第2课中,讲了如何修改注册表实现文件隐藏,还留下了一个问题:
显示系统文件夹的内容(操作1),位于注册表的哪个位置?
基本上都回复正确了
答案为WebviewParricade的键值由0改为1(完整注册表路径为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced).
其实HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面还有很多我们常用的设置,下面一个个来说明,如果第2课的作业你做了的话应该基本了解得差不多了.以下键如果不存在的话可以新建,类型为DWORD值.

ShowCompColor 值为1时,彩色显示加密或压缩的NTFS文件.
TaskbarAnimations 值为1时,任务栏动画.
TaskbarGroupSize 值为1时,分组相似任务栏按钮 (任务栏和开始菜单属性中可设置)
ShowInfoTip 值为1时显示提示信息
HideIcons 值为1时将隐藏图标.
SeparateProcess 值为1时在单独的进程中打开窗口.
StartButtonBalloonTip 值为2时,开始菜单显示"单击这里开始"
StartMenuFavorites 值为0时,开始菜单不显示"收藏夹"
StartMenuRun 值为1时,开始菜单显示"运行"
StartMenuChange 值为1时,允许更改开始菜单
TaskbarSizeMove 值为1时,锁定任务栏
FolderContentsInfoTip 值为1时,显示文件夹内容信息提示
FriendlyTree 值为1时,在资源管理器文件夹列表中显示简单文件夹查看  
DisableThumbnailCache 值为0时,使用略缩图缓存
ClassicViewState 值为1时,不启用"记住每个文件夹的视图位置"
PersistBrowsers 值为0时,不启用"在登陆时还原上一个文件夹的窗口"
EnableBalloonTips 值为1时,托盘区启用气球提示
StartMenuAdminTools 值为0并且Start_AdminToolsRoot为2,开始菜单中显示管理工具.若Start_AdminToolsRoot为0,则不显示.值为1并且Start_AdminToolsRoot为2,在开始菜单和所有程序都显示管理工具,Start_AdminToolsRoot为0,则只在所有程序中显示.
Start_AutoCascade 值为1时,开始菜单自动展开
Start_EnableDragDrop 值为1时,开始菜单启用拖放
Start_LargeMFUIcons 值为1时,大图标显示开始菜单程序,为0则小图标显示.
Start_MinMFU 值为0时,开始菜单的左边不显示常访问的程序
Start_NotifyNewApps 值为0时,不高亮显示新安装的程序
Start_ShowControlPanel 值为2时,在开始菜单显示"控制面板",为则0不显示,为1显示为链接.
Start_ShowHelp 值为0时,开始菜单中不显示"帮助"
Start_ShowMyComputer 值为0时,开始菜单中不显示"我的电脑"
Start_ShowMyDocs 值为0时,开始菜单中不显示"我的文档"
Start_ShowMyMusic 值为0时,开始菜单中不显示"我的音乐"
Start_ShowMyPics 值为0时,开始菜单中不显示"照片收藏"
Start_ShowNetConn 值为0时,开始菜单中不显示"网络连接"
Start_ShowNetPlaces 值为0时,开始菜单中不显示"网上邻居"
Start_ShowPrinters 值为0时,开始菜单中不显示"打印机和传真"
Start_ShowRecentDocs 值为0时,开始菜单中不显示"常用文档"  
Start_ShowSearch 值为0时,在开始菜单显示"搜索"
Start_ShowSetProgramAccessAndDefaults 值为0时,不显示"设置程序访问和默认值"

一大堆,大家是不是看得眼花了,如果认识几个英文单词的话就很好记了.Start_开头的键都和开始菜单有关, Show,就是显示的意思了,大部分情况下整个键的值为1时显示,为0时不显示.

大家看看这个路径是否和刚才的一样：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advaned
除了HKEY_LOCAL_MACHINE,后面的全部一样,什么意思呢?HKEY_LOCAL_MACHINE下面的修改会影响到整个系统中所有用户的设置,而HKEY_CURRENT_USER下面的设置只影响当前用户.也就是说,即使你把上面提到的键值全改了,换个用户登陆情况完全不一样了.而在HKEY_LOCAL_MACHINE下设置的,无论哪个用户登陆,都将是一样的,病毒也往往更喜欢优先修改这里的.

展开Folder,下面还有好多项,这里的情况和上面差不多,但又有些区别.看这一项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue的值为1时显示所有文件和文件夹.(文件夹选项)
Type的值为radio时表示在文件夹选项中该项设置显示为单选.
Text的值决定了该单选框上显示的文字,这里的值为@shell32.dll,-30500,表示从shell32.dll这个文件的特定位置读取资源,这里的资源是一个字符串,内容是"显示所有文件和文件夹".shell32.dll这个文件的路径是%systemroot%/system32/shell32.dll.顺便说一下%systemroot%这个代表windows目录.(试一下:开始,运行,输入%systemroot%,确定.),这是一个环境变量.

Folder下各项的设置和上面的很类似,大家自己应该可以看懂了.

再现禽兽病毒.(见附件)
和上次一样,这只是一个演示程序,并不会破坏系统.为什么叫禽兽病毒呢,因为它把文件夹选项中的一个字符串改成了"禽兽尚且有半点怜悯之心,而我一点都没有,所以我不是禽兽"(没听说过的话,百度一下这句话吧).
症状如下:隐藏文件无法显示.文件夹选项中"显示所有文件和文件夹"这一选项消失,"不显示隐藏文件"这一项被窜改.如图: