关于注册表操作信息的收集

最新推荐文章于 2024-10-13 17:30:18 发布
原创 最新推荐文章于 2024-10-13 17:30:18 发布 · 917 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#注册表 #信息获取


本条博客会不间断更新,希望大家有好的信息也可以提出来!!


第一条   查看当下系统软件的安装目录

xp/win7系统:  HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\

win7 32位软件: HKEY_LOCAL_MACHINE,"SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\


第二条  当下系统所有软件的卸载路径

xp/win7 64位系统:  HKEY_LOCAL_MACHINE\SOFTWARE\Mircosoft\Windows\CurrentVersion\Uninstall

win7-32位软件: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\


第三条  软件安装的位置信息

HKEY_LOCAL_MACHINE\SOFTWARE


第四条  当前系统需要联网的服务名存放位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost  的netsrvs键


第五条 当前系统服务所在路径


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\


第六条  当前系统控件启动路径


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

第七条    添加系统防火墙规则(修改防火墙--给后续的恶意行为放行)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

键值示例: "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

键值示例: "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

第八条    添加系统防火墙规则(端口放行)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"4899:TCP"="4899:TCP:*:Enabled:Radmin"     //enabled 后的名字为程序的进程名.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

"Epoch"=dword:0000016d
第二句有点搞不懂了,继续添加例外的话它的值还会改变,完全找不到规律。不知道这个键对于添加防火墙的例外是否必须,需自行测试使用。

第九条    修改网络代理设置(连接到国外的网站)

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

具体操作未验证,请自行搜索并测试。

 第十条    服务的位置

<span style="font-size:14px;">[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]</span>

第十一条    【ControlSet】的介绍

默认情况下:

ControlSet001:系统真实的配置信息。

ControlSet:运行时配置。windows启动时会从ControlSet001复制一份副 本,作为操作系统当前的配置信息。我们对于计算机配置所作的修改都是直接写入到 CurrentControlSet,在重启过程中,windows会用CurrentControlSet的内容覆盖掉ControlSet001,以 保证这两个控件组一致。

ControlSet002:“最近一次成功启动的配置信息”。   当操作系统每成功启动一次(指成功登录),它都将CurrentControlSet和ControlSet001中的数据复制到 ControlSet002中。

----------------------------------------------------------------------------

但是,这个顺序和数目不是一成不变的,改变就发生在使用过“最近一次的正确配置”之后。这个时候,系统会把002当作系统真实的配置信息,而001这个存 在问题的控件组会被备份封存起来。

[HKEY_LOCAL_MACHINE\SYSTEM\system\select]  下记录着下次将要使用的配置:

“Current”数据项目表示 Windows XP 在这次启动过程中使用的控件组。  

“Default”数据项目表示 Windows XP 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。  

