czh 
级别:精灵
威望:0
经验:3
货币:647
体力:
来源:211.98.136.*
总发帖数:435
注册日期:2002-01-21
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
对win2000开机启动/注销及用户登录/注销脚本的深入研究,有重大进展
--------------------------------------------------------------------------------
来源:转 类别:黑客文献 日期:2002-3-17 11:11:56 今日/总浏览: 2/300
本来,我以为win2000开机启动/注销及用户登录/注销脚本配置信息是保存有注册表中或二是制数据库中的,比较难为手工修改,因此一直想做而没有做.今天下午实在忍不住,就勉强为之,也不报什么希望的.
一.首先对注册表进行了跟踪,启动regmon工具后再启动本地安全策略mmc,编辑win2000开机启动/注销及用户登录/注销脚本配置信息,然后保存.然后将regmon检测到的信息保存并导入到一个mdb数据库中,足几分钟的时间足足有4000多条.使用sql查询语句将关于mmc的操作找了出来,一无所获!
二.只好又进行文件访问跟踪,心想这个办法即使跟踪出来如果是二进制文件那个是毫无用处!开启filemon,只监视c:\winnt下的访问.启动本地安全策略mmc,编辑win2000开机启动/注销及用户登录/注销脚本配置信息,然后保存.然后将filemon检测到的信息保存并导入到一个mdb数据库中,这次更多,有5000多条.使用sql查询语句将关于mmc的操作找了出来,mmc读写了许多个文件,因为我猜微软不可能将数据放到.dll中,因此将dll记录去掉后就剩下如下文件:
c:\winnt\system32\config\software.log
c:\winnt\system32\grouppolicy\gpt.ini
c:\winnt\system32\grouppolicy\machine\registry.pol
c:\winnt\system32\grouppolicy\user\registry.pol
c:\winnt\system32\grouppolicy\adm\conf.adm
c:\winnt\system32\grouppolicy\adm\inetres.adm
c:\winnt\system32\grouppolicy\adm\system.adm
c:\winnt\security\templates\scta0.tmp
c:\winnt\system32\grouppolicy\machine\scripts\scripts.ini
c:\winnt\system32\grouppolicy\user\scripts\scripts.ini
将这些文件一个一个看过来,哈哈!苍天不负有心人,终于被我找到了!原来win2000将win2000开机启动/注销及用户登录/注销脚本配置信息分别保存在scripts.ini文件中,其中开机启动/注销脚本信息保存在c:\winnt\system32\grouppolicy\machine\scripts\scripts.ini文件中,用户登录/注销脚本配置信息c:\winnt\system32\grouppolicy\user\scripts\scripts.ini中,这些是针对本地安全策略而言.如果是域内的策略,那这些信息分别保存在"\\dc\sysvol\域\policies\策略guid\machine\scripts\scripts.ini"和"\\dc\sysvol\域\policies\策略guid\user\scripts\scripts.ini"中.
三.scripts.ini文件的格式
scripts.ini可以使用文本编辑器编辑,如记事本等.
其格式根据是用户脚本还是计算机脚本的不同而不同,如下:
1.用户脚本
里面按通常.ini文件格式,通常有两段数据,[logoff]和[logon].[logoff]是用户注销时运行的脚本,[logon]下是用户登录时运行的脚本.每段内容格式相同,类似于:
[logoff]
0cmdline=aa.vbs
0parameters=aa
1cmdline=aa1.vbs
1parameters=aa1
[logon]
0cmdline=bb.vbs
0parameters=bb
cmdline表示脚本的命令行,前面的数据表示这是第几个脚本,以0开始,因为在可以同时使用多个脚本的.上面的例子中用户注销时就运行两个脚本aa.vbs和aa1.vbs.
parameters表示运行这个脚本的参数,前面的数字与上同,参数是可选的.
2.计算机脚本
里面按通常.ini文件格式,通常有两段数据,[startup]和[shutdown],分别是计算机启动和关机时运行的脚本每段内容格式相同.类似于:
[startup]
0cmdline=e:\zqs2002.vbs
0parameters=zhuqs
[shutdown]
0cmdline=shut.vbs
0parameters=
上面的例子表示当计算机启动时运行脚本e:\zqs2002.vbs,参数是zhuqs.当计算机关机时,运行shut.vbs脚本,这个脚本没有路径,系统会到c:\winnt\system32\grouppolicy\machine\scripts\shutdown去找.
四.总结
到此,脚本问题基本解决,我们可以手工改写这个配置文件,以满足我们的需要了.比如修改管理员密码等.
|
首页 
小榕软件实验室 
刀光雪影 
重大进展!对win2000开机启动/注销及用户登?.. 
将此页发给您的朋友
编辑
删除
发表于 2002-04-16.21:15:17 
IP:
