これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド reglookup です。
プログラム:
NAME
reglookup - Windows NT+ レジストリ リーダー/ルックアップ ツール
SYNOPSIS
再検索 [オプション] レジストリファイル
DESCRIPTION
reglookup は、Windows レジストリ要素を読み取り、標準出力に出力するように設計されています。
CSV のような形式。 出力の焦点を絞り込むためのフィルタリング オプションがあります。 このツールは
Windows NT ベースのレジストリで動作するように設計されています。
OPTIONS
再検索 次のパラメータを受け入れます。
-p プレフィックスフィルター
パスプレフィックスフィルターを指定します。 このレジストリ パスの下にあるキー/値のみが、
出力。
-t タイプフィルター
タイプフィルターを指定します。 このレジストリ データ タイプに一致する要素のみが、
印刷された。 許容される値は次のとおりです。 無し、 サウスカロライナ州 EXPAND_SZ、 バイナリ、 ドワード、 DWORD_BE、 リンク、
マルチ_SZ、 RSRC_LIST、 RSRC_DESC、 RSRC_REQ_LIST、 クワード および キー .TP -h を有効にします
列ヘッダー行の印刷。 (デフォルト)
-i 出力される値は、親キーのタイムスタンプを継承します。
彼らと一緒に。 このタイムスタンプは、特定の場合には必ずしも意味があるわけではないことに注意してください。
タイムスタンプはキーのみに保存され、どれがどれであるかを区別できないため、value 値が使用されます。
特定のキーの値を変更すると、その値が更新されるため、値は変更されています。
タイムスタンプ。
-H 列ヘッダー行の印刷を無効にします。
-s キーセキュリティからの情報を含む出力に XNUMX つの列を追加します。
記述子とめったに使用されないフィールド。 列は、所有者、グループ、sacl、dacl、
クラス。 (この機能の出力は広範囲にテストされていません。)
-S セキュリティ記述子情報の印刷を無効にします。 (デフォルト)
-v 詳細な出力。
レジストリファイル
必須の引数。 読み取るレジストリ ファイルの場所を指定します。 システム
レジストリ ファイルは次の場所にあります。 %SystemRoot%/system32/config.
出力
再検索 カンマ区切り値 (CSV) を生成し、標準出力に書き込みます。 フォーマットは
CSV 特殊文字を引用符で囲むことにより、他のツールの解析アルゴリズムを簡素化するように設計されています。
一般的な XNUMX 進形式を使用します。 具体的には、特殊文字または非 ASCII バイトは、
「\xQQ」に変換されます。ここで、QQ はバイトの XNUMX 進値です。
各行の列またはフィールドの数は、プログラムの特定の実行に対して固定されていますが、
指定されたコマンド ライン オプションによって異なる場合があります。 詳細についてはヘッダー行を参照してください
利用可能なフィールドとその内容について。
一部の行の一部のフィールドには、追加の区切り文字が必要なサブフィールドが含まれる場合があります。 もし
これらのサブデリミタはこれらのサブフィールドに出現し、同様にエンコードされます。
カンマまたはその他の特殊文字は使用できません。 現在、第 XNUMX レベル、第 XNUMX レベル、および第 XNUMX レベル
区切り文字はそれぞれ「|」、「:」、「」です。 これらは特に摂取することが重要です
セキュリティ属性がいつ出力されるかを記録します。 これらの区切り文字が発生する可能性があることに注意してください
フィールドは下位区切りではないため、特別なものとして解釈しないでください。
レジストリ キーのセキュリティ属性は、ここで概説する複雑な構造を持っています。 それぞれ
通常、キーには ACE で構成される ACL (アクセス コントロール リスト) が関連付けられています。
(アクセス制御エントリ)。 各 ACE は、前述の XNUMX 番目の区切り文字で区切られます。
上では「|」です。 ACE 内のフィールドは、第 XNUMX レベルの区切り文字「:」で区切られます。
SID、ACE タイプ (ALLOW、DENY など)、アクセス権のリスト、およびアクセス権のリストで構成されます。
フラグ。 最後の XNUMX つのフィールドは、第 XNUMX レベルの区切り文字「 」で区切られています。 これらの最終的な
リストは、人間が判読できるビットの解釈にすぎません。 アクセス権の略語
Microsoft が割り当てた名前とともに以下にリストします。
QRY_VAL キー_QUERY_VALUE
SET_VAL キー_SET_VALUE
CREATE_KEY キー_CREATE_SUB_KEY
ENUM_KEYS KEY_ENUMERATE_SUB_KEYS
通知キー_通知
CREATE_LNK KEY_CREATE_LINK
WOW64_64キー_WOW64_64キー
WOW64_32キー_WOW64_32キー
削除 削除
R_CONT READ_CONTROL
W_DAC 書き込み_DAC
W_OWNER WRITE_OWNER
同期 同期
SYS_SEC アクセス_SYSTEM_SECURITY
MAX_ALLWD MAXIMUM_ALLOWED
GEN_A GENERIC_ALL
GEN_X GENERIC_EXECUTE
GEN_W GENERIC_WRITE
GEN_R GENERIC_READ
各フラグの意味は次のとおりです。
OIオブジェクトの継承
CIコンテナの継承
NP 非伝播
IO継承のみ
IA継承ACE
詳細については、次の参考資料を参照してください。
http://msdn2.microsoft.com/en-gb/library/ms724878.aspx
http://msdn2.microsoft.com/en-gb/library/aa374892.aspx
http://msdn2.microsoft.com/en-us/library/aa772242.aspx
http://support.microsoft.com/kb/220167
上記のビットの一部は Microsoft によって割り当てられていない、または
単に文書化されていないだけです。 上記 XNUMX つのフィールドに設定されていないビットがある場合、
認識されると、これらすべての謎のビットの XNUMX 進数表現が含まれます。
出力。 たとえば、最下位ビットと下から XNUMX 番目のビットが認識されなかった場合、
設定すると、数値「0x5」がリストの要素として含まれます。
ACL/ACE 出力形式は現時点ではほぼ安定していますが、小さな変更が生じる可能性があります。
将来のバージョンで導入されます。
例
システム レジストリ ファイル全体の内容を読み取って印刷するには、次の手順を実行します。
reglookup /mnt/win/c/WINNT/system32/config/system
出力を Services キーの下のエントリのみに制限するには、次のようにします。
reglookup -p /ControlSet002/Services /mnt/win/c/WINNT/system32/config/system
出力を BINARY 型のすべてのレジストリ値に制限するには、次の手順を実行します。
reglookup -t BINARY /mnt/win/c/WINNT/system32/config/system
そして、Services キーの下で出力を BINARY 値に制限するには、次のようにします。
reglookup -t BINARY -p /ControlSet002/Services /mnt/win/c/WINNT/system32/config/system
onworks.net サービスを使用してオンラインで reglookup を使用する
