。具體可以參考系統(tǒng)自帶的幫助……

REG Operation [參數(shù)列表]
Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

　　1，查詢所有子項(xiàng)和值
　　
D:\>reg query hklm\software\TTT

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\software\TTT
Name REG_SZ TTT BLOG
EMail REG_SZ taoether@gmail.com
URL REG_SZ http://www.taoyoyo.net/ttt/
Type REG_DWORD 0x2

　　2，查詢特定項(xiàng)

D:\>reg query hklm\software\ttt /v url

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\software\ttt
url REG_SZ http://www.taoyoyo.net/ttt/

　　這里最難的是如何取得我們想要的字符串呢，困惑了好長時間，終于找到方法了。
　　原來也沒有別的好辦法，只能用find，for循環(huán)來截取我們需要的內(nèi)容。(下面的例子如果看不懂，請參考本博客另外的文章：DOS循環(huán)-bat/批處理for命令詳解之二)
　　例如我們要得到url的鍵值： http://www.taoyoyo.net/ttt/，可以用以下腳本：

　　保存為Test.bat，運(yùn)行結(jié)果如下：

D:\>test.bat
TTT BLOG的URL值為：http://www.taoyoyo.net/ttt/

　　不行了，家里的電腦不知為啥，在命令行中一運(yùn)行“REG”命令(包括reg /?)，CPU就占用100%，看任務(wù)管理器，CMD占用百分之八十多，不知道為啥……
　　運(yùn)行其他的命令就沒有問題，包括regedit /s……

　　查了一下，網(wǎng)上有說是中了木馬的原因，但查了一下，也不象。既沒有找到相關(guān)文件，而且運(yùn)行其它的命令時，沒有問題……
　　先不搞了，正好手頭有個REG命令詳解，等會整理一下!

　　因?yàn)椴槎?，用自己做的Clear.bat清理了一下C盤，居然清理出1個G的空間來，原來只剩幾百兆了……windows的垃圾真是多啊~~不要忘了經(jīng)常清理一下啊!

　　再發(fā)布兩個做好的批處理文件，可以自動監(jiān)控OutLook Express，有需要的可以點(diǎn)擊下載……
　　1，OEMonitorCount.bat　功能：可以重設(shè)注冊表中OE打開次數(shù)，避免超過100次時提示壓縮
　　2，OEMonitorSize.bat　功能：可以監(jiān)控Outlook Express郵件文件(*.dbx)大小，當(dāng)大于指定大小時，生成報警日志。

　　這兩個文件，可以加到啟動組里，每次開機(jī)自動運(yùn)行!
　　搞這兩個主要是為了解決公司經(jīng)常出現(xiàn)的一些問題：
　　1)經(jīng)常有人的郵件文件超過幾個G；
　　2)有時而且根據(jù)提示壓縮后，可能出現(xiàn)郵件丟失。

　　剛發(fā)現(xiàn)，下載后的文件又加了“htm"的后綴，請去掉此后綴再使用!
　　另外下載時，請使用下面的鏈接，如：千腦電信高速下載地址、千腦網(wǎng)通高速下載地址。上面的VIP鏈接是專供千腦用戶使用的~~

最新評論