[[382093]]

對(duì)于Windows操作系統(tǒng)來(lái)說(shuō)，注冊(cè)表中保存了非常多的系統(tǒng)配置，例如常見(jiàn)的IE主頁(yè)保存在HKEY_LOCAL_MACHINE\Software\Mircosoft\Internet Explorer\Main下的Start Page中；再比如禁止磁盤驅(qū)動(dòng)器自動(dòng)運(yùn)行的AutoRun功能在注冊(cè)表的HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下的NoDriveTypeAutoRun中進(jìn)行設(shè)置；還有映像劫持、文件關(guān)聯(lián)等很多系統(tǒng)配置，都可以在注冊(cè)表中直接進(jìn)行配置。

有很多常見(jiàn)的安全工具都需要對(duì)注冊(cè)表進(jìn)行操作，這里介紹通過(guò)注冊(cè)表獲得隨Windows系統(tǒng)啟動(dòng)時(shí)的啟動(dòng)項(xiàng)。在注冊(cè)表的啟動(dòng)項(xiàng)中，除了正常的系統(tǒng)工具、軟件工具外，病毒和木馬也會(huì)利用注冊(cè)表的啟動(dòng)項(xiàng)悄然地讓自己跟隨Windows的啟動(dòng)而啟動(dòng)，從而實(shí)現(xiàn)自啟動(dòng)的功能。下面通過(guò)編寫一個(gè)枚舉注冊(cè)表啟動(dòng)項(xiàng)的工具，進(jìn)一步學(xué)習(xí)注冊(cè)表操作時(shí)使用API函數(shù)的相關(guān)流程。

1. 程序的界面及相關(guān)代碼

注冊(cè)表中可以用來(lái)完成開(kāi)機(jī)啟動(dòng)的地方非常多，這里只介紹注冊(cè)表中眾多可以完成開(kāi)機(jī)啟動(dòng)的其中一個(gè)位置。這里的程序使用對(duì)話框的形式，其界面如圖1所示。

圖1  注冊(cè)表啟動(dòng)項(xiàng)管理界面

這個(gè)界面中用到了CListCtrl控件，用戶對(duì)其進(jìn)行添加并進(jìn)行相應(yīng)的設(shè)置即可。這里給出一個(gè)關(guān)于CListCtrl初始化的代碼，具體如下： 

VOID CManageRunDlg::InitRunList()  
{  
  // 設(shè)置擴(kuò)展樣式  
  m_RunList.SetExtendedStyle(  
    m_RunList.GetExtendedStyle()  
    | LVS_EX_GRIDLINES // 有網(wǎng)格  
    | LVS_EX_FULLROWSELECT); // 選擇單行  
  // 在 ListCtrl 中插入新列  
  m_RunList.InsertColumn(0, "NO.");  
  m_RunList.InsertColumn(1, "鍵值名稱");  
  m_RunList.InsertColumn(2, "鍵 值");  
  /*  
  LVSCW_AUTOSIZE_USEHEADER:  
  列的寬度自動(dòng)匹配為標(biāo)題文本  
  如果這個(gè)值用在最后一列，列寬被設(shè)置為 ListCtrl 剩余的長(zhǎng)度  
  */  
  m_RunList.SetColumnWidth(0, LVSCW_AUTOSIZE_USEHEADER); 
  m_RunList.SetColumnWidth(1, LVSCW_AUTOSIZE_USEHEADER);  
  m_RunList.SetColumnWidth(2, LVSCW_AUTOSIZE_USEHEADER);  
} 

2. 啟動(dòng)項(xiàng)的枚舉

這個(gè)實(shí)例主要是通過(guò)枚舉注冊(cè)表中的“HKEY_LOCAL_MACHINE\Software\Microso ft\Windows\CurrentVersion\Run”子鍵下的鍵值項(xiàng)，取得跟隨Windows啟動(dòng)而啟動(dòng)的程序。在運(yùn)行軟件“注冊(cè)表啟動(dòng)項(xiàng)管理”后，應(yīng)該將上述注冊(cè)表子鍵位置下的所有啟動(dòng)項(xiàng)的內(nèi)容顯示出來(lái)，其代碼如下： 

