议题提交：exploit [E.S.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

在注册表中可以隐藏运行，查找等功能，但是要隐藏“注销”是改哪个键值？
系统为：Windows XP

解决方法：
详细讨论已经结束 请大家访问此主题查看结果：
http://www.eviloctal.com/forum/read.php?tid=8444

我的是Win2003系统. 不知道WInxp怎么样. 我也是看网上说的这么改.

根键位置：
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
修改内容：
在右边的窗 口中新建一个二进制值“NoLogOff”，并设值为“01 00 00 00”。

exploit.刚Search到一个帖子.不错.转过来大家看看.

引用:

--  作者：coolhjf
--  发布时间：2004-10-18 2:15:05

--  恢复xp被禁止用的注销和任务管理器

网吧装上公安卡后的问题

恢复禁用的注销

相对应的注册表位置为：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer,右边的可以有以下几种键值：

Noclose: 值为1，表示禁用“关闭系统”菜单；

NoRun: 值为1，表示禁用“运行”菜单；

Cologoff: 值为1，表示禁用“注销”菜单；

NoDrives: 如不为0，则表示禁止查看某个驱动器；

NoDesktops:值为1，表示隐藏桌面。

我把nologoff设置成０就可以了。


恢复禁用的任务管理器

1.修改注册表或者把下面的内容存成.reg文件恢复。  
REGEDIT4  

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]  
"DisableTaskmgr"=dword:00000000  

(最后一行留一空行)

引用:

下面是引用Hoky于2005-02-24 10:21发表的:
我的是Win2003系统. 不知道WInxp怎么样. 我也是看网上说的这么改.

根键位置：
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
修改内容：
.......

大哥 你这个测试成功没有 得给个准信儿呀？
我看你的怎么不怎么对呢？具体等我下帖详细分析 我打字慢所以先说一下...

我在xp pro下测试如上方法没有成功 谢谢...详细的 请看下贴 我在写ing

治学要严禁

文章作者：冰血封情[E.S.T] and dahubaobao[E.S.T]

一开始看见Exploit发这种主题 我真想K他 因为没有付上自己的研究情况 再加上这问题网络上的资料很多...
结果事实证明 我错了 资料是多 但是 此问题确有玄机
现在我的桌面摆放这4本有关于WINDOWS注册表的书和一小本我2000年抄的一些笔记 同时在和dahubaobao讨论
baobao是2000操作系统我的是XP操作系统...
现在情况是这样：（我先把我的书说说 回头每本都要说到 先介绍）
《Windows 95/98中文版 注册表 配置与应用实例》
《DIYer进阶法宝 注册表专辑》
《注册表魔法速成记》
《新编注册表Windows 9x/2000/NT/XP经典实例设置》
以及冰血2000年抄的一本笔记 信息来源不详 但是当年都实践过的 那个时候2000资料比较少的 测试过在9x下是一定可行

现在情况是这样的 在exploit提出议题之后..................................

首先 Hoky搜索到了这样的方法 我们根据他找到的方法开始第一部分的讨论：

引用:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
修改内容
在右边的窗 口中新建一个二进制值NoLogOff 并设值为01 00 00 00

Hoky是2003的操作系统 在03上测试的结果他没说 但是我是XP测试的结果是没反映：（

于是开始分析 从《DIYer进阶法宝 注册表专辑》的资料来看 书上把HKEY_USERS的说明放在了HKEY_CURRENT_USER的那部分说明中了 阐述如下：

引用:

HKEY_USERS是用来存放所有活动的 被装载的用户配制文件 在windows 9X和NT/2K/XP中是不一样的
.DEFAULT是保存默认用户的设置 包括所有环境 屏幕 声音以及其他拥护相关的设置信息 系统在创建新用户的时候 首先从这里拷贝全部设置 然后形成SID子键分支 以便保存SID用户的专有设置

而老资料对HKEY_USERS的阐述如下（也就是9x 以下资料摘选自《Windows 95/98中文版 注册表 配置与应用实例》）

引用:

该根键保存了存放在本地计算机口令列表中的用户标识和密码列表 每个用户的配置信息都在HKEY_USERS中 HKEY_USERS是远程计算机中访问的根键之一

看来说的差不多 然后书上给了98下的抓图 看见最明显的就是没有XP下的那些SID 我想大概NT架构的都如此吧...
现在大家应该明白了 这个原来是默认设置 那Hoky的方法不应该错 可是为什么我没成功呢？不详...其实书本说的很清楚了 如果还问的 砍死！
下面进第二部分

第二部分的讨论主要围绕各个资料的意见展开：
首先我们大家看看我手上基本书的意见 如下
第一：《Windows 95/98中文版 注册表 配置与应用实例》
在这本书里 是这样说的...翻阅了几遍 没看见说注销 嘿嘿...是不是很想扁我呀？
第二：《DIYer进阶法宝 注册表专辑》

引用:

注册表路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值的名称：NoLogOff（看见没 Hoky的那个键名出来了）
数据的类型：十六进制（我只是照写 后面有出入的 别怪我）
键值的数据：01 00 00 00 禁止 00 00 00 00 允许

