系統 登錄檔分析

2021-06-18 19:40:29 字數 3091 閱讀 1211

一、reg檔案編寫

windows registry editor version 5.00  //下面一定要空一行


[hkey_classes_root\x] //a.新建鍵名x


[-hkey_classes_root\x] //b.刪除鍵名x


//begin 


//c.新建和修改x下的項,


[hkey_classes_root\x]


@="10" //修改預設項值,用雙引號


"項1" = "1" //修改字串1,若包含路徑,則分隔符為\\,相當於多加乙個\


"項2" = hex:2 //二進位制2


"項3" = dword:00000003 //dword資料


//d.刪除x下的項


[hkey_classes_root\x]


"項1" =-


//end
二、檔案關聯

以rtf檔案進行分析

windows registry editor version 5.00


[hkey_classes_root\.rtf]//第一步,新建.rtf建,預設項值為rtffile,這個作為後面的標識


@="rtffile"


[hkey_classes_root\rtffile]//第二步,新建rtffile專案


[hkey_classes_root\rtffile\defaulticon]


@="\"c:\\program files\\windows nt\\accessories\\wordpad.exe\""//是程式的路徑,多加乙個\


[hkey_classes_root\rtffile\shell]


[hkey_classes_root\rtffile\shell\open]


[hkey_classes_root\rtffile\shell\open\command]//關聯到wordpad.exe,雙擊時,則系統自動呼叫它開啟


@="\"c:\\program files\\windows nt\\accessories\\wordpad.exe\""


[hkey_classes_root\rtffile\shell\shellnew]//新增到,右鍵-新建


@="c:\\program files\\windows nt\\accessories\\wordpad.exe"
某檔案標準格式:

windows registry editor version 5.00


[hkey_classes_root\.e]


@="e.document"


[hkey_classes_root\e.document]


@="易程式"


[hkey_classes_root\e.document\defaulticon]


@="f:\\mysofts\\工具集\\開發工具\\易語言\\e.exe,-127"


[hkey_classes_root\e.document\shell]


[hkey_classes_root\e.document\shell\open]


[hkey_classes_root\e.document\shell\open\command]


@="f:\\mysofts\\工具集\\開發工具\\易語言\\e.exe /dde"


[hkey_classes_root\e.document\shell\open\ddeexec]


@="[open(\"%1\")]"


[hkey_classes_root\e.document\shell\print]


[hkey_classes_root\e.document\shell\print\command]


@="f:\\mysofts\\工具集\\開發工具\\易語言\\e.exe /dde"


[hkey_classes_root\e.document\shell\print\ddeexec]


@="[print(\"%1\")]"


[hkey_classes_root\e.document\shell\printto]


[hkey_classes_root\e.document\shell\printto\command]


@="f:\\mysofts\\工具集\\開發工具\\易語言\\e.exe /dde"


[hkey_classes_root\e.document\shell\printto\ddeexec]


@="[printto(\"%1\",\"%2\",\"%3\",\"%4\")]"
三、右鍵—新建修改

如上rtf所示,但是在「新建」選單中,應該這樣來新增選單名,就是新建什麼型別檔案。

[hkey_classes_root\rtffile]


@="rtf文件" //修改新建裡面的檔名


[hkey_classes_root\.txt\shellnew]


"mullfile"="" //.txt中加入新建選項
四、右鍵—開啟方式

五、應用分析

在folder新增,更好一些

儲存reg 檔案 匯入


windows registry editor version 5.00


[hkey_classes_root\folder\shell\close]


@="關閉計算機"


[hkey_classes_root\folder\shell\close\command]


@="shutdown.exe -s -t 0"
參考:1、reg檔案編輯

2、reg登錄檔檔案的認識

3、登錄檔根鍵全剖析

4、主要根鍵、子鍵結構

5、登錄檔修改右鍵選單

6、登錄檔修改大全

五、登錄檔的檔案關聯及應用

7、登錄檔—第五章

8、關機新增到右鍵選單

登錄檔位置 詳解windows登錄檔分析取證

什麼是登錄檔 登錄檔是用於儲存windows系統使用者,硬體和軟體的儲存配置資訊的資料庫。雖然登錄檔是為了配置系統而設計的,但它可以跟蹤使用者的活動,連線到系統的裝置,什麼時間什麼軟體被使用過等都將被記錄在案。所有這些都可用於取證人員,分析溯源使用者的惡意或非惡意行為。登錄檔的配置單元 在登錄檔中,...

Windows系統登錄檔

登錄檔 registry,正體中文版windows作業系統稱之為登入檔 是microsoft windows中的乙個重要的資料庫,用於儲存系統和應用程式的設定資訊。早在windows 3.0推出ole技術的時候,登錄檔就已經出現。隨後推出的windows nt是第乙個從系統級別廣泛使用登錄檔的作業系...

系統登錄檔儲存操作

1.定義key常量 下面三個常量可所以定義,本人是為了程式註冊寫得乙個簡單的這側表訪問功能 const rootkey hkey local machine currentkey software handy softkeyitem serial number softcodeid soft cod...