recăutare - Online în cloud

PROGRAM:

NUME

reglookup - cititor de registry/instrument de căutare Windows NT+

REZUMAT

recăutare [Opțiuni] fisier-registru

DESCRIERE

reglookup este conceput pentru a citi elementele de registry Windows și a le tipări în stdout într-un
format asemănător CSV. Are opțiuni de filtrare pentru a restrânge focalizarea rezultatelor. Acest instrument este
conceput pentru a funcționa cu registrele bazate pe Windows NT.

OPŢIUNI

recăutare acceptă următorii parametri:

-p prefix-filtru
Specificați un filtru de prefix de cale. Doar cheile/valorile din această cale de registry vor fi
ieșire.

-t tip-filtru
Specificați un filtru de tip. Numai elementele care se potrivesc cu acest tip de date de registru vor fi
tipărite. Valorile acceptabile sunt: NICI UNUL, SZ, EXPAND_SZ, BINAR, DWORD, DWORD_BE, LEGĂTURĂ,
MULTI_SZ, RSRC_LIST, RSRC_DESC, RSRC_REQ_LIST, QWORD și CHEIE .TP -h Activează
imprimarea unui rând de antet de coloană. (Mod implicit)

-i Valorile tipărite moștenesc marcajul de timp al cheii lor părinte, care este imprimat împreună
cu ei. Rețineți că acest marcaj temporal nu este neapărat semnificativ pentru niciunul dat
valori, deoarece marcajele de timp sunt salvate numai pe chei și nu puteți spune care
valoarea a fost modificată deoarece o modificare a oricărei valori a unei anumite chei ar actualiza
timestamp-ul.

-H Dezactivează imprimarea unui rând de antet de coloană.

-s Adaugă cinci coloane suplimentare la ieșire care conțin informații de la securitatea cheii
descriptori și câmpuri rar utilizate. Coloanele sunt: ​​proprietar, grup, sacl, dacl,
clasă. (Ieșirea acestei caracteristici nu a fost testată pe larg.)

-S Dezactivează tipărirea informațiilor despre descriptori de securitate. (Mod implicit)

-v Iesire verbala.

fisier-registru
Argument necesar. Specifică locația fișierului de registry de citit. Sistemul
fișierele de registry ar trebui găsite sub: %SystemRoot%/system32/config.

REZULTATE

recăutare generează valori separate prin virgulă (CSV) și le scrie în stdout. Formatul este
conceput pentru a simplifica algoritmii de analiză ai altor instrumente prin citarea caracterelor speciale CSV
folosind un format hexazecimal comun. Mai exact, caracterele speciale sau octeții non-ascii sunt
convertit în „\xQQ” unde QQ este valoarea hexazecimală pentru octet.

Numărul de coloane sau câmpuri din fiecare linie este fix pentru o anumită rulare a programului, dar
poate varia în funcție de opțiunile din linia de comandă furnizate. Consultați linia de antet pentru informații
pe ce câmpuri sunt disponibile și ce conțin.

Unele câmpuri din unele linii pot conține sub-câmpuri care necesită delimitatori suplimentari. Dacă
acești sub-delimitatori apar în aceste sub-câmpuri, de asemenea, sunt codificați în același mod ca
virgulele sau alte caractere speciale sunt. În prezent, al doilea, al treilea și al patrulea nivel
delimitatorii sunt „|”, „:”, respectiv „ „. Acestea sunt deosebit de importante de luat
notează când sunt tipărite atributele de securitate. Vă rugăm să rețineți că acești delimitatori pot apărea
în domenii care nu sunt subdelimitate și nu trebuie interpretate ca fiind speciale.

Atributele de securitate ale cheilor de registry au o structură complexă, care este prezentată aici. Fiecare
cheia va avea, în general, un ACL (Access Control List) asociat, care este alcătuit din ACE
(Intrări pentru controlul accesului). Fiecare ACE este delimitat de delimitatorul secundar menționat
mai sus, „|”. Câmpurile din cadrul unui ACE sunt delimitate de delimitatorul de nivel al treilea, „:”, și
constau dintr-un SID, tipul ACE (ALOW, DENY, etc), o listă de drepturi de acces și o listă de
steaguri. Ultimele două câmpuri sunt delimitate de delimitatorul de al patrulea nivel " ". Acestea final
listele sunt pur și simplu interpretări care pot fi citite de oameni ale biților. Abrevierile drepturilor de acces
sunt enumerate mai jos împreună cu numele lor atribuite de Microsoft:

QRY_VAL KEY_QUERY_VALUE
SET_VAL KEY_SET_VALUE
CREATE_KEY KEY_CREATE_SUB_KEY
ENUM_KEYS KEY_ENUMERATE_SUB_KEYS
NOTIFICAȚI KEY_NOTIFY
CREATE_LNK KEY_CREATE_LINK
WOW64_64 KEY_WOW64_64KEY
WOW64_32 KEY_WOW64_32KEY
DELETE DELETE
R_CONT READ_CONTROL
W_DAC WRITE_DAC
W_OWNER WRITE_OWNER
SINCRONIZARE SINCRONIZARE
SYS_SEC ACCESS_SYSTEM_SECURITY
MAX_ALLWD MAXIMUM_ALLOWED
GEN_A GENERIC_ALL
GEN_X GENERIC_EXECUTE
GEN_W GENERIC_WRITE
GEN_R GENERIC_READ

Și semnificația fiecărui steag este:

Moștenire obiect OI
CI Container Moștenire
NP Non-Propagat
Doar moștenire IO
IA Moștenit ACE

Vă rugăm să consultați următoarele referințe pentru mai multe informații:

http://msdn2.microsoft.com/en-gb/library/ms724878.aspx
http://msdn2.microsoft.com/en-gb/library/aa374892.aspx
http://msdn2.microsoft.com/en-us/library/aa772242.aspx
http://support.microsoft.com/kb/220167

Rețineți că unii dintre biții enumerați mai sus fie nu au fost alocați de Microsoft, fie
pur și simplu nu sunt documentate. Dacă sunt setați biți în cele două câmpuri de mai sus, nu sunt
recunoscut, o reprezentare hexizecimală a tuturor acestor biți misterioși va fi inclusă în
ieșirea. De exemplu, dacă bitul cel mai mic și al treilea bit cel mai scăzut nu au fost recunoscute în timp ce
fiind setat, numărul „0x5” va fi inclus ca element în listă.

Deși formatul de ieșire ACL/ACE este în mare parte stabil în acest moment, pot fi modificări minore
introdus în versiunile viitoare.

EXEMPLE

Pentru a citi și imprima conținutul unui întreg fișier de registry de sistem:

recăutare /mnt/win/c/WINNT/system32/config/system

Pentru a limita rezultatul doar la acele intrări din cheia Servicii:

recăutare -p /ControlSet002/Services /mnt/win/c/WINNT/system32/config/system

Pentru a limita rezultatul la toate valorile de registry de tip BINARY:

recăutare -t BINAR /mnt/win/c/WINNT/system32/config/system

Și pentru a limita rezultatul la valorile BINAR sub cheia Servicii:

recăutare -t BINAR -p /ControlSet002/Services /mnt/win/c/WINNT/system32/config/system

Utilizați recăutarea online folosind serviciile onworks.net