スポンサーサイト

--/--/-- -- --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
スポンサー広告

起動時にメッセージを表示

2010/05/06 Thu 15:37

今まで知っていた方法は、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\policies\system

にある、

legalnoticecaption

legalnoticetext

を作成して文章を入力する方法。

これはgpedit.mscを使っても同様のことができるけど、

XPのPROでないと使えないので、HOMEの場合はレジストリしかない。

 

でもあるウイルスはこれを使っていないらしく、

どこにあるのか少し悩んでしまった。

Windowsでなくて、Windows NTか・・・・・・

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon

にある、以下の行を使っていた。

LegalNoticeCaption

LegalNoticeText

 

今回は、レジストリエディタとタスクマネージャが使えない状態から、

自力で使える状態に戻すことができて、比較的簡単に修復が完了。

毎回このくらい楽だといいのになぁ・・・・・・

回復コンソールを使った修復はかなりのことができるけど、面倒すぎて。

 

誰か、「だれでも簡単!回復コンソールのABC」とか作ってください。

 

レジストリエディタの起動に関しては、

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\System

のDisableRegistryToolsが0だと起動許可。

タスクマネージャはDisableTaskMgrが0だと起動できるようになる。

これについてもgpedit.mscで簡単に変更可能。

 

だけど、これって鶏と卵の関係にあって、

「じゃあ、レジストリの編集が禁止されているときにどうやってレジストリエディタの使用を許可に変更するのさ」

という隔靴掻痒の思いをするわけですが、これについてはgpedit.mscを

利用するか、vbsやinfを利用すると修復可能です。

以下引用。

http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-050614-0532-99

[Version]

Signature="$Chicago$"

Provider=Symantec

[DefaultInstall]

AddReg=UnhookRegKey

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\

Policies\System,DisableRegistryTools,0x00000020,0

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KELVIR.CZ&VSect=Sn

On Error Resume Next

Set shl = CreateObject("WScript.Shell")

Set fso = CreateObject("scripting.FileSystemObject")

shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableRegistryTools"

shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableTaskMgr"

shl.RegDelete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableRegistryTools"

shl.RegDelete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableTaskMgr"

う~ん、やっぱりセキュリティベンダはすごいや。

(パスの途中で改行してあるものは改行を削除して使う必要があります)

 

メモ。

HKEY_LOCAL_MACHINEにも同じ項目があったりするけど、

違いについては、

http://support.microsoft.com/kb/256986/ja

を参照。以下引用。

HKEY_CURRENT_USER

現在ログオンしているユーザーに関する構成情報のルートが格納されます。ユーザーのフォルダー、画面の色、およびコントロール パネルの設定などがこのキーに格納されます。この情報は、ユーザーのプロファイルに関連付けられています。このキーは "HKCU" と省略されることがあります。

 

HKEY_LOCAL_MACHINE

コンピューターに固有の構成情報が格納されます (この構成は、すべてのユーザーに適用されます)。このキーは "HKLM" と省略されることがあります。

たぶんだけど、HKLMの内容よりもそのユーザに関してはHKCUの内容が

優先される、って理解でいいのかな?ちょっと自信ないなぁ。

このマイクロソフトのURLには他にもレジストリの変更の仕方には

数種類あることや、レジストリを復元する方法が書いてあって、

コンピュータ技術で派遣されている人は一度は絶対に確認しておいたほうが

良いと思う内容です(あくまで主観)。

セキュリティ | コメント(0) | トラックバック(0)
コメント

管理者のみに表示

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。