2.4.3 病毒对注册表的利用
作为系统数据库的 Windows 注册表其内容的强大固然意味着其功能的强大，它直接影响系统的功能，因此计算机病毒也常利用它来达到自己的目的。前面笔者列举了一些计算机病毒利用 Windows 注册表的例子。这一小节将介绍计算机病毒利用注册表实现某些功能的例子。
实例 02-06 利用注册表实现记事本程序自启动
我们已经知道，计算机病毒具有自启动的特性，也就是伴随操作系统的启动而自动运行，这通常是利用 Windows 注册表来完成的。
（1）首先启动注册表，如图 2-26 所示。
（2）请依次展开（单击前面 “+” 号即可展开，然后依次展开，展开后如下图 2-27 所示）：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

提示
在 Run 这个子键下的值所对应的程序都会伴随操作系统的启动而启动。读者可以看到，笔者计算机的这个子键下有两个程序，一个是输入法，另一个是翻译软件。也就是说每次开机这两个程序都会自动运行起来。下面我们再添加一个记事本启动项。
（3）在右边窗口单击鼠标右键：选择 “新建” → “字符串”，可以任意取名，我们这里叫 notepad。然后双击它，在弹出对话框中的 “数值数据” 项下填写记事本程序所在的路径：“c:\Windows\notepad.exe”，如图 2-28 所示，单击 “确定” 按钮即可完成自启动项的添加。
（4）重新启动或者注销计算机，当计算机启动后便会看到记事本程序自动运行起来了。

注意
实际上除了注册表中的 Run 项，能够实现程序自启动的注册表项非常多，如下所示。
1. 和 Run 键相关的项
（1）Run 键是病毒最青睐的自启动之处，该键位置有两处：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
（上面的例子就用到这个键）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
位于这两个键的所有程序在每次启动登陆时都会按顺序自动执行。
还有一个不被注意的 Run 键，位于注册表如下两个键的位置：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
（2）RunOnce
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
这两个键下的程序也可以自启动，但是与 Run 键不同的是，RunOnce 下的程序仅会被自动执行一次。
（3）RunServicesOnce
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
位于这两个键下的程序会在系统加载时自动启动，并且仅仅执行一次。
（4）RunServices
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
Runservices 是继 RunServicesOnce 之后启动的程序。
（5）RunOnceEx
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
该键是 Windows XP/2003 特有的自启动注册表

2. Run 相关项以外的自启动项
（1）UserInit
在注册表中找到：
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CRRENTVERSION\WINLOGON\USERINIT->C:\WIDOWS\system32\userinit.exe，在后面加上你的程序，如 C:\windows\notepad.exe
（2）load 键
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
读者可以发现，能够实现自启动的注册表项的确非常多，实际上不仅仅是我们所列举的那些，还有其他更多可以实现程序自启动的注册表项。如此多的自启动项实在令人难以记忆，这里推荐一个非常实用的查看注册表自启动项的工具 Autoruns.exe。这是一个免费软件，这个工具列举了所有能够实现程序自启动的注册表项。并且进行分类，而且列出了当前项下含有哪些自启动的程序。还可以修改各个启动项的值使之直接在注册表中生效，同时可以通过右键菜单中的 “jump to” 菜单项定为到注册表中相应的位置。我们在分析一个计算机是否中毒的时候，这个工具非常有用了，因为如果你看到某一个自启动项下出现了一个你从未见过的陌生程序，那么它很可能就是病毒了。这个工具的使用方法非常简单，读者可以自行研究。程序启动后的画面如图 2-29 所示。

