开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

是否有Windows注册表"字典"解释了整个(或大部分)Windows注册表？

是的，有一个Windows注册表"字典"可以解释整个或大部分Windows注册表。这个字典被称为Windows注册表编辑器(Regedit)，它是一个强大的工具，可以让用户查看、修改和删除注册表中的信息。

注册表是Windows操作系统中的一个重要组成部分，它存储了系统设置、应用程序设置、文件关联等信息。通过使用注册表编辑器，用户可以方便地管理这些信息。

在使用注册表编辑器时，用户需要小心操作，因为错误的修改可能会导致系统不稳定甚至崩溃。因此，建议用户在使用注册表编辑器之前先备份注册表，并且在修改注册表之前先了解相关知识，以免造成不必要的损失。

推荐的腾讯云相关产品和产品介绍链接地址：

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浅析Windows系统中的策略与注册表：互动关系及配置覆盖探讨

在Windows操作系统中，组策略、安全策略和注册表是系统配置和管理的三个重要组成部分。它们之间的交互关系及其如何影响系统的配置是值得我们深入探讨的。本文将为你揭示策略与注册表之间的联系以及策略配置是否能覆盖所有的注册表设置。

03

MSSQL绕过微软杀毒提权案例

0x04 其他绕过思路当目标机器存在Windows Defender防病毒软件时，即使已经拿到了Administrator会话后仍然无法执行getsystem、hashdump、list_tokens等命令和一些后渗透模块，除了上边已测试的migrate进程迁移方法外还可以尝试以下三个思路。尽可能的拿到目标机器的SYSTEM以及HASH和明文密码，在内网环境中可能会有其他用途，这里仅为大家扩展几个绕过思路，就不截图了！ (1) 直接添加管理员用户使用shell命令进入cmdshell后直接利用net命令来添加一个管理员用户，然后远程桌面连接进去关闭Windows Defender防病毒软件的实时保护，最后尝试抓取目标机器HASH和明文密码。 net user test xxxasec!@#!23 /add net localgroup administrators test /add (2) 修改SAM注册表权限使用regini命令修改SAM注册表权限，然后利用post/windows/gather/hashdump模块抓取目标机器HASH，最后再利用135/445等支持哈希传递的工具来执行命令。 echo HKLM\SAM\SAM [1 17]>C:\ProgramData\sam.ini regini C:\ProgramData\sam.ini (3) 关闭杀毒软件实时保护使用Windows Defender防病毒软件中自带的MpCmdRun.exe程序来关闭它的实时保护，然后再利用hashdump命令或模块抓取目标机器HASH。MSF中的rollback_defender_signatures模块也可以用来关闭实时保护，但是需要SYSTEM权限才能执行。 C:\PROGRA~1\WINDOW~1>MpCmdRun.exe -RemoveDefinitions -all MpCmdRun.exe -RemoveDefinitions -all Service Version: 4.18.1812.3 Engine Version: 1.1.17600.5 AntiSpyware Signature Version: 1.327.2026.0 AntiVirus Signature Version: 1.327.2026.0 NRI Engine Version: 1.1.17600.5 NRI Signature Version: 1.327.2026.0 Starting engine and signature rollback to none... Done! 0x05 注意事项记得前几年在测试Windows Defender时好像几乎所有获取MSF会话的方式都是会被拦截的，但是不知道为什么在这个案例中就没有拦截web_delivery模块中的Powershell，hta_server模块是会被拦截的，MSF或Windows Defender版本原因吗？这里我也没有再去深究这个问题，所以大家在实战测试中还是得自己多去尝试，说不定哪种方法就成功了呢！！！只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频，“1120”领取安全参考等安全杂志PDF电子版，“1208”领取一份常用高效爆破字典，还在等什么？

02

注册表设置IE11浏览器默认属性

工作需要使用IE11浏览器，我们经常会对IE11浏览器做重置后的操作，但是IE11重置后会一直提示“设置向导”或者询问是否要设置为默认浏览器选项，见下图：

00

利用注册表键值Bypass UAC

fodhelper.exe是一个具备autoElevate属性且是微软自带的工具，具备微软签名，该程序在执行过程中会将注册表中HKCU:\Software\Classes\ms-settings\Shell\Open\command的内容当作命令执行。接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。