“LastKnownGood ”数据项目表示您在启动过程中选择“最近一次的正确配置”时 Windows XP 将使用的控件组。  

“Failed”数据项表示 Windows XP 在其中保存失败启动产生的数据的控件组。 此控件组在用户第一次调用“最近一次的正确配置”选项之前并不实际存在



12、Windows Server 2003注册表操作指南
prometheus9mon的博客
05-17 43
本文详细介绍了 Windows Server 2003 注册表的基本操作、数据类型、查找方法以及注意事项。内容涵盖了修改注册表键值的具体步骤、注册表存储位置(蜂巢文件)、权限设置、常见问题及解决方法,同时提供了操作流程图和远程注册表修改的示例,旨在帮助用户更安全、高效地进行系统配置与管理。
怎么利用Python读取操作注册表
nnn0245的博客
11-12 1729
vb读写注册表源代码 bas文件 可以直接引用
win10彻底删除软件
winsomeWin的博客
05-26 4707
我有洁癖,删除软件就得删得彻底 软件除了本身的目录以外还要检查这些路径: C:\Users\Admin\AppData\Roaming HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-2471916610-1624442852-1845872672-1001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\User
注册表中HKEY_LOCAL_MACHINE\SYSTEM\下的CurrentControlSet ControlSet001 ControlSet002 的区别
babytiger的专栏
04-25 4294
是第一个备份控制集,是在安装Windows操作系统时创建的,包含默认的系统配置信息,也就是系统初始状态下的配置信息。这三个注册表项都是Windows操作系统中的主要部分,存储了系统配置和设置。是用于备份系统配置信息的,以确保在系统崩溃或需要回滚到先前的状态时可以快速恢复系统配置。进行的更新,当对系统进行重要的更改时,Windows会自动将当前配置信息保存在。是当前正在运行的控制集,包含当前正在使用的系统配置信息,即当前的系统配置。是第二个备份控制集,也是在安装Windows操作系统时创建的。
Windows 取证之注册表
dzqxwzoe的博客
09-12 1674
Registry)是操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。早在推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表操作系统。
信息收集
wtylcam的博客
03-14 685
信息收集
巧用Windows注册表进行计算机司法取证分析工作
android移动设备
12-20 3304
注册表是Windows操作系统(9x/Me/Nt/2000/XP)、硬件设备及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。它记录了用户安装在计算机上的软件和每个程序(包括Windows操作系统本身)的相互关联信息,包含了计算机的硬件配置,包括了自动配置的即插即用设备和已有的各种设备说明、状态属性及各种信息和数据。   正是由于Windo
易语言源码全注册表操作.rar
02-16
这个“易语言源码全注册表操作.rar”压缩包显然包含了一组用易语言编写的源代码,专门用于进行注册表操作注册表是Windows操作系统中的一个重要组成部分,它存储了系统和应用程序的配置信息,包括硬件、软件设置...
C++访问注册表获取已安装软件信息列表示例代码
09-04
在给定的代码示例中,开发者通过读取Windows注册表中的特定键来收集这些信息。Windows注册表存储了操作系统和应用程序的各种设置和配置数据,包括已安装软件的名称、版本、安装位置等。 首先,我们看到一个`...
全面监控注册表操作注册表监视程序代码
- **API拦截**: 利用Windows提供的API函数拦截技术,可以在系统调用注册表操作之前或者之后执行监控程序的代码。 - **驱动程序**: 高级的注册表监视程序可能需要内核级别的驱动程序来实现更深层次的监控和控制。 ...
计算机取证之注册表调查
zsrzy的博客
04-07 750
1.打开可信任的CMD.exe文件,并存储在指定目录中。2.使用reg命令将注册表中的项目输出并存储在指定目录中。使用windows powershell自带MD5。3.使用MD5工具固定证据。4.使用diskgenius工具查看注册表信息
win7,win10下删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\报错
babytiger的专栏
07-18 2595
在调试虚拟网卡驱动时,由于修改错误,导致枚举顺序错乱,因此通过删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\WINTUN下的所有项,即可,win10可用。但是,这个顺序和数目不是一成不变的,改变就发生在使用过“最近一次的正确配置”之后。“Default”数据项目表示 Windows 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。“Default”数据项目表示 Windows 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。
win10关闭系统更新的设置
qq_40914725的博客
08-22 3564
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc中的start具体数值的意思 0 引导 1 系统 2 自动 3 手动 4 禁用 win关闭系统的自动推送更新需要进行如下操作 一、需要在"服务"中禁用Windows Update 快捷键win图标+R键 输入services.msc,然后回车 在服务中找到Windows Update 打开Windows Update的属性,修改启动类型为禁用,点击应用-确定 切换到导航栏的恢复选项
HKEY_LOCAL_MACHINE根键自启动项目的添加和查询
qq_51782199的博客
03-14 1898
注册表操作实验目标系统:Windows软件工具:VS2022/VC6程序中结果截图,程序注释1、先查资料详细了解注册表注册表是Windows操作系统中的一个重要数据库。其中包含了许多与系统相关的配置信息。Windows提供了一个编辑器方便我们编辑。可以按Win+R输入regedit来打开。或者直接去系统目录下寻找。设置自启动的键值项有很多,这里仅仅介绍两种通用的,其他的我也没了解。可以看到上面两项唯一的区别就是根键(简称键)不同,子键是一样的。
组策略对应注册表位置部分解读
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-26 9743
一、概要 在域环境中,管理员经常要执行的操作就是编辑应用域策略,对域环境中成员主机进行集中管理,但是有时候会存在这样的问题,某项策略配置应用生效后,导致了域成员主机部分功能异常,但是直接撤销域策略,验证时不生效的,这时我们就需要在成员主机本地侧来手动进行已应用域策略的修改了。 那如何本地修改呢,本文将对此,针对域策略域注册表项的对应来梳理相关域策略的生效位置/原理。 组策略(Group Policy)是Microsoft Windows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具
windows 系统服务在注册表中的位置
杰克东的专栏
09-29 1154
计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services 此注册表项下是系统服务安装信息。利用此注册表项可以获取服务详细信息
MySQL数据库图文安装详解及相关问题
weixin_33950035的博客
11-27 198
(尊重劳动成果,转载请注明出处: http://blog.youkuaiyun.com/qq_25827845/article/details/53366444冷血之心的博客)首先说明:安装目录中不能有中文和空格.软件下载地址为:http://download.youkuaiyun.com/detail/lxq_xsyu/64684611、2、3、4、5、6、7、8、9、10、如何验证...
数据库MySQL的安装和卸载
weixin_44720982的博客
04-23 789
MySQL的安装和卸载
注册表中的HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USER
最新发布
2301_80892630的博客
10-13 3999
特点作用范围适用于整个计算机,所有用户适用于当前登录用户数据类型硬件信息、系统配置、全局软件设置用户环境配置、应用程序特定设置访问权限需要管理员权限来改变普通用户即可更改常见子键SOFTWARESYSTEMHARDWARESAMBCDSoftware示例应用系统设置,如安装路径,驱动程序,安全策略用户偏好,如桌面背景,键盘布局,应用程序设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值