实例 02-07 利用注册表改变文本文件所关联的程序
计算机病毒除了利用以上这些直接能够使计算机病毒随着系统的启动而启动的注册表项方法自启动外，还经常使用另一个欺骗性更好的自启动方式——利用文件类型关联程序启动。
说明
我们知道一个完整的的文件名由：路径+文件名+扩展名组成。路径标识了文件所在磁盘的位置，文件名就是文件的名字，扩展名表示文件所属类型（文件名和扩展名之间使用 “.” 符号进行分隔）。不同的文件类型使用不同的扩展名，如扩展名为 .txt 类型的文件是由 notepad.exe 这个记事本程序来打开的文本文件；又如扩展名为 .jpg 类型的文件是由浏览图片的程序打开的图像文件；再如最常用的办公软件 Word 程序所生成的文件类型用 .doc 表示等。
也就是说各种类型的文件都要关联一个程序，从而使其可以直接打开。当我们双击某种类型的文件时，如 .txt文件，操作系统将自动启动 notepad.exe 这个程序，并将此文本文件作为参数传递给记事本程序，从而使文本文件被打开。那么每种类型的文件又是如何与相应的程序建立的关联的呢？实际上是通过 Windows 注册表。
在 Windows 注册表下的路径：
HKEY_CLASSES_ROOT\（或者 HKEY_LOCAL_MACHINE\Software\CLASSES\效果是相同的）下储存了所有类型的文件所关联的程序。如 .txt 类型的文件，那么该路径下就有一个 txtfile 子键，该子键表示如何处理 .txt 类型的文件。依次展开 shell\open\command，在右边窗口的默认值中是一个字符串 “C:\WINDOWS\notepad.exe%1”，如图 2-30 所示。

其中前面的 “C:\WINDOWS\notepad.exe” 就标识了 .txt 类型文件所关联的程序，后面的 “1%” 表示将 .txt 类型的文件作为参数传递给前面的那个程序。如果我们将这里的程序替换成其他程序，那么双击 .txt 类型的文件后就不在运行 note.exe 程序了，而是运行我们所更改的程序。计算机病毒则很可能将这里的 notepad.exe 程序替换成计算机病毒自身，这样打开一个 .txt 文件，原本应该用 Notepad 打开该文件，现在却变成了启动病毒程序了，计算机病毒用这种方法便达到了启动的目的。
注意
扩展名为 .exe 类型的文件是可执行的程序文件，他并不关联任何程序，双击这种类型文件便会直接运行起来。

疑问
如果某种类型的文件的关联程序被病毒非法修改了，我们如何应对呢？
通常解决病毒修改文件关联的问题有以下两种方法。
1. 修改注册表
如果病毒是关联的 .txt 类型的文件，找到键值：HKEY_CLASSES_ROOT\txtfile\shell\open\command 或 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command，将其修改为正确的关联程序即可。
2. “利用文件夹选项” 对话框
利用 “文件夹选项” 对话框可以完成对文件类型关联程序的修改。首先打开 “文件夹选项” 对话框，通常有两种方法：一种是进入控制面板，选择 “文件夹选项”，另一种是在资源管理器中，选择 “工具” 菜单，然后选择 “文件夹选项” 子菜单。打开 “文件夹选项” 对话框后，选择 “文件类型” 属性页，在 “已注册的文件类型” 列表框中列出了系统注册的所有文件类型，如图 2-31 所示。

然后选择要更改关联的文件类型，我们这里仍然以 TXT 文本文档为例，之后单击 “高级” 按钮将弹出 “编辑文件类型” 对话框，如图 2-32 所示。
选择 “编辑” 按钮后将弹出文本文档的编辑对话框，如图 2-23 所示。

输入正常的应用程序路径后单击 “确定” 按钮即可。
实例 02-08 利用注册表禁止记事本程序运行
计算机病毒除了利用注册表运行程序之外，还可能利用注册表禁止某些程序运行。当然被阻止的程序就是对病毒生存构成威胁的程序了。如杀毒软件，防火墙等。
提示
利用注册表禁止某个程序的运行，通常将这种技术叫做镜像劫持。也就是通过注册表项的设置达到禁止某些程序启动的目的。
该方法如下所示。
（1）在注册表如下位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\路径下，新建一项，该项的名称一定要注意，这个名字就是你将要禁止运行的程序的名字。例如我们打算禁止记事本程序的运行，那么我们这一项就应该取名为 notepad.exe。然后在右边的窗口中单击右键选择 “新建”，选择 “字符串值” 取名叫 Debugger，如图 2-34 所示。
（2）然后双击这一项，弹出图 2-35 所示 “编辑字符串” 对话框，这里我们随便输入一个无意义（正常应该输入一个合法程序的完整路径）的字符串，如我们输入 “abc”。


