文章作者:冰血封情[E.S.T] & dahubaobao[E.S.T]
信息来源:邪恶八进制 中国
议题提出:Exploit[E.S.T]
议题讨论:冰血封情[E.S.T] & dahubaobao[E.S.T] & evilbogy[E.S.T] & Hoky.Pro[H.S.T]
一开始看见Exploit发这种主题 我真想K他 因为没有付上自己的研究情况 再加上这问题网络上的资料很多...
结果事实证明
我错了 资料是多 但是 此问题确有玄机
现在我的桌面摆放这4本有关于WINDOWS注册表的书和一小本我2000年抄的一些笔记 同时在和dahubaobao讨论
baobao是2000操作系统我的是XP操作系统...
现在情况是这样:(我先把我的书说说 回头每本都要说到 先介绍)
《Windows 95/98中文版 注册表 配置与应用实例》
《DIYer进阶法宝 注册表专辑》
《注册表魔法速成记》
《新编注册表Windows 9x/2000/NT/XP经典实例设置》
以及冰血2000年抄的一本笔记 信息来源不详 但是当年都实践过的 那个时候2000资料比较少的 测试过在9x下是一定可行
现在情况是这样的 在exploit提出议题之后..................................
首先 Hoky搜索到了这样的方法 我们根据他找到的方法开始第一部分的讨论:
引用:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
修改内容
在右边的窗 口中新建一个二进制值NoLogOff 并设值为01 00 00 00
Hoky是2003的操作系统 在03上
测试的结果他没说 但是我是XP测试的结果是
没反映:(
于是开始分析 从《DIYer进阶法宝 注册表专辑》的资料来看 书上把HKEY_USERS的说明放在了HKEY_CURRENT_USER的那部分说明中了 阐述如下:
引用:
HKEY_USERS是用来存放所有活动的 被装载的用户配制文件 在windows 9X和NT/2K/XP中是不一样的
.DEFAULT是保存默认用户的设置 包括所有环境 屏幕 声音以及其他拥护相关的设置信息 系统在创建新用户的时候 首先从这里拷贝全部设置 然后形成SID子键分支 以便保存SID用户的专有设置
而老资料对HKEY_USERS的阐述如下(也就是9x 以下资料摘选自《Windows 95/98中文版 注册表 配置与应用实例》)
引用:
该根键保存了存放在本地计算机口令列表中的用户标识和密码列表 每个用户的配置信息都在HKEY_USERS中 HKEY_USERS是远程计算机中访问的根键之一
看来说的差不多 然后书上给了98下的抓图 看见最明显的就是没有XP下的那些SID 我想大概NT架构的都如此吧...
现在大家应该明白了 这个原来是默认设置 那Hoky的方法不应该错 可是为什么我没成功呢?不详...其实书本说的很清楚了 如果还问的 砍死!
下面进
第二部分
第二部分的讨论主要围绕各个资料的意见展开:
首先我们大家看看我手上基本书的意见 如下
第一:《Windows 95/98中文版 注册表 配置与应用实例》
在这本书里 是这样说的...翻阅了几遍 没看见说注销 嘿嘿...是不是很想扁我呀?
第二:《DIYer进阶法宝 注册表专辑》
引用:
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值的名称:NoLogOff(看见没 Hoky的那个键名出来了)
数据的类型:十六进制(我只是照写 后面有出入的 别怪我)
键值的数据:01 00 00 00 禁止 00 00 00 00 允许
估计98可以 我是XP
第三:《注册表魔法速成记》
这个比较牛 还声称是支持9x/Me/NT/2000/XP
引用:
要修改的键和二的一样 但是我没测试成功 我是XP
《新编注册表Windows 9x/2000/NT/XP经典实例设置》
这里只声称支持2000/XP 后面dahubaobao在2000作了注册表键值修改跟踪 确认是如此 但是这书不那么简单
引用:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建双字节值StartMenuLogOff 如果数值为1 表示禁止显示了 如果是0 表示这个设置取决于任务栏和开始菜单属性中的设置
这个我在XP下测试成功 但是是设置为1隐藏 设置为0显示 XP的菜单有两种显示模式 设置后统一消失显示的 可是我没有找到XP的
任务栏和开始菜单属性中有设置注销是否显示的地方 摸办法呀(流德滑乌贼版)?
而我的笔记 所记录的是和《DIYer进阶法宝 注册表专辑》的方法一样
第三部分的讨论是结论了:
任务栏和开始菜单属性中设置注销的那个地方 我使用的是XP 我没有找到 是我不够细心么?
但是dahubaobao在2000下却有这个选项 不知道98下是什么样的(虚拟机出问题了 真tnnd不爽)...
dahubaobao在2000测试修改了
任务栏和开始菜单属性中设置注销的地方 并且监视了注册表 显示被修改的是《新编注册表Windows 9x/2000/NT/XP经典实例设置》书中所说的
于是 我和dahubaobao的
结论就是
Windows XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
新建双字节值StartMenuLogOff
才是在XP下控制注销是否显示的键 其他就看各位的了...
Windows 2000:
HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff
1为显示 0为隐藏
S-1-5-21-1085031214-1292428093-839522115-500为用户的SID 不固定
最后PS一下:
我在我自己的书柜资料库里找到了
《中国计算机报》2001年1月8日 第3期的一篇文章 老归老 忍忍吧 因为竟然是关于WINDOWS ME的注册表
文章题目是《WinMe 注册表 直通车(三)》作者是
安徽的李红 这里感谢一下:)
里面说到
隐藏注销选单是
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer的NoLogOff
但是与上面的书有出入的地方在这里 他说是
DWORD值 如果是1则隐藏 如果是0则显示 这里冰血封情没有测试 但是evilbogy测试反馈上面的方法是正确的 并明确指出是Dword值。
至此 本次讨论完全结帖 并做出总结文章如上 我们也仅仅是做了一下测试和资料查找等工作 如果众高手有指点的意向可以到本帖的原始出处参与继续讨论 如下:
http://www.eviloctal.com/forum/read.php?tid=8255
我们将非常感谢您的斧正