01

如何利用分层测试概念设计针对性测试用例

除了纯后台测试或者纯接口测试外，我想大部分人都会接触业务测试，至少我们目前的客户端产品测试就是这样。

03

基于unicorn-engine的虚拟机的实现(WxSpectre)

反病毒虚拟机是一个很有优势的工具，可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部，来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本，检

07

win10关闭任务栏窗口预览

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

03

windows入侵简单排查步骤

netstat -ano | findstr LIS、tasklist | findstr $pid

05

某远控RCE绕过某数字的利用方式

群友在某次项目测试中遇到一个存在向日葵远程命令执行漏洞的IP，目标环境Windows2016+360+Wdf，由于存在360而无法通过向日葵漏洞利用工具执行命令进行下一步测试。

01

用Python获取计算机网卡信息

正常情况下，如果想要查看电脑的网卡IP地址或是MAC地址，直接通过界面找到网卡进行查看就有了，亦或是通过命令如linux的ifconfig得到IP等信息，那么本节教大家如何通过python的方式获取网卡的IP/MAC信息。

00

折腾Windows to Go小记

说得通俗一点就是把 Windows 系统集成到U盘等便携设备上，且能在不同的电脑硬件上直接运行。无论走到天涯海角，都可以在任何一台符合基本条件的电脑上，使用U盘里安装的系统。这个系统是包含了安装的各种软件和个性化设置的Windows系统。大家配置Windows to go（简称WTG）的原因主要有：

06

驱动开发学习笔记（4-2）–INF文件-2

.INF是 Device Information File 的缩写，是微软公司为供硬件设备制造商发布其设备驱动程序而发展的———许多硬件设备的驱动程序都是使用 .INF文件来安装的。.INF文件从 Windows3.X 时代就开始大量被使用了。 .INF文件是一种具有特定格式的纯文本文件，我们可说它是一种安装脚本（SetupScript）。虽然 .INF 只是纯文本文件，但是当我们在文件管理器explorer对 .INF文件按鼠标右键後，如图inf右键.PNG，在右键菜单上就会出现“安装I”命令，这是因为微软公司已在其操作系统 Windows 中内置提供了 Setup API（可以解释.INF脚本文件），我们只需用文本编辑软件编写 .INF文件，便可完成大部份的安装工作，所以尤其是在软体的大小并不是很大的情况下，安装工作不是很复杂的时候，使用 .INF文件来进行安装工作将会是一个好选择。而且如果要安装设备驱动程序，.INF文件是目前唯一的选择。可以用 .INF文件创建包括注册表条目和目的目录的自定义软件安装指令。.INF文件可以提供有限的平台独立性，并指定有限的软件依赖性。目前.INF文件最普遍的应用是为安装硬件设备的驱动程序服务的，本文的目的就是介绍 .INF文件的功能、结构、并提供了几个事例来说明如何用.INF文件，如何扩展.INF文件的用途，比如制作绿色软件，仅供参考。

03

利用通用应用UWP进行权限维持

这种权限维持方式也是一种自启动后门，但仅支持Windows 10通用应用平台（UWP）上的应用程序，如：Cortana和People。

01

Metasploit从入门到入坟

MSF是当今安全专业人员免费提供的最有用的审计工具之一！！本篇为地基篇，都是基础必备知识，掌握它吧~

03

Scheduled-Task-Tampering

微软最近发表了一篇文章，记录了HAFNIUM威胁参与者如何利用计划任务存储在注册表中的缺陷来隐藏它们的存在，这清楚地表明所呈现的漏洞很可能不是影响计划任务组件的唯一缺陷，我们开始研究如何滥用计划任务的注册表结构来实现各种目标，例如:横向移动和持久性

