Este é o comando hivexsh que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
hivexsh - shell do hive do Registro do Windows
SINOPSE
hivexsh [-opções] [hivefile]
DESCRIÇÃO
Este programa fornece um shell simples para navegar nos arquivos 'hive' do Registro do Windows. Isto
usa a biblioteca hivex para acessar esses arquivos binários.
Em primeiro lugar, você precisará fornecer um arquivo hive de um sistema operacional Windows. A colméia
os arquivos geralmente estão localizados em "C: \ Windows \ System32 \ Config" e têm nomes como "software",
"sistema" etc (sem qualquer extensão de arquivo). Para obter mais informações sobre arquivos de colmeia, leia
colmeia(3). Para obter informações sobre como baixar arquivos de máquinas virtuais, leia virt-gato(1).
e peixe convidado(1).
Você pode fornecer o nome do arquivo hive a ser examinado na linha de comando. Por exemplo:
software hivexsh
Ou você pode iniciar o "hivexsh" sem nenhum argumento e usar imediatamente o comando "load"
para carregar uma colmeia:
$ hivexsh
Bem-vindo ao hivexsh, o shell interativo do hivex para examinar
Arquivos de hive binários do Registro do Windows.
Digite: 'help' para obter ajuda com os comandos
'quit' para sair do shell
> carregar software
software \>
Navegue pelas teclas do hive usando o comando "cd", como se contivesse um sistema de arquivos,
e use "ls" para listar as subchaves da chave atual. Outros comandos estão listados abaixo.
OPÇÕES
-d Habilite muitas mensagens de depuração. Se você encontrar um arquivo de registro que este programa não pode
analisar, habilite esta opção e publique o resultado completo e a seção de registro
arquivo em seu relatório de bug.
-f nome do arquivo
Leia os comandos de "filename" em vez de stdin. Para escrever um script hivexsh, use:
#! / usr / bin / hivexsh -f
-w Se esta opção for fornecida, então as gravações são permitidas na colmeia (veja o comando "commit"
abaixo, e a discussão sobre a modificação de urticária em "ESCREVER PARA ARQUIVOS DE HIV" em colmeia(3)).
importante Nota: Mesmo se você especificar esta opção, nada é gravado em uma colmeia, a menos que
você chama o comando "commit". Se você sair do shell sem confirmar, todas as mudanças
será descartado.
Se esta opção não for fornecida, os comandos de gravação serão desabilitados.
COMANDOS
adicionar nome
Adicione uma subchave chamada "nome" abaixo do nó atual. O nome pode conter espaços e
caracteres de pontuação e não precisa estar entre aspas.
A nova chave não terá subchaves e nenhum valor (consulte "setval").
Não deve haver nenhuma subchave chamada "nome" ou este comando falhará. Para substituir
uma subchave existente, exclua-a primeiro assim:
nome do cd
do
cd caminho
Mude para a subchave "caminho". Use barras invertidas no estilo do Windows para separar os elementos do caminho,
e comece com uma barra invertida para começar a partir da raiz da colmeia. Por exemplo:
cd \ Classes \ *
move-se do nó raiz para o nó "Classes" e depois para o nó "*". Se você já fosse
no nó raiz, você pode fazer isso:
Aulas de cd \ *
ou mesmo:
aulas de cd
CD *
Elementos de caminho (nomes de nós) são casados insensivelmente com maiúsculas e minúsculas, e caracteres como espaço,
"*", e "?" tenho não significado especial.
"cd .." pode ser usado para ir para o diretório pai.
"cd" sem nenhum argumento imprime o caminho atual.
Tenha cuidado com "cd \" uma vez que a biblioteca readline tem um comportamento não documentado onde
pensará que a barra invertida finaléuma continuação (lê a próxima linha de entrada
e o anexa). Coloque um único espaço após a barra invertida.
fechar | descarregar
Feche a seção atualmente carregada.
