Este é o comando hivexregedit que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
hivexregedit - Mesclar e exportar alterações do Registro de arquivos no formato regedit.
SINOPSE
hivexregedit --merge [--prefix prefix] [--encoding encoding] \
hivefile [arquivo reg]
hivexregedit --export [--prefix prefix] chave do hivefile> regfile
DESCRIÇÃO
Observe que o hivexregedit é uma ferramenta de baixo nível para manipular arquivos hive diretamente. Para
mesclar ou exportar alterações de registro para máquinas virtuais do Windows, é melhor usar
virt-win-reg(1).
Dado um arquivo binário local ("hive"), existem dois modos. Importações "--merge" (mesclagens)
alterações de um arquivo no formato regedit para a colmeia. É semelhante a usar a opção "/ s"
no Windows regedit.exe.
"--export" exporta uma chave do Registro (recursivamente) para o formato regedit.
CODIFICAÇÃO
"hivexregedit" espera que os arquivos regedit já tenham sido recodificados no local
codificação. Normalmente em hosts Linux, isso significa UTF-8 com terminações de linha no estilo Unix. Desde a
Os arquivos regedit do Windows estão geralmente em UTF-16LE com terminações de linha no estilo do Windows, você pode precisar
para recodificar todo o arquivo antes ou depois do processamento.
Para recodificar um arquivo do formato Windows para Linux (antes de processá-lo com o "--merge"
opção), você faria algo assim:
iconv -f utf-16le -t utf-8 <win.reg | dos2unix> linux.reg
Para ir na direção oposta, depois de usar "--export" e antes de enviar o arquivo para um
Usuário do Windows, faça algo assim:
unix2dos <linux.reg | iconv -f utf-8 -t utf-16le> win.reg
Para obter mais informações sobre codificação, consulte Win :: Hivex ::Regedit(3).
Se você não tiver certeza sobre a codificação atual, use o lima(1) comando. Versões recentes de
O regedit.exe do Windows produz um arquivo UTF-16LE com terminações de linha no estilo do Windows (CRLF), como
esta:
$ arquivo software.reg
software.reg: Texto Unicode UTF-16 Little-endian, com linhas muito longas,
com terminadores de linha CRLF
Este arquivo precisaria ser convertido antes que você pudesse "--merge".
SHELL CITAÇÃO
Tenha cuidado ao passar parâmetros contendo "\" (barra invertida) no shell. Normalmente você
terá que usar 'aspas simples' ou barras invertidas duplas (mas não ambos) para protegê-los contra
A concha.
CurrentControlSet etc.
Chaves de registro como "CurrentControlSet" realmente não existem no registro do Windows no
nível do arquivo de colmeia e, portanto, você não pode modificá-los.
"CurrentControlSet" geralmente é um apelido para "ControlSet001". Em algumas circunstâncias,
pode se referir a outro conjunto de controle. A maneira de descobrir é olhar para o
Tecla "HKLM \ SYSTEM \ Select":
$ hivexregedit --export SYSTEM '\ Select'
[\ Selecione]
"Atual" = dword: 00000001
"Padrão" = dword: 00000001
"Falha" = dword: 00000000
"LastKnownGood" = dword: 00000002
"Atual" é aquele que o Windows escolherá ao inicializar.
Da mesma forma, outras chaves "Atual ..." no caminho podem precisar ser substituídas.
EXEMPLO
$ virt-cat WindowsGuest / Windows / System32 / config / software> software.hive
$ hivexregedit --exportar \
--prefix 'HKEY_LOCAL_MACHINE \ SOFTWARE' \
software.hive '\ Microsoft'> ms-keys.reg
$ hivexregedit --merge sistema.hive\
--prefix 'HKEY_LOCAL_MACHINE \ SYSTEM' addions.reg
OPÇÕES
--Socorro
Exibir ajuda.
--depurar
Ative a depuração na biblioteca hivex. Isso é útil para diagnosticar bugs e também
arquivos de colmeia malformados.
--mesclar
hivexregedit --merge [--prefix prefix] [--encoding encoding] \
hivefile [arquivo reg]
Mescle "regfile" (um arquivo de texto no formato regedit) no hive "hivefile". Se "regfile"
é omitido, então o programa lê a entrada padrão. (Você também pode dar vários
arquivos de entrada).
"--prefix" especifica o prefixo do Registro do Windows. Quase sempre é necessário
use isso ao lidar com arquivos de colmeia reais.
"--encoding" especifica a codificação para strings não marcadas na entrada. O padrão é
"UTF-16LE" que deve funcionar nas versões recentes do Windows. Outra possibilidade é
para usar "ASCII".
--exportar
hivexregedit --export [--prefix prefix] chave do hivefile> regfile
"chave" é um caminho dentro do "arquivo de colmeia". (A chave não deve conter nenhum prefixo
e deve ser citado para defender barras invertidas do shell). A chave é exportada,
recursivamente, para a saída padrão no formato regedit textual.
"--prefix" especifica o prefixo do Registro do Windows. Quase sempre é necessário
use isso ao lidar com arquivos de colmeia reais.
--prefixo prefixo
Os arquivos Hive e os nomes das chaves do Registro do Windows estão indiretamente relacionados. Por exemplo, dentro
a seção de software, todas as chaves são armazenadas em relação a "HKEY_LOCAL_MACHINE \ SOFTWARE".
Portanto, "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft" aparece no arquivo de seção como "\ Microsoft".
O formato do hive em si não armazena esse prefixo, então você deve fornecê-lo com base em
conhecimento externo. (virt-win-reg(1), entre outras coisas, já sabe disso).
Normalmente é suficiente passar o parâmetro "--prefix
'HKEY_LOCAL_MACHINE \ SOFTWARE' "ou similar ao fazer mesclagens e exportações.
--codificação UTF-16LE | ASCII
Ao mesclar (apenas), você pode precisar especificar a codificação para as strings a serem usadas em
o arquivo da colmeia. Isso é explicado em detalhes em "CODIFICANDO STRINGS" em
Win :: Hivex ::Regedit(3).
O padrão é usar UTF-16LE, que deve funcionar com versões recentes do Windows.
--strings imprimíveis inseguras
Ao exportar (apenas), assuma que as strings são UTF-16LE e imprima-as como strings.
de sequências hexadecimais. Remova o ponto de código zero final das strings, se houver.
Isso não é seguro e não preserva a fidelidade das cordas na colmeia original por
Várias razões:
· Presume que a codificação original é UTF-16LE. Strings ASCII e strings em outros
as codificações serão corrompidas por esta transformação.
· Assume que tudo o que tem tipo 1 ou 2 é realmente uma string e que
todo o resto não é uma string, mas o campo de tipo em colmeias reais não é confiável.
· Perde informações sobre se um ponto de código zero seguiu a string na colmeia
ou não.
Tudo isso acontece porque a própria colmeia não contém informações sobre como as cordas são
codificado (consulte "CODIFICANDO STRINGS" em Win :: Hivex ::Regedit(3)).
Você só deve usar esta opção para hackear e depurar rapidamente o conteúdo do hive,
e nunca use-o se a saída for passada para outro programa ou armazenada em
outra colmeia.
Use hivexregedit online usando serviços onworks.net