01

VBA CreateObject函数如何找到所需要的依赖文件

使用VBA的CreateObject函数，这种情况下要知道COM对象的名称。

03

再谈桌面虚拟化环境中的默认配置文件与输入法

在做虚拟桌面或者虚拟应用时，我们希望基于标准用户创建出来的用户的输入法都是一样的，但是有时候或多或少会出现新用户缺少输入法，或者还依然有微软拼音输入法和微软智能ABC输入法的情况。下面我们分析一下微软定义的默认配置文件和如何手工设置输入法。

03

使用Windows操作系统的13个窍门

1.删除Windows下不让删除的文件有时想删除某个文件，系统会告诉无法删除，换到DOS下或是安全模式虽然可以删除，但是有点麻烦。这时可以用鼠标右键点击回收站，选择“属性”将“回收站的最大空间”设为0％，确定后，再支删除刚才删不了的文件，一般就可以了。

02

(修改gho文件办法）做属于自己个性的gho系统

Windows XP的绝大部分注册表数据文件存放在C:\WINDOWS\system32\config。该目录里面包含了5个没有扩展名的文件，即当前注册表文件：　　DEFAULT（默认注册表文件，位于注册表的HKEY_USERS项分支下）　　SAM（安全账户管理器注册表文件，位于注册表的HKEY_LOCAL_MACHINE\SAM项分支下）　　SECURITY（安全注册表文件，位于注册表的HKEY_LOCAL_MACHINE\SECURITY项分支下）　　SOFTWARE（应用软件注册表文件，位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE项分支下）　　SYSTEM（系统注册表文件，位于注册表的HKEY_LOCAL_MACHINE\SYSTEM项分支下）　　另外，“%SystemRoot%\Repair”目录下，有一份系统刚刚装好时候原始注册表数据备份。好了，知道位置后就要把GHOST中的相关文件提取出来，单独放在一个文件夹中，用Regedit编辑器“加载配置单元”进行编辑，编辑好后“卸载配置单元”，再替换回Ghost镜象，就完工了。二几个相关文件位置1 IE的首页可以在config目录下的software文件中，也可能在Document&settings_USERNAME_netusser.dat文件中2 屏保程序：windows_system32目录下3 主题文件：windows_resources_themes4 壁纸文件：windows_web_wallpaper5 安装背景：windows_system32_setup.bmp附： IE主页无法修改的注册表解决办法有时候使用IE出现主页被改且无法修改的情况，而且选择Internet选项修改主页设置那里是灰色的，这很有可能是你在上网或者安装软件的时候中了病毒被修改且锁定了注册表值，首先推荐你使用优化大师\魔法兔子、黄山IE修复专家或者Upiea等系统优化软件来排除问题，但如果仍然不奏效或者你没有下载软件亦或者你正好看到了这篇文章，那么可以用下面修改注册表的方式侧地排除问题：

01

.NET/C# 检测电脑上安装的 .NET Framework 的版本

如果你希望知道某台计算机上安装了哪些版本的 .NET Framework，那么正好本文可以帮助你解决问题。

02

通用的流氓软件手动清理方法「建议收藏」

1.everything（文件搜索工具） 2.process explorer（进程管理器，用来定位弹窗进程） 3.autoruns（开机启动项管理工具，主要用到过滤器查找启动项） 4.registry workshop（注册表编辑器，用来搜索注册表） 5.traymgr（托盘图标管理程序） 6.句柄查看精灵或spy++（前者win10下不能用，主要用来搜索句柄，再定位到相关进程） 7.nsudo（赋予软件Ti权限） 8.total uninstall（通过建立文件和注册表快照，分析软件安装或卸载过程修改的文件和注册表）

03

想定制化你的电脑开机吗

你曾有过为你的电脑开机漫长而苦等吗？你曾被各种第三方流氓软件的开机自启动而无奈吗？你有想把某些常用软件设置为开启自启动吗？

02

GandCrab V5.0.5勒索病毒样本分析

本文是针对GandCrab V5.0.5样本的详细分析，此样本的主要功能包括：加密数据文件，修改注册表保存RSA公私钥，在本地创建勒索病毒的说明文件。

02

恶意NPM软件包瞄准德国公司进行供应链攻击

5月11日，网络安全研究人员在NPM注册表中发现了一些恶意软件包，专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。

