关于注册表操作信息的收集

本条博客会不间断更新，希望大家有好的信息也可以提出来!!

第一条   查看当下系统软件的安装目录

xp/win7系统：  HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\

win7 32位软件： HKEY_LOCAL_MACHINE,"SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\

第二条  当下系统所有软件的卸载路径

xp/win7 64位系统：  HKEY_LOCAL_MACHINE\SOFTWARE\Mircosoft\Windows\CurrentVersion\Uninstall

win7-32位软件： HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\

第三条  软件安装的位置信息

HKEY_LOCAL_MACHINE\SOFTWARE

第四条  当前系统需要联网的服务名存放位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost  的netsrvs键


第五条 当前系统服务所在路径

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\


第六条  当前系统控件启动路径

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

第七条    添加系统防火墙规则(修改防火墙--给后续的恶意行为放行)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
键值示例： "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
键值示例： "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

第八条    添加系统防火墙规则(端口放行)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"4899:TCP"="4899:TCP:*:Enabled:Radmin"     //enabled 后的名字为程序的进程名.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

"Epoch"=dword:0000016d

第二句有点搞不懂了，继续添加例外的话它的值还会改变，完全找不到规律。不知道这个键对于添加防火墙的例外是否必须，需自行测试使用。

第九条    修改网络代理设置（连接到国外的网站）

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

具体操作未验证，请自行搜索并测试。

 第十条    服务的位置

<span style="font-size:14px;">[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]</span>

第十一条    【ControlSet】的介绍

默认情况下：

ControlSet001：系统真实的配置信息。

ControlSet：运行时配置。windows启动时会从ControlSet001复制一份副 本，作为操作系统当前的配置信息。我们对于计算机配置所作的修改都是直接写入到 CurrentControlSet，在重启过程中，windows会用CurrentControlSet的内容覆盖掉ControlSet001，以 保证这两个控件组一致。

ControlSet002：“最近一次成功启动的配置信息”。   当操作系统每成功启动一次（指成功登录），它都将CurrentControlSet和ControlSet001中的数据复制到 ControlSet002中。

----------------------------------------------------------------------------

但是，这个顺序和数目不是一成不变的，改变就发生在使用过“最近一次的正确配置”之后。这个时候，系统会把002当作系统真实的配置信息，而001这个存 在问题的控件组会被备份封存起来。

[HKEY_LOCAL_MACHINE\SYSTEM\system\select]  下记录着下次将要使用的配置:

“Current”数据项目表示 Windows XP 在这次启动过程中使用的控件组。  

“Default”数据项目表示 Windows XP 在下次启动时将使用的控件组，它与这次启动使用的控件组相同。  

“LastKnownGood ”数据项目表示您在启动过程中选择“最近一次的正确配置”时 Windows XP 将使用的控件组。  

“Failed”数据项表示 Windows XP 在其中保存失败启动产生的数据的控件组。 此控件组在用户第一次调用“最近一次的正确配置”选项之前并不实际存在