hivexsh - آنلاین در ابر

برنامه:

نام

hivexsh - پوسته رجیستری ویندوز

خلاصه

hivexsh [-options] [hivefile]

شرح

این برنامه یک پوسته ساده برای پیمایش فایل‌های 'hive' رجیستری ویندوز فراهم می‌کند. آی تی
از کتابخانه hivex برای دسترسی به این فایل های باینری استفاده می کند.

ابتدا باید یک فایل hive از یک سیستم عامل ویندوز تهیه کنید. کندو
فایل‌ها معمولاً در «C:\Windows\System32\Config» قرار دارند و دارای نام‌هایی مانند «نرم‌افزار» هستند.
"سیستم" و غیره (بدون هیچ پسوند فایل). برای اطلاعات بیشتر در مورد فایل های کندو مطالعه کنید
کندو(3). برای اطلاع از دانلود فایل ها از ماشین های مجازی به ادامه مطلب مراجعه کنید virt-cat(1)
و ماهی مهمان(1).

می توانید نام فایل کندو را برای بررسی در خط فرمان وارد کنید. مثلا:

نرم افزار hivexsh

یا می توانید "hivexsh" را بدون هیچ آرگومان شروع کنید و بلافاصله از دستور "load" استفاده کنید
برای بارگیری کندو:

$ hivexsh

به hivexsh، پوسته تعاملی hivex برای بررسی خوش آمدید
فایل های باینری رجیستری ویندوز.

برای کمک به دستورات، «راهنما» را تایپ کنید
"ترک" برای ترک پوسته

> بارگذاری نرم افزار
نرم افزار\>

با استفاده از دستور "cd" در میان کلیدهای کندو حرکت کنید، گویی که حاوی یک سیستم فایل است،
و از "ls" برای فهرست کردن کلیدهای فرعی کلید فعلی استفاده کنید. سایر دستورات در زیر لیست شده است.

OPTIONS

-d بسیاری از پیام های اشکال زدایی را فعال کنید. اگر یک فایل رجیستری پیدا کردید که این برنامه نمی تواند
تجزیه، لطفا این گزینه را فعال کنید و خروجی کامل را ارسال کنید و کندو رجیستری
در گزارش اشکال خود فایل کنید.

-f نام فایل
به جای stdin دستورات را از "filename" بخوانید. برای نوشتن یک اسکریپت hivexsh از:

#!/usr/bin/hivexsh -f

-w اگر این گزینه داده شود، نوشتن در کندو مجاز است (به دستور "commit" مراجعه کنید
در زیر، و بحث اصلاح کندوها در "نوشتن در فایل های HIV" در کندو(3).

مهم توجه داشته باشید: حتی اگر این گزینه را مشخص کنید، چیزی روی یک کندو نوشته نمی شود مگر اینکه
شما دستور "commit" را فرا می خوانید. اگر بدون commit از پوسته خارج شوید، همه چیز تغییر می کند
کنار گذاشته خواهد شد

اگر این گزینه داده نشد، دستورات نوشتن غیرفعال می شوند.

دستورات

اضافه کردن نام
یک کلید فرعی به نام "name" در زیر گره فعلی اضافه کنید. نام ممکن است حاوی فاصله و
کاراکترهای نقطه گذاری، و نیازی به نقل قول نیست.

کلید جدید هیچ کلید فرعی و مقداری نخواهد داشت (به "setval" مراجعه کنید).

نباید هیچ کلید فرعی موجودی به نام "name" وجود داشته باشد، در غیر این صورت این دستور ناموفق خواهد بود. برای تعویض
یک کلید فرعی موجود، ابتدا آن را به صورت زیر حذف کنید:

نام سی دی
از

cd مسیر
به کلید فرعی "مسیر" تغییر دهید. از بک اسلش به سبک ویندوز برای جداسازی عناصر مسیر استفاده کنید.
و با بک اسلش شروع کنید تا از ریشه کندو شروع شود. مثلا:

cd \Classes\*

از گره ریشه، به گره "Classes"، به گره "*" حرکت می کند. اگر قبلا بودید
در گره ریشه، می توانید به جای آن این کار را انجام دهید:

کلاس های سی دی\*

یا حتی:

کلاس های سی دی
سی دی *

عناصر مسیر (نام گره ها) به صورت غیر حساس با حروف بزرگ تطبیق داده می شوند و کاراکترهایی مانند فاصله،
"*" و "؟" دارند نه اهمیت ویژه

"cd .." ممکن است برای رفتن به فهرست والد استفاده شود.

"cd" بدون هیچ آرگومان مسیر فعلی را چاپ می کند.

مراقب "cd \" باشید زیرا کتابخانه Readline رفتار غیرمستندی دارد
فکر می کند اسلش نهایی ادامه دارد (خط بعدی ورودی را می خواند
و آن را ضمیمه می کند). بعد از بک اسلش یک فاصله بگذارید.

نزدیک | پیاده کردن
کندوی بارگیری شده در حال حاضر را ببندید.