（3）回车后，我们对记事本程序的劫持就做好了。现在运行记事本程序，弹出了错误提示框，如图 2-36 所示。

说明
镜像劫持原理：注册表中 Image File Execution Options 项下的子项是一些可执行的程序，这些程序下如果建立了一个 Debugger 字符串值项，表示当这些程序运行之前要首先启动 Debugger 键值所标识的程序。其实微软公司设计这项的目的是为了调试程序，Debugger 就是调试器的意思，它下面的键值字符串应该是一个调试器的绝对路径。当这里设置好以后，我们每次运行被拦截的程序时，操作系统会用调试的方式启动这个程序，也就是说首先启动调试器，然后用调试器去加载被拦截的程序。然而我们刚才输入的是什么？“abc” 并不是一个程序的有效路径，当运行记事本程序时，操作系统要首先启动 abc 这个调试器，可是这是一个不存在的程序路径，是非法的，系统无法找到调试器，于是就出现了图 2-36 所示的错误提示。
疑问
计算机病毒恰好巧妙地利用了上述原理阻止一些程序的启动。然而病毒为什么要阻止其他程序的运行呢？会阻止哪些程序的运行？
计算机病毒阻止运行的程序当然是对自己不利的程序了，比如说杀毒软件、防火墙、木马克星、甚至是注册表。在 2.2 节中的实例 02-04 中，我们介绍了一种禁用注册表的方法，当然也可以使用镜像劫持的方法禁用注册表，也就是把 notepad.exe 更换成 regedit.exe 就可以了。或者重新建一个值项，因为注册表能够劫持的程序不仅仅是一个，可以是多个。
注意
其实被劫持的并不是记事本或者注册表程序，而是所有文件名为 notepad.exe 和 regedit.exe 的程序。如果我们把 word.exe 改名为 notepad.exe，同样它也无法运行了。那么知道了这个原理，我们就不难破解它了，方法很简单，就是把记事本程序换个名字，换一个 Image File Execution Options 项下不存在的名字就可以了。当然当计算机病毒利用这种方法禁用了注册表，我们也可以把注册表程序换一个名字，如：a.exe，然后双击运行起来，找到镜像劫持这个注册表项，把被劫持的 regedit.exe 项删除，然后再把 a.exe 改回成原来的 regedit.exe 名字。这样是不是成功破解了病毒的把戏呢？
通过以上介绍，相信读者应该对注册表有了一个大概了解，并且也应该知道了它的威力。Windows 注册表的强大确实不是一两个章节可以讲述清楚的，而且计算机病毒对注册表的利用更是千变万化。笔者只想通过上面简单的例子使大家意识到注册表的重要性，知道病毒在很多地方利用了注册表的功能，当然也可以叫漏洞（相对于能被病毒利用的功能可以称之为漏洞）。那么计算机病毒究竟还在哪些地方利用了注册表，注册表还有哪些重要的键值，这些知识需要在今后的使用中慢慢积累。在书本后面章节笔者将会介绍更多有关病毒利用注册表的方法。

2.5 Windows 注册表工具介绍
读到这里，相信读者对 Windows 注册表已经有了一定了解。是不是感觉到虽然注册表的树状结构很清晰，但是由于其内容的强大，找起东西来并不容易，而且经常会被病毒利用，将注册表编辑器给禁用了，从而导致我们无法对注册表进行编辑使用。如本章 2.2节我们遗留的一个问题，计算机病毒通过 Disable Registry Tools 方法禁用了注册表，我们还没有介绍解决方法。这个时候我就只能使用第三方工具来操作和编辑注册表了。
现在流行的注册表管理工具非常多，前面我们介绍的 Autoruns 就是一款非常不错的注册表管理工具。还有 RegistryFix 也是非常强大的注册表管理工具，它可以智能分析系统注册表中存在的问题，并且可以修复这些错误。但是这种工具虽然非常实用，也很方便，但是不利于学习。对于好学的人，并不推荐这个工具，这里介绍由笔者开发的一款简易注册表管理工具。这个工具能够使大家更好地理解计算机病毒原理，更多地掌握 Windows 注册表功能。读者可以到 Google 搜索并下载该工具。
1. my tool 工具的使用
my tool.exe 刚运行后的界面如图 2-37 所示。

