Dit is de opdracht hivexsh die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
hivexsh - Windows-register hive-shell
KORTE INHOUD
hivexsh [-opties] [hivebestand]
PRODUCTBESCHRIJVING
Dit programma biedt een eenvoudige shell voor het navigeren door Windows Registry 'hive'-bestanden. Het
gebruikt de hivex-bibliotheek voor toegang tot deze binaire bestanden.
Ten eerste moet u een hive-bestand van een Windows-besturingssysteem aanleveren. De korf
bestanden bevinden zich meestal in "C:\Windows\System32\Config" en hebben namen als "software",
"systeem" etc (zonder enige bestandsextensie). Lees voor meer informatie over hive-bestanden
bijenkorf(3). Lees voor informatie over het downloaden van bestanden van virtuele machines virt-kat(1)
en gastvis(1).
U kunt de naam opgeven van het hive-bestand dat u wilt onderzoeken op de opdrachtregel. Bijvoorbeeld:
hivexsh-software
Of u kunt "hivexsh" zonder enige argumenten starten en onmiddellijk het commando "load" gebruiken
een bijenkorf laden:
$ hivexsh
Welkom bij hivexsh, de hivex interactieve shell voor onderzoek
Binaire hive-bestanden in het Windows-register.
Type: 'help' voor hulp bij commando's
'quit' om de shell te verlaten
> software laden
programmatuur\>
Navigeer door de toetsen van de hive met behulp van de opdracht "cd", alsof deze een bestandssysteem bevat,
en gebruik "ls" om de subsleutels van de huidige sleutel weer te geven. Andere commando's staan hieronder vermeld.
OPTIES
-d Schakel veel foutopsporingsberichten in. Als u een registerbestand vindt dat dit programma niet kan
ontleden, schakel deze optie in en post de volledige uitvoer en de registercomponent
bestand in uw bugrapport.
-f bestandsnaam
Lees opdrachten van "bestandsnaam" in plaats van stdin. Om een hivexsh-script te schrijven, gebruik je:
#!/usr/bin/hivexsh -f
-w Als deze optie wordt gegeven, zijn schrijfbewerkingen naar de component toegestaan (zie "commit"-commando
hieronder, en de bespreking van het wijzigen van hives in "SCHRIJVEN NAAR HIVE FILES" in bijenkorf(3)).
belangrijk Opmerking: Zelfs als u deze optie opgeeft, wordt er niets naar een component geschreven tenzij
je roept het "commit" commando aan. Als je de shell verlaat zonder te committen, verandert alles
zal worden weggegooid.
Als deze optie niet wordt gegeven, zijn schrijfopdrachten uitgeschakeld.
COMMANDO'S
toevoegen naam
Voeg een subsleutel met de naam "naam" toe onder het huidige knooppunt. De naam mag spaties en bevatten
leestekens en hoeft niet tussen aanhalingstekens te staan.
De nieuwe sleutel heeft geen subsleutels en geen waarden (zie "setval").
Er mag geen bestaande subsleutel met de naam "name" zijn, anders zal deze opdracht mislukken. Vervangen
een bestaande subsleutel, verwijder deze eerst als volgt:
cd-naam
del
cd pad
Ga naar de subsleutel "pad". Gebruik backslashes in Windows-stijl om padelementen te scheiden,
en begin met een backslash om te beginnen vanaf de root van de korf. Bijvoorbeeld:
cd \Klassen\*
gaat van het hoofdknooppunt naar het "Klassen"-knooppunt, naar het "*"-knooppunt. Als je dat al was
bij het rootknooppunt zou je in plaats daarvan dit kunnen doen:
cd Klassen\*
of zelfs:
cd-lessen
cd*
Padelementen (knooppuntnamen) zijn ongevoelig voor hoofdletters en kleine letters, en tekens zoals spatie,
"*", En "?" hebben geen bijzondere betekenis.
"cd .." kan worden gebruikt om naar de bovenliggende map te gaan.
"cd" zonder enige argumenten drukt het huidige pad af.
Wees voorzichtig met "cd \" aangezien de readline-bibliotheek een ongedocumenteerd gedrag heeft waar
het zal denken dat de laatste backslash een voortzetting is (het leest de volgende invoerregel
en voegt het toe). Plaats een enkele spatie na de backslash.
dichtbij | lossen
Sluit de momenteel geladen component.