اگر hive را تغییر دهید، با فراخوانی این دستور، تمام نوشته های غیرمتعهد از بین می روند
(یا اگر پوسته خارج شود). برای نوشتن تغییرات باید "commit" را فراخوانی کنید.

مرتکب شدن [فایل جدید]
تغییرات را در کندو انجام دهید. اگر پارامتر اختیاری "newfile" ارائه شده باشد،
hive در آن فایل نوشته می شود، در غیر این صورت فایل اصلی رونویسی می شود.

توجه داشته باشید که باید پرچم "-w" را مشخص کنید، در غیر این صورت هیچ نوشتنی مجاز نیست.

از گره فعلی و همه چیز زیر آن را حذف کنید. دایرکتوری فعلی به بالا منتقل می شود
یک سطح (مثل اینکه "cd .." را انجام داده اید) بعد از این دستور.

شما نمی توانید گره ریشه را حذف کنید.

خروج | ترک
از پوسته خارج شوید.

بار hivefile
کندو باینری با نام "hivefile" را بارگیری کنید. کندوی بارگیری شده در حال حاضر، در صورت وجود، بسته است.
دایرکتوری فعلی دوباره به گره ریشه تغییر می کند.

ls کلیدهای فرعی کلید رجیستری فعلی کندو را فهرست کنید. توجه داشته باشید این دستور را نمی گیرد
هر گونه استدلال

lsval [کلید]
جفت‌های (کلید، مقدار) کلید رجیستری کندو فعلی را فهرست کنید. اگر استدلالی ارائه نشد
سپس تمام جفت ها نمایش داده می شوند. اگر "کلید" داده شود، مقدار کلید نامگذاری شده است
نمایش داده. اگر "@" داده شود، مقدار کلید پیش فرض نمایش داده می شود.

ستوال nrvals
این دستور همه جفت‌های (کلید، مقدار) را در گره فعلی با مقادیر داخل جایگزین می‌کند
ورودی بعدی "nrvals" تعداد مقادیر (یعنی جفت (کلید، مقدار)) و هر کدام است
مقادیر موجود در این گره حذف می شوند. بنابراین "setval 0" فقط هر مقداری را در آن حذف می کند
گره فعلی

دستور 2 * nrvals خطوط ورودی را با هر جفت خط ورودی می خواند
مربوط به یک کلید و یک مقدار برای اضافه کردن.

برای مثال، دستور setval زیر هر چیزی را که در گره فعلی است جایگزین می‌کند
با دو جفت (کلید، مقدار). کلید پیش فرض روی رشته رمزگذاری شده UTF16-LE تنظیم شده است
"آ ب پ ت". مقدار دیگر "ANumber" نام دارد و یک DWORD کوچک 0x12345678 است.

مجموعه 2
@
رشته: abcd
یک عدد
dword:12345678

اولین خط هر جفت کلید است (کلید ویژه "@" به معنای کلید پیش فرض است، اما
شما همچنین می توانید از یک خط خالی استفاده کنید).

خط دوم هر جفت مقدار است که دارای فرمت خاص "type:value" است.
با انواع احتمالی که در جدول زیر خلاصه شده اند:

هیچ داده ای ذخیره نمی شود و نوع آن روی 0 تنظیم شده است.

string:abc "abc" به عنوان یک UTF16-LE-encoded ذخیره می شود
رشته (نوع 1). توجه داشته باشید که فقط 7 بیت
رشته های ASCII به عنوان ورودی پشتیبانی می شوند.

Expandstring: ... مانند رشته اما با نوع 2.

dword:0x01234567 یک DWORD (نوع 4) با مقدار هگز
0x01234567. شما همچنین می توانید از اعشار استفاده کنید
یا اعداد اکتالی در اینجا.

qword:0x0123456789abcdef
یک QWORD (نوع 11) با مقدار هگز
0x0123456789abcdef. همچنین می توانید استفاده کنید
اعداد اعشاری یا اکتالی در اینجا.

هگز: :
hex:1:41,00,42,00,43,00,44,00,00,00
این روش عمومی برای وارد کردن هر یک است
ارزش. نوع مقدار صحیح است.
لیستی از جفت هگز است
ارقامی که به عنوان بایت در نظر گرفته می شوند.
(هر رقم غیر هگزا در اینجا نادیده گرفته می شود،
بنابراین می توانید بایت ها را با کاما جدا کنید
یا در صورت تمایل فضاها).

مثال

$ guestfish --ro -i Windows7
> نرم افزار win:c:\windows\system32\config\software را دانلود کنید
> ترک کردن

نرم افزار $ hivexsh

به hivexsh، پوسته تعاملی hivex برای بررسی خوش آمدید
فایل های باینری رجیستری ویندوز.

برای کمک به دستورات، «راهنما» را تایپ کنید
"ترک" برای ترک پوسته

نرم افزار\> ls
فناوری های ATI
کلاس
مشتریان
اینتل
مایکروسافت
ODBC
سیاست
برنامه های ثبت شده
صوتی
Wow6432Node
نرم افزار\> ترک کنید

از hivexsh به صورت آنلاین با استفاده از خدمات onworks.net استفاده کنید