偷天换日注册表里玩隐藏

我在偶尔一次玩注册表的过程中发现了一个比较巧妙的隐藏方法，我们知道，在资源管理器的工具――文件夹选项――查看选项卡里和隐藏相关的有这么几项：

隐藏受保护的操作系统文件(推荐)

隐藏文件和文件夹里的 “不显示隐藏的文件和文件夹”和“显示所有文件和文件夹”两项 

他们在注册表中的位置在：

hkey_local_machine\software\microsoft\windows\
currentversion\explorer\advanced\folder\hidden 它下面有两个项，nohidden和showall ，正常情况下，nohidden下面有个text的字串值“不显示隐藏的文件和文件夹”和一个叫checkedvalue的双字节键，值为0x00000002 （十六进制） ，而showall下面同样有text的键，值为“显示所有文件和文件夹”，checkedvalue的值为0x00000001 。



(点击放大）

先解释一下这个十六进制值的含义表示未选中，1表示选中了，大家可以把他们都改成1试试，会发现只能二选一的单选按钮竟然都被选中了！





     而2的意思是谁着另一个的选中而变化，比如当一个的值为2时，另一个如果是1，那么它就会变成选中，这时在查看选项卡里调整是有效的的，但是，如果对方是0，那么它就会始终保持选中状态，不论在选项卡里怎么调，下一次打开时还会保持选中状态。
 利用这个特性，不知大家想到了什么？对，我们可以把文字叙述反过来！奇特的是，两者的文字颠倒之后在图形面板上显示的时候仍然是以前的顺序！接着我们调整一下两个人checkedvalue 的值，把nohidden的checkedvalue值改成2，把showall的checkedvalue 值改成0，这样不管以后在面板里怎么调，始终都不会显示隐藏的文件和文件夹了！而且在别人看来，他们选的明明是“不显示隐藏的文件和文件夹”啊 ，一切看起来都那么正常！
我想这个发现在帮助我们隐藏文件，木马上有一定的利用价值，把修改后的注册表文件贴上来：
windows registry editor version 5.00
[这里要空一行哦！]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"text"="不显示隐藏的文件和文件夹"
"checkedvalue"=dword:00000000

[hkey_local_machine\software\microsoft\windows\
currentversion\explorer\advanced\folder\hidden\nohidden]
"text"="显示所有文件和文件夹"
"checkedvalue"=dword:00000002

保存为reg文件双击导入就可以了，不过记得会还原哦！最好是给自己留一份解药：
windows registry editor version 5.00

[hkey_local_machine\software\microsoft\windows\
currentversion\explorer\advanced\folder\hidden\showall]
"text"="显示所有文件和文件夹"
"checkedvalue"=dword:00000001

[hkey_local_machine\software\microsoft\windows\
currentversion\explorer\advanced\folder\hidden\nohidden]
"text"="不显示隐藏的文件和文件夹"
"checkedvalue"=dword:00000002

这样做的效果相当于是让隐藏和显示调了个个，不注意的人说不定就被骗了，嘿嘿！ 
希望大家看了此文能发现更多更巧妙的隐藏方法！