my tool 工具具有三个功能页面，第一个页面就是管理注册表相关的功能，我们目前也只用到这个页面。my tool 含有一个数据库文件，库中默认记录了一些具有特殊功能的注册表项，可以通过此工具编辑这些功能项，也可以添加新项或者删除已有项。程序一启动，首先会遍历库中各项然后分别到 Windows 注册表中查询，如果发现相应功能项存在在于 Windows 注册表中，则在状态描述栏中显示其状态（启用/禁用等），否则显示未定义。如上图 2-37所示，笔者已经在数据库中定义了一些功能，如禁用任务管理器，禁用注册表等等。而在右边的 “状态描述” 中显示 “未定义”，这说明计算机的注册表中没有添加这些功能项。下面我们来通过 my tool 工具在注册表中添加这些功能项，并且灵活地对其进行控制。操作方法如下：
操作之前，读者应该先了解，利用注册表不但可以禁用注册表编辑器（前面章节有示例），还可以实现禁用 Windows 任务管理器的功能。方法是在注册表编辑器中定位到如下路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\system 后，在右边窗口中新建一个 DWORD 类型的值项，取名为 Disable Task Mgr，并且将其值设置为1，这样即可禁用系统的任务管理器。下面我们使用 my tool 工具来实现这个功能。
禁用任务管理器的注册表信息笔者事先已经添加到 my tool 数据库中（添加方法稍后介绍），读者只需利用鼠标的双击操作即可完成任务管理的禁用与启用。
（1）对编号 001 项进行双击操作，此时会发现状态描述变成了禁用，如图 2-38 所示。

但是请注意，这时更改的只是数据库中的状态，Windows 注册表还没有改变，也就是还没有实现禁用任务管理器的功能。可以按 “Ctrl+Alt+Del” 组合键测试。发现弹出了任务管理器。也可以单击 “刷新” 按钮（刷新按钮的功能：单击后会在 Windows 注册表中检测数据库各项，并显示其状态，如果未发现该项则显示未定义。）重新检测注册表项，会发现状态又变成了未定义，如图 2-39 所示，注意下面的状态栏提示 “所有记录已刷新”。

再次双击此项，状态描述项重新变为 “禁用”，如图 2-38 所示。

(2) 双击后，勾选此项前面的复选框。注意无论是要执行记录还是要删除记录，都必须勾选**作记录前面的复选框方可生效。在勾选后将在执行状态一栏中提示勾选状态，如图 2-40 所示。

我们可以由下面的状态栏提示信息得到每次操作的结果
（3）单击执行按钮，这时我们看到状态栏提示成功执行 1 条记录，如图 2-41 所示。

（4）注册表修改成功，进行测试。
我们可以再单击刷新按钮测试注册表项是否被修改，单击刷新按钮后，发现状态描述仍然是禁用，由此说明注册表项的该功能项确实添加成功了，我们的任务管理器被成功禁用了。按 “ctrl+alt+del” 组合键测试，出现图 2-42 所示错误提示。

提示
my tool 工具也提供了鼠标右键功能，以上操作也可以直接使用右键菜单的 “标记并执行” 菜单项一次性执行成功，如图 2-43 所示。

我们也可以打开注册器编辑表，然后定位到如下子路径：software\Microsoft\Windows\CurrentVersion\policies\System，实际查看一下此注册表项的值是否被修改。My tool 工具也提供了快速定位注册表相应功能项的功能，在右键菜单中，图 2-43 中所示的 “定位分支” 和 “定位值项” 分别可以定位到注册表中的相应子键和值项，如图 2-44 所示。