我没测试成功 估计98可以 我是XP
第三：《注册表魔法速成记》
这个比较牛 还声称是支持9x/Me/NT/2000/XP

引用:

要修改的键和二的一样 但是我没测试成功 我是XP

《新编注册表Windows 9x/2000/NT/XP经典实例设置》
这里只声称支持2000/XP 后面dahubaobao在2000作了注册表键值修改跟踪 确认是如此 但是这书不那么简单

引用:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建双字节值StartMenuLogOff 如果数值为1 表示禁止显示了 如果是0 表示这个设置取决于任务栏和开始菜单属性中的设置

这个我在XP下测试成功 但是是设置为1隐藏 设置为0显示 XP的菜单有两种显示模式 设置后统一消失显示的 可是我没有找到XP的任务栏和开始菜单属性中有设置注销是否显示的地方 摸办法呀（流德滑乌贼版）？
而我的笔记 所记录的是和《DIYer进阶法宝 注册表专辑》的方法一样

第三部分的讨论是结论了：
任务栏和开始菜单属性中设置注销的那个地方 我使用的是XP 我没有找到 是我不够细心么？
但是dahubaobao在2000下却有这个选项 不知道98下是什么样的（虚拟机出问题了 真tnnd不爽）...
dahubaobao在2000测试修改了任务栏和开始菜单属性中设置注销的地方 并且监视了注册表 显示被修改的是《新编注册表Windows 9x/2000/NT/XP经典实例设置》书中所说的

于是 我和dahubaobao的结论就是
Windows XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建双字节值StartMenuLogOff
才是在XP下控制注销是否显示的键 其他就看各位的了...

Windows 2000:
HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff
1为显示 0为隐藏
S-1-5-21-1085031214-1292428093-839522115-500为用户的SID 不固定

最后PS一下：
我在我自己的书柜资料库里找到了《中国计算机报》2001年1月8日 第3期的一篇文章 老归老 忍忍吧 因为竟然是关于WINDOWS ME的注册表
文章题目是《WinMe 注册表 直通车（三）》作者是安徽的李红 这里感谢一下：）
里面说到
隐藏注销选单是
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer的NoLogOff
但是与上面的书有出入的地方在这里 他说是DWORD值 如果是1则隐藏 如果是0则显示 这里冰血封情没有测试 因为我不是ME 估计没有用的说：）

冰血封情 23:39:40
好！ 挖哈哈
★极靓虎虎★ 23:38:19
圆满解决~~~ 亲一个
冰血封情 23:39:56
总算是个完整的讨论
冰血封情 23:40:02
[惊恐]

哈哈！

色宝就是色宝 下回不和你讨论 5555
我要到YOYO面前说你坏话

冰血，你没有测试WINME的该轮到我了，经测试发现，上面的说法是正确的~~~~

截了图，想想没什么意义就不放上来了。

引用:

下面是引用evilbogy于2005-02-24 23:52发表的:
冰血，你没有测试WINME的该轮到我了，经测试发现，上面的说法是正确的
截了图，想想没什么意义就不放上来了。

是Dword值 还是二进制？

PS 你看看 没有那几条浪线 是不是你的排版就工整多了？

结帖 过几天整理出来成讨论文章...

XP下面可以用组策略解决这个问题.
用户配置->管理模板->系统->ctrl+alt+del选项
将删除注销设置为 "已启用"

各位老大 !! 这个未免 说的太复杂了吧!!

要想知道修改了那个部分 用了下面的方法 我是2003 系统

用楼上的方法 来修改注销设置 并且打开瑞星监控 监控注册表修改( 也可以用 其他的专用的注册表监控工具  反正杀毒有这个功能就利用一下吧!!)

监控修改的为:HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER 下的"NoLogoff" 的值


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogoff"=dword:00000000

为开放注销

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogoff"=dword:00000001

关闭注销!!

呵呵．有简单的当然用简单的了啊．．＾＿＾

支持．．　讲究解决问题的过程．

gpedit.msc上面有的改

对了忘了介绍了，俺是无敌的弟弟

无敌没来，他弟弟来了啊。呵呵。

引用:

下面是引用hackerasd于05-19-2005 08:01发表的:
gpedit.msc上面有的改

98怎么办：）

引用:

下面是引用火焰于05-07-2005 10:44发表的:
各位老大 !! 这个未免 说的太复杂了吧!!

要想知道修改了那个部分 用了下面的方法 我是2003 系统

用楼上的方法 来修改注销设置 并且打开瑞星监控 监控注册表修改( 也可以用 其他的专用的注册表监控工具  反正杀毒有这个功能就利用一下吧!!)
.......

嘿嘿 不叫复杂 是详细 其实帖已经结了 大家还在讨论？：）
看这里
http://www.eviloctal.com/forum/read.php?tid=8444

我还有一种方法补到后面了,我用的windows优化大师6.56版本可以轻松实现,
系统安全优化=>开始菜单,这里注销的勾去掉就行了。