#define REG_RUN "Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"  
VOID CManageRunDlg::ShowRunList()  
{  
  // 清空 ListCtrl 中的所有項(xiàng)  
  m_RunList.DeleteAllItems();  
  DWORD dwType = 0;  
  DWORD dwBufferSize = MAXBYTE;  
  DWORD dwKeySize = MAXBYTE;  
  char szValueName[MAXBYTE] = { 0 };  
  char szValueKey[MAXBYTE] = { 0 };  
  HKEY hKey = NULL;  
  LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,  
  REG_RUN, 0, KEY_ALL_ACCESS, &hKey); 
  if ( lRet != ERROR_SUCCESS ) 
  {  
    return ;  
  }  
  int i = 0;  
  CString strTmp;  
  while ( TRUE )  
  {  
    // 枚舉鍵項(xiàng)  
    lRet = RegEnumValue(hKey, i, szValueName,  
    &dwBufferSize, NULL, &dwType,  
    (unsigned char *)szValueKey, &dwKeySize);  
    // 沒(méi)有則退出循環(huán)  
    if ( lRet == ERROR_NO_MORE_ITEMS )  
    {  
      break;  
    }  
    // 顯示到列表控件中  
    strTmp.Format("%d", i);  
    m_RunList.InsertItem(i, strTmp);  
    m_RunList.SetItemText(i, 1, szValueName);  
    m_RunList.SetItemText(i, 2, szValueKey);  
    ZeroMemory(szValueKey, MAXBYTE);  
    ZeroMemory(szValueName, MAXBYTE);  
    dwBufferSize = MAXBYTE;  
    dwKeySize = MAXBYTE;  
    i ++;  
  }  
  RegCloseKey(hKey);  
} 

當(dāng)將注冊(cè)表中的自啟動(dòng)項(xiàng)顯示出來(lái)后，必然會(huì)對(duì)其進(jìn)行一定的操作或處理。對(duì)于注冊(cè)表啟動(dòng)項(xiàng)的管理來(lái)說(shuō)，常見(jiàn)的有3個(gè)功能，首先是屏蔽啟動(dòng)項(xiàng)，然后是刪除啟動(dòng)項(xiàng)，最后是添加啟動(dòng)項(xiàng)（這三者是并列關(guān)系，不是先后順序）。這里的程序中只完成后兩個(gè)功能，即刪除啟動(dòng)項(xiàng)和添加啟動(dòng)項(xiàng)。刪除啟動(dòng)項(xiàng)和屏蔽啟動(dòng)項(xiàng)是有差別的，其差別在于屏蔽啟動(dòng)項(xiàng)是可恢復(fù)的，而刪除啟動(dòng)項(xiàng)是不可恢復(fù)的，至于屏蔽啟動(dòng)項(xiàng)這個(gè)功能就留給大家實(shí)現(xiàn)了。

3. 添加啟動(dòng)項(xiàng)的代碼

只要將需要跟隨Windows啟動(dòng)的軟件添加至“HKEY_LOCAL_MACHINE\Software\Micro soft\Windows\CurrentVersion\Run”子鍵下，就可以實(shí)現(xiàn)所需的功能，代碼如下： 

void CManageRunDlg::OnBtnAdd()  
{  
  // TODO: Add your control notification handler code here  
  CRegAdd RegAdd;  
  RegAdd.DoModal();  
  // 判斷輸入是否完整  
  if ( strlen(RegAdd.m_szKeyName) > 0 &&  
    strlen(RegAdd.m_szKeyValue) > 0)  
  {  
    HKEY hKey = NULL;  
    LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,  
      REG_RUN, 0, KEY_ALL_ACCESS, &hKey);  
    if ( lRet != ERROR_SUCCESS )  
    {  
      return ;  
    }  
    RegSetValueEx(hKey, RegAdd.m_szKeyName, 0,  
      REG_SZ, (const unsigned char*)RegAdd.m_szKeyValue,  
      strlen(RegAdd.m_szKeyValue) + sizeof(char));  
    RegCloseKey(hKey);  
    ShowRunList();  
  }  
  else  
  {  
    AfxMessageBox("請(qǐng)輸入完整的內(nèi)容");  
  }  
} 