我们可以发现注册表项中也确实存在 Disable Task Mgr 键，并且值为 1。同样的方法，我们可以利用这个工具在注册表中添加另外六项功能。

2. my tool 工具新功能项的添加
这个工具确实简化了注册表的操作，把繁琐的注册表项查找编辑工作转化为简单的鼠标操作，但是这并不是笔者开发此工具的初衷。该工具还具有另外一个实用的功能：允许用户按照 Windows 注册表的要求定义相应的功能，添加功能项。读者也可以发现，默认情况下，笔者也只在数据库中添加了七个功能。读者可以通过今后对注册表的学习，然后以此工具做实验，并将其记录到工具所提供的数据库中，逐渐使其丰富起来。接下来简述添加功能。
笔者前面曾讲述过病毒会通过注册表，使用文件关联的方式实现自启动。然而此时我们的 tool 数据库中并没有定义这个功能，下面我们就来添加这个功能，以此来学习 my tool 的添加功能。
（1）单击 my tool 主界面中的 “添加” 按钮，此时弹出图 2-45 所示的 “添加规则” 对话框。
（2）我们再来回顾一下文件关联功能的注册表位置，位于：HKEY_CLASSES_ROOT\txtfile\shell\open\command 路径下，其中 txtfile 说明我们要关联的扩展名为 .txt 的文件，如果要关联其他类型的文件，只需将此处更换成相应的名字即可。如 exefile 关联 .exe 文件，docfile 关联扩展名为 .doc 的 word 文档。
（3）继续 my tool 的操作。在 “主键” 这一栏中选择 HKEY_CLASSES_ROOT 项，如图 2-46 所示，“主键” 也叫做 “根键”。

（4）下面的 “子键路径” 栏中输入 “txtfile\shell\open\command” ，如图 2-47 所示。
（5）在 “新建类型” 一栏中选择 “字符串”，因为我们的键值是程序的路径，所以这里选择字符串。实际上注册表键值共有五种类型，但是常用的只有工具列举的三种，分别为：字符串，DWORD 制和二进制值，如图 2-48 所示。

（6）在 “新建名” 中输入 “默认”，因为我们将在路径下的默认键下添加值，如图 2-49 所示。
（7）在 “键值” 栏中输入你想要给 .txt 文件关联的程序的绝对路径，这里输入 “c:\windows\system32\calc.exe”，也就是 Windows XP 自带的计算机路径，如图 2-50 所示。
（8）在 “编号” 栏中输入这个规则的编号，注意不能和已存在的编号重复，我们这里输入 “008”，如图 2-51 所示。
（9） 在 “双击功能” 栏中，我们勾选上 “双击生效” 复选框激活双击功能，这样以后可以通过双击操作更改关联的程序，然后选择 “双击编辑”，也就是双击鼠标后弹出输入框我们输入新的关联程序的路径，如图 2-52 所示。

（10）在 “对象名称” 栏中输入此功能的名称，我们输入 “文本文件的关联程序”，当然也可以输入其他名称，如图 2-53 所示。
（11）在 “功能描述” 栏中输入此功能的描述信息，如输入 “关联所有扩展名为 .txt 的文件”，如图 2-54 所示。

（12）在 “状态描述” 栏中输入 “c:\windows\system32\cal.exe”，告诉使用者我们关联的程序是计算器，如图 2-55 所示。

（13）最后，如果还想添加其他规则，那么勾选 “连续添加” 复选框，我们这里只添加一条规则，所以不勾选它。单击 “添加” 按钮，如图 2-56 所示，编号为 008 的规则记录就添加成功了。

疑问
细心的读者可能已经发现，在 “状态描述” 栏中显示的是 “c:\windows\notepad.exe %1” ，而不是我们添加的 “c:\windows\system32\calc.exe” 这个计算器程序，这是为什么呢？
我们可以在 008 这一项单击鼠标右键，然后选择 “编辑” 就可以查看我们添加的这一功能的各个项值，如图 2-57 所示。