Se você modificou o hive, todas as gravações não confirmadas serão perdidas quando você chamar este comando
(ou se o shell sair). Você tem que chamar "commit" para escrever as mudanças.
commit [novo arquivo]
Faça alterações na colmeia. Se o parâmetro opcional "newfile" for fornecido, o
O hive é gravado nesse arquivo, caso contrário, o arquivo original é sobrescrito.
Observe que você deve especificar o sinalizador "-w", caso contrário, nenhuma gravação será permitida.
do Exclua o nó atual e tudo abaixo dele. O diretório atual é movido para cima
um nível (como se você tivesse feito "cd ..") após este comando.
Você não pode excluir o nó raiz.
saída | desistir
Saia do shell.
carregar arquivo de colmeia
Carregue a seção binária chamada "hivefile". A seção atualmente carregada, se houver, está fechada.
O diretório atual é alterado de volta para o nó raiz.
ls Liste as subchaves da chave do Registro do hive atual. Observe que este comando não leva
quaisquer argumentos.
lsval [chave]
Liste os pares (chave, valor) da chave do Registro do hive atual. Se nenhum argumento for dado
então todos os pares são exibidos. Se "chave" for fornecida, o valor da chave nomeada é
exibido. Se "@" for fornecido, o valor da chave padrão será exibido.
Setval valores
Este comando substitui todos os pares (chave, valor) no nó atual pelos valores em
entrada subsequente. "nrvals" é o número de valores (ou seja, pares (chave, valor)) e qualquer
os valores existentes neste nó são excluídos. Portanto, "setval 0" apenas exclui quaisquer valores em
o nó atual.
O comando lê 2 * nrvals linhas de entrada, com cada par de linhas de entrada
correspondendo a uma chave e um valor a adicionar.
Por exemplo, o seguinte comando setval substitui tudo o que está no nó atual
com dois pares (chave, valor). A chave padrão é definida para a string codificada em UTF16-LE
"abcd". O outro valor é denominado "ANumber" e é um little endian DWORD 0x12345678.
valor de configuração 2
@
string: abcd
Um número
dword: 12345678
A primeira linha de cada par é a chave (a chave especial "@" significa a chave padrão, mas
você também pode usar uma linha em branco).
A segunda linha de cada par é o valor, que tem um formato especial "tipo: valor"
com os tipos possíveis resumidos na tabela abaixo:
nenhum Nenhum dado é armazenado e o tipo é definido como 0.
string: abc "abc" é armazenado como um codificado em UTF16-LE
string (tipo 1). Observe que apenas 7 bits
Strings ASCII são suportadas como entrada.
expandstring: ... O mesmo que string, mas com tipo 2.
dword: 0x01234567 Um DWORD (tipo 4) com o valor hexadecimal
0x01234567. Você também pode usar decimal
ou números octais aqui.
qword: 0x0123456789abcdef
Uma QWORD (tipo 11) com o valor hexadecimal
0x0123456789abcdef. Você também pode usar
números decimais ou octais aqui.
hex: :
hex: 1: 41,00,42,00,43,00,44,00,00,00
Esta é a forma genérica de inserir qualquer
valor. é o tipo de valor inteiro.
é uma lista de pares hexadecimais
dígitos que são tratados como bytes.
(Quaisquer dígitos não hexadecimais aqui são ignorados,
então você pode separar bytes com vírgulas
ou espaços se quiser).
EXEMPLO
$ guestfish --ro -i Windows7
> download win: c: \ windows \ system32 \ config \ software software
> Sair
software $ hivexsh
Bem-vindo ao hivexsh, o shell interativo do hivex para examinar
Arquivos de hive binários do Registro do Windows.
Digite: 'help' para obter ajuda com os comandos
'quit' para sair do shell
software \> ls
ATI Technologies
Classes
Clientes
Intel
Microsoft
ODBC
Políticas internas
Aplicativos registrados
sônico
Wow6432Node
software \> sair
Use hivexsh online usando serviços onworks.net