在代碼中，CRegAdd對(duì)應(yīng)著添加啟動(dòng)項(xiàng)的窗口，該窗口的代碼如下： 

void CRegAdd::OnBtnOk()  
{  
  // TODO: Add your control notification handler code here  
  ZeroMemory(m_szKeyName, MAXBYTE);  
  ZeroMemory(m_szKeyValue, MAX_PATH);  
  GetDlgItemText(IDC_EDIT_KEYNAME, m_szKeyName, MAXBYTE);  
  GetDlgItemText(IDC_EDIT_KEYVALUE, m_szKeyValue, MAX_PATH); 
  EndDialog(0);  
} 

4. 刪除啟動(dòng)項(xiàng)的代碼

刪除啟動(dòng)項(xiàng)的實(shí)現(xiàn)代碼比添加啟動(dòng)項(xiàng)的代碼要簡(jiǎn)單，但是在刪除的時(shí)候涉及一個(gè)關(guān)于CListCtrl控件的編程，也就是選中列表框中的哪個(gè)啟動(dòng)項(xiàng)要進(jìn)行刪除。這是一個(gè)對(duì)控件進(jìn)行編程的問(wèn)題，在代碼中獲取選中的啟動(dòng)項(xiàng)后，要進(jìn)行刪除就非常簡(jiǎn)單了，代碼如下： 

void CManageRunDlg::OnBtnDel()  
{  
  // TODO: Add your control notification handler code here  
  POSITION pos = m_RunList.GetFirstSelectedItemPosition();  
  int nSelected = -1;  
  while ( pos )  
  {  
    nSelected = m_RunList.GetNextSelectedItem(pos);  
  }  
  if ( -1 == nSelected )  
  {  
    AfxMessageBox("請(qǐng)選擇要?jiǎng)h除的啟動(dòng)項(xiàng)");  
    return ;  
  }  
  char szKeyName[MAXBYTE] = { 0 };  
  m_RunList.GetItemText(nSelected, 1, szKeyName, MAXBYTE);  
  HKEY hKey = NULL;  
  LONG lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,  
    REG_RUN, 0, KEY_ALL_ACCESS, &hKey);  
  RegDeleteValue(hKey, szKeyName);  
  RegCloseKey(hKey);  
  ShowRunList();  
} 

對(duì)于注冊(cè)表啟動(dòng)項(xiàng)的管理軟件就編寫到這里，大家可以將其他的可以讓軟件開(kāi)機(jī)啟動(dòng)的注冊(cè)表子鍵添加到軟件中去，這樣啟動(dòng)項(xiàng)管理軟件就更加強(qiáng)大、更加完美了。但是，當(dāng)不斷深入對(duì)注冊(cè)表的了解時(shí)，會(huì)發(fā)現(xiàn)更多的可以讓軟件隨機(jī)啟動(dòng)的子鍵，這樣就需要每次將新發(fā)現(xiàn)的子鍵添加到代碼中，而每次改動(dòng)代碼是非常繁瑣的。那么，有沒(méi)有什么好的方法可以在每次添加子鍵的同時(shí)不改變代碼本身呢？可以把要枚舉的注冊(cè)表子鍵保存到一個(gè)文件中，然后讓程序去該文件中讀取這些子鍵，最后通過(guò)API函數(shù)對(duì)注冊(cè)表進(jìn)行枚舉。這樣，以后每當(dāng)在注冊(cè)表中有新的需要枚舉的內(nèi)容時(shí)，只需要修改保存注冊(cè)表子鍵的文件即可，而不需要對(duì)程序本身進(jìn)行修改了。