我们看到，“状态描述” 栏中仍然是 “c:\windows\system32\calc.exe”，说明我们数据库中添加成功了。但是 “键值栏” 中却变成了 “c:\WINDOWS\notepad.exe%1”，而且此项并不可编辑，是只读的。笔者解释一下这个情况，这是因为添加了这个功能路径后，my tool 会自动检测到注册表中的此路径，在注册表的该路径下的 “默认” 值项中的字符串为：
“c:\WINDOWS\notepad.exe%1”（这是正常的，因为我们的 .txt 文件默认确实是关联的记事本程序）。那么我们 my tool 工具则读取注册表中的值，并修改数据库中的值，从而保证数据库中和注册表中保持一样的值，所以我们也就看到了上面的结果。其实到此为止，我们已经成功在数据库中添加了 .txt 文件关联这一功能，那么如何修改成我们想关联的程序呢？在 “编辑” 对话框中不可以修改（这是为了考虑修改的方便性与唯一性，所以此处屏蔽了修改值的功能）。不过我们选择 “双击编辑” 功能就可以修改了。下面就来试一下，单击 “取消” 按钮返回主程序界面，双击编号为 008 的这一项，弹出了一个输入对话框，如图 2-58 所示。

然后在输入框中输入 “c:\windows\system32\calc.exe” 单击 “确定” 按钮。如图 2-59 所示返回主程序界面。

我们看到在 “状态描述” 栏中显示 “c:\windows\system32\calc.exe”，修改成功了。但是要注意，这里仅仅修改了数据库，注册表中还没有修改，因为还没有单击 “执行” 按钮。选中编号为 008 这一项，然后单击 “执行” 按钮。执行结果如图 2-60 所示。

现在我们可以单击 “刷新” 按钮进行注册表检测，如图 2-61 所示。
状态栏显示所有记录已刷新，然而 “状态描述” 栏仍旧显示计算器程序路径，由此说明注册表中确实修改成功，可以通过鼠标右键的定位功能查看注册表的该项路径进行确认。我们来亲自试验一下。随便找一个扩展名为 .txt 的文件，双击运行它，看看发生了什么？计算器程序被启动了，这样我们就完成了文件关联这一功能。

3. my tool 工具使用
实例 02-09 使用 my tool 工具隐藏磁盘分区
在网吧上网的时候，当打开 “我的计算机” 图标时却发现找不到 C 盘，这有可能就是网吧管理人员通过注册表的设置来实现隐藏磁盘分区的功能。下面我们利用 my tool 工具来添加这个功能。
说明
我们首先讲解一下如何利用注册表隐藏磁盘分区。在注册表的如下路径下添加一个子项：
在 HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer，这里新建一个类型为 “二进制值” 的键值，命为 “NoDrives”。然后双击它设置相应的二进制值就可以隐藏相应的磁盘分区了。二进制值与磁盘分区的对应关系如表 2-1 所示。
笔者要解释一下：我们应该把这些二进制位值分成四区 00 00 00 00。
第 1 区控制盘符 a-h，第 2 区控制盘符 i-p，第 3 区控制盘符 q-x，第4区控制盘符 y 和 z 。一直下去都是以 2 的倍数递增，A 盘为 2 的零次方为 01，B 盘则为 2 的一次方为 02，C 盘为 2的二次方为 04，以此类推，不过到 E 盘的时候是 2 的四次方为 16。然而我们这里的值是二进制值，是以十六进制的方式显示的，那么 16 应该是十六禁止的 10H（H 表示此数值为十六进制），所以 E 盘为 10H。
如果要隐藏两个分区那就把数值相加即可，比如要同时隐藏 A 盘和 F 盘，数值为 01000000+20000000=21000000

隐藏各分区所对应的值
表 2-1
盘符 A B C D E F G H
数值 01000 02000 04000 08000 1000 20000 40000 80000
000 000 000 000 0000 000 000 000
盘符 I J K L M N O P
数值 0001 0002000 0004 0008 001 00200 004 00800
000 0000 0000 00000 000 00000 000
盘符 Q R S T U V W X
数值 0000 000200 000 00000 00000 00002 0000 00008
0100 00400 800 1000 000 4000 000
盘符 Y Z
数值 0000 000
0001 00002
接下来我们通过 my tool 工具隐藏我们的 C 盘，步骤如下。
（1）在 my tool 工具主界面中单击 “添加” 按钮，并填写相应项，填写后各项内容如图 2-62 所示。

（2）单击 “添加” 按钮，执行结果如图 2-63 所示。