Это команда reglookup, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
reglookup - Windows NT + средство чтения / поиска в реестре
СИНТАКСИС
пересмотреть [опции] файл реестра
ОПИСАНИЕ
reglookup предназначен для чтения элементов реестра Windows и вывода их на стандартный вывод в
CSV-подобный формат. Он имеет параметры фильтрации, чтобы сузить фокус вывода. Этот инструмент
разработан для работы с реестрами на базе Windows NT.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
пересмотреть принимает следующие параметры:
-p префикс-фильтр
Задайте фильтр префикса пути. Только ключи / значения в этом пути реестра будут
вывод.
-t тип-фильтр
Укажите фильтр типа. Только элементы, соответствующие этому типу данных реестра, будут
напечатан. Допустимые значения: НИКТО, СЗ, EXPAND_SZ, БИНАРНЫЙ, Двойное слово, DWORD_BE, ССЫЛКА НА САЙТ,
МУЛЬТИ_СЗ, РРСЦ_СПИСОК, РРСРК_DESC, RSRC_REQ_LIST, QWORD и KEY .TP -h Включает
печать строки заголовка столбца. (дефолт)
-i Напечатанные значения наследуют метку времени своего родительского ключа, которая печатается вместе с
с ними. Обратите внимание, что эта временная метка не обязательно имеет значение для любого заданного
значения, потому что временные метки сохраняются только на ключах, и вы не можете сказать, какие
значение было изменено, так как изменение любого значения данного ключа приведет к обновлению
отметка времени.
-H Отключает печать строки заголовка столбца.
-s Добавляет пять дополнительных столбцов к выходным данным, содержащим информацию о безопасности ключей
дескрипторы и редко используемые поля. Столбцы: владелец, группа, сакл, дакл,
класс. (Вывод этой функции не был тщательно протестирован.)
-S Отключает печать информации дескриптора безопасности. (дефолт)
-v Подробный вывод.
файл реестра
Обязательный аргумент. Задает расположение файла реестра для чтения. Система
файлы реестра должны быть найдены в: % SystemRoot% / system32 / config.
ВЫВОД
пересмотреть генерирует значения, разделенные запятыми (CSV), и записывает их в стандартный вывод. Формат
разработан, чтобы упростить алгоритмы синтаксического анализа других инструментов, заключая в кавычки специальные символы CSV.
с использованием общего шестнадцатеричного формата. В частности, специальные символы или байты, отличные от ascii, являются
преобразован в "\ xQQ", где QQ - шестнадцатеричное значение байта.
Количество столбцов или полей в каждой строке фиксировано для данного запуска программы, но
может отличаться в зависимости от предоставленных параметров командной строки. См. Информацию в строке заголовка.
какие поля доступны и что они содержат.
Некоторые поля в некоторых строках могут содержать подполя, требующие дополнительных разделителей. Если
эти суб-разделители встречаются в этих подполях, они также кодируются так же, как
запятые или другие специальные символы. В настоящее время второй, третий и четвертый уровень
разделителями являются «|», «:» и «» соответственно. Это особенно важно
примечание о том, когда печатаются атрибуты безопасности. Обратите внимание, что эти разделители могут встречаться
в полях, которые не разделены суб-разделителями и не должны интерпретироваться как специальные.
Атрибуты безопасности ключей реестра имеют сложную структуру, которая описана здесь. Каждый
key обычно имеет связанный ACL (список контроля доступа), который состоит из ACE
(Записи контроля доступа). Каждый ACE отделяется указанным вторичным разделителем.
выше, "|". Поля в ACE разделяются разделителем третьего уровня, ":" и
состоят из SID, типа ACE (РАЗРЕШИТЬ, ЗАПРЕТИТЬ и т. д.), списка прав доступа и списка
флаги. Последние два поля разделяются разделителем четвертого уровня "". Эти последние
Списки - это просто удобочитаемые интерпретации битов. Сокращения прав доступа
перечислены ниже вместе с именами, присвоенными Microsoft:
QRY_VAL KEY_QUERY_VALUE
SET_VAL KEY_SET_VALUE
CREATE_KEY KEY_CREATE_SUB_KEY
ENUM_KEYS KEY_ENUMERATE_SUB_KEYS
УВЕДОМЛЕНИЕ KEY_NOTIFY
CREATE_LNK KEY_CREATE_LINK
WOW64_64KEY_WOW64_64KEY
WOW64_32KEY_WOW64_32KEY
УДАЛИТЬ УДАЛИТЬ
R_CONT ЧТЕНИЕ_CONTROL
W_DAC ЗАПИСЬ_DAC
W_OWNER WRITE_OWNER
СИНХРОНИЗАЦИЯ СИНХРОНИЗАЦИЯ
SYS_SEC ДОСТУП_СИСТЕМА_БЕЗОПАСНОСТИ
MAX_ALLWD MAXIMUM_ALLOWED
GEN_A GENERIC_ALL
GEN_X GENERIC_EXECUTE
GEN_W GENERIC_WRITE
GEN_R GENERIC_READ
И значение каждого флага:
Наследование объекта OI
Наследование контейнера CI
NP нераспространение
Только наследование ввода-вывода
IA унаследовал ACE
Для получения дополнительной информации см. Следующие ссылки:
http://msdn2.microsoft.com/en-gb/library/ms724878.aspx
http://msdn2.microsoft.com/en-gb/library/aa374892.aspx
http://msdn2.microsoft.com/en-us/library/aa772242.aspx
http://support.microsoft.com/kb/220167
Обратите внимание, что некоторые из вышеперечисленных битов либо не были выделены Microsoft, либо
просто не задокументированы. Если в двух вышеупомянутых полях установлены какие-либо биты, которые не
распознается, шестнадцатеричное представление всех этих загадочных битов будет включено в
выход. Например, если младший бит и третий младший бит не были распознаны, пока
будучи установленным, число «0x5» будет включено в список как элемент.
Хотя выходной формат ACL / ACE в основном стабилен на данный момент, незначительные изменения могут быть
введено в будущих версиях.
ПРИМЕРЫ
Чтобы прочитать и распечатать содержимое всего файла системного реестра:
reglookup / мнт / победа / c / WINNT / system32 / config / система
Чтобы ограничить вывод только теми записями под ключом Services:
reglookup -p / ControlSet002 / Services / mnt / win / c / WINNT / system32 / config / system
Чтобы ограничить вывод всеми значениями реестра типа BINARY:
reglookup -t ДВОИЧНЫЙ / mnt / win / c / WINNT / system32 / config / system
И чтобы ограничить вывод значениями BINARY под ключом Services:
reglookup -t BINARY -p / ControlSet002 / Services / mnt / win / c / WINNT / system32 / config / system
Используйте reglookup онлайн с помощью сервисов onworks.net
