利用Word解鎖註冊表
目前網上有許多網頁含有惡意代碼,而幾乎每一個惡意網頁都要禁用我們的註冊表編輯器。其實質就是修改註冊表,將註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerssion\Policies\System分支下的DWORD值“Disableregistrytools”的鍵值改爲“1”,這樣,我們一運行註冊表編輯器就會出現“註冊編輯已被管理員所禁止”的對話框。面對這樣的惡意鎖定,我們可以用Word來給註冊表解鎖。請大家點擊桌面上的Word圖標,運行Word,然後錄製一個名爲“Unlock”宏,運行該宏即可給註冊表解鎖,以下是該宏的源代碼:
目前網上有許多網頁含有惡意代碼,而幾乎每一個惡意網頁都要禁用我們的註冊表編輯器。其實質就是修改註冊表,將註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerssion\Policies\System分支下的DWORD值“Disableregistrytools”的鍵值改爲“1”,這樣,我們一運行註冊表編輯器就會出現“註冊編輯已被管理員所禁止”的對話框。面對這樣的惡意鎖定,我們可以用Word來給註冊表解鎖。請大家點擊桌面上的Word圖標,運行Word,然後錄製一個名爲“Unlock”宏,運行該宏即可給註冊表解鎖,以下是該宏的源代碼:
Sub Unlock()
Dim RegPath As String
RegPath = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"
System.PrivateProfileString(FileName:="",Section:=RegPath,Key:="Disableregistrytools")="OK!"
End Sub
您是不是覺得本方法很奇妙?其實說穿了也很簡單,主要是利用了註冊表的一個特性,即在同一註冊表項下,不能有相同名字的字符串值和DWORD值,如果先前有一個DWORD值存在,則後建立的同名的字符串值會將其覆蓋,這也就間接的刪除了原值,在本例中就是DWORD值Disableregistrytools被同名的字符串值所覆蓋刪除。
在本方法利用了VBA中的System對象,System是有關計算機系統信息的一個特殊對象,該對象的PrivateProfileString屬性可在Windows註冊表中添加字符串值,其使用格式爲:“System.PrivateProfileString(FileName, Section, Key)=Keyword”。該屬性除了可操作註冊表外,還可對Windows的ini配置文件進行操作。在對註冊表操作時,這裏的FileName必須是空字符串(""),Section是欲操作註冊表項的完整路徑,Key是欲操作註冊表項的鍵值名,Keyword是對應於Key的鍵值。
另外,之所以給新建立的“Disableregistrytools”字符串值賦值爲“OK!”,是因爲在解鎖後該字符串值並沒有什麼用處,所以臨時賦值爲“OK!”,當然你不賦值也可以。