Als u de component hebt gewijzigd, gaan alle niet-vastgelegde schrijfbewerkingen verloren wanneer u deze opdracht aanroept
(of als de shell wordt afgesloten). U moet "commit" aanroepen om wijzigingen te schrijven.
plegen [nieuw bestand]
Voer wijzigingen door in de korf. Als de optionele parameter "newfile" wordt opgegeven, dan wordt het
hive wordt naar dat bestand geschreven, anders wordt het originele bestand overschreven.
Merk op dat u de vlag "-w" moet specificeren, anders is schrijven niet toegestaan.
del Verwijder het huidige knooppunt en alles eronder. De huidige map wordt naar boven verplaatst
één niveau (alsof je "cd .." deed) na dit commando.
U kunt het hoofdknooppunt niet verwijderen.
afrit | ophouden
Verlaat de schelp.
laden bijenkorfbestand
Laad de binaire component met de naam "hivefile". De momenteel geladen component, indien aanwezig, is gesloten.
De huidige map wordt teruggezet naar het hoofdknooppunt.
ls Maak een lijst van de subsleutels van de huidige hive-registersleutel. Merk op dat deze opdracht niet werkt
eventuele argumenten.
lsval [sleutel]
Maak een lijst van de (sleutel, waarde) paren van de huidige hive-registersleutel. Als er geen argument wordt gegeven
dan worden alle paren weergegeven. Als "sleutel" wordt gegeven, dan is de waarde van de genoemde sleutel
weergegeven. Als "@" wordt gegeven, wordt de waarde van de standaardsleutel weergegeven.
setval nummers
Deze opdracht vervangt alle (sleutel, waarde) paren op het huidige knooppunt door de waarden in
latere invoer. "nrvals" is het aantal waarden (d.w.z. (sleutel, waarde) paren), en any
bestaande waarden op dit knooppunt worden verwijderd. Dus "setval 0" verwijdert gewoon alle waarden op
het huidige knooppunt.
Het commando leest 2 * aantal invoerregels, met elk paar invoerregels
overeenkomend met een sleutel en een waarde die moet worden toegevoegd.
Het volgende setval-commando vervangt bijvoorbeeld alles wat zich op het huidige knooppunt bevindt
met twee (sleutel, waarde) paren. De standaardsleutel is ingesteld op de UTF16-LE-gecodeerde tekenreeks
"abcd". De andere waarde heet "ANumber" en is een little-endian DWORD 0x12345678.
setval 2
@
tekenreeks:abcd
Een getal
dword:12345678
De eerste regel van elk paar is de sleutel (de speciale sleutel "@" betekent de standaardsleutel, maar
u kunt ook een lege regel gebruiken).
De tweede regel van elk paar is de waarde, die een speciaal formaat "type:waarde" heeft
met mogelijke typen samengevat in de onderstaande tabel:
geen Er worden geen gegevens opgeslagen en het type is ingesteld op 0.
string:abc "abc" wordt opgeslagen als UTF16-LE-gecodeerd
tekenreeks (type 1). Merk op dat slechts 7 bit
ASCII-tekenreeksen worden ondersteund als invoer.
expandstring:... Zelfde als string maar met type 2.
dword:0x01234567 Een DWORD (type 4) met de hexadecimale waarde
0x01234567. U kunt ook decimaal gebruiken
of octale getallen hier.
qword:0x0123456789abcdef
Een QWORD (type 11) met de hexadecimale waarde
0x0123456789abcdef. Je kan ook gebruiken
decimale of octale getallen hier.
zeshoek: :
hex:1:41,00,42,00,43,00,44,00,00,00
Dit is de algemene manier om er een in te voeren
waarde. is het integer-waardetype.
is een lijst met paren van hex
cijfers die worden behandeld als bytes.
(Alle niet-hexadecimale cijfers worden hier genegeerd,
zodat u bytes kunt scheiden met komma's
of spaties als je wilt).
VOORBEELD
$ guestfish --ro -i Windows7
> download win:c:\windows\system32\config\softwaresoftware
> ontslag nemen
$ hivexsh-software
Welkom bij hivexsh, de hivex interactieve shell voor onderzoek
Binaire hive-bestanden in het Windows-register.
Type: 'help' voor hulp bij commando's
'quit' om de shell te verlaten
software\> ls
ATI Technologies
Klassen
Klanten
Intel
Microsoft
ODBC
Policies
Geregistreerde applicaties
sonisch
Wauw6432Node
software\> afsluiten
Gebruik hivexsh online met behulp van onworks.net-services