01

获取Windows高版本明文密码

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

01

“奇幻熊”（APT28）组织最新攻击

近日腾讯御见威胁情报中心在监测Fancy Bear“奇幻熊”组织的攻击活动过程中，发现了其使用的最新攻击样本。下文将详细披露该组织的攻击手法，和各企业一起共同抵御此类高级攻击。 0x1 概况 “奇幻熊”（Fancy Bear，T-APT-12）组织，也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM，是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织，从该组织的历史攻击活动可以看出，获取国家利益一直是该组织的主要攻击目的。据国外安全公司报

08

ArcMap卡在加载界面、无法打开的解决方法

最近，突然发现ArcMap软件打不开了，每次双击快捷方式后其会显示如下所示的加载界面，但是等待很久后加载界面消失，软件窗口却一直不弹出来。

02

windows 虚拟主机安全配置

这里经历和大家一同来探讨有关安全虚拟主机配置的问题。以下以建立一个站点cert.ecjtu.jx.cn为例，跟大家共同探讨虚拟主机配置问题。

03

使用C#操作注册表

首先来了解一下，什么是注册表，注册表是Windows中特有的一个东西，百度百科中对其解释如下：Windows注册表(Registry)实质上是一个庞大的数据库，它存储着下面这些内容：用户计算机软、硬件的有关配置和状态信息，应用程序和资源管理器外壳的初始条件、首选项和卸载数据；计算机的整个系统的设置和各种许可，文件扩展名与应用程序的关联，硬件的描述、状态和属性；计算机性能记录和底层的系统状态信息，以及各类其他数据。

03

恶意软件利用API Hammering 技术规避沙盒检测

研究人员在最近发现的 Zloader 和 BazarLoader 样本中发现了沙盒规避技术 API Hammering 的新实现。攻击者将 API Hammering 对 Windows API 的大量调用作为休眠的一种实现形式，用以规避沙盒检测。恶意软件休眠形式恶意软件最简单的休眠方式就是调用 Windows API Sleep，另一种较为隐蔽的方式是 ping sleep 技术，恶意软件会在循环中不断将 ICMP 数据包发送到指定的 IP 地址，发送和接收这些无用的 ping 消息需要一定的时间

03

电脑系统优化清理工具CCleaner

这款软件的大部分功能都是付费专业版才有的，免费版只有垃圾清理功能，这里给大家淘到一个专业版的激活码，直接可以激活专业版所有功能。

02

[病毒分析]熊猫烧香应急处理方法

熊猫烧香病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项这种方式也是绝大部分病毒自启动所采用的方式。

01

当我们优化用户配置文件时我们在优化什么？

相信做过VDI虚拟桌面（现在更多被称之为“云桌面”）或终端标准化的兄弟们对用户配置文件优化应该都不陌生，无数个夜晚，无数次操作，只为了默认配置文件能够兼容应用的一个控件或一个设置。有可能仅仅是一个软件的小Feature或一个B/S系统的小表格，我们可能都要耗费上N久的时间。

01

向日葵软件在渗透测试中的应用

向日葵远程控制软件是一款免费的集远程控制电脑/手机/平板、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件，且还能进行远程文件传输、远程摄像头监控等。

03

window下抓取密码总结

无论是在我们渗透测试过程中(授权的情况下)还是在自己搭建的环境中进行攻防演练，获取服务器的明文密码或这hash值这一步骤非常重要，如果抓取到的密码是整个域内服务器的通用密码，那我们就可以不费吹灰之力拿到整个域控内的所有服务器。现在抓取密码的工具差不多都是exe、图形化工具、python写的工具等。

04

计算机端口的安全知识大全，整的明明白白！

端口是计算机的大门，计算机的安全应该从端口开始说起。关于端口安全知识，我计划从六部分说起：端口的基础知识、端口的使用查看、端口的打开关闭、端口的转发和映射、由端口分析恶意攻击以及常用的端口安全工具。有人问了，为什么要分为六部分？是向六学致敬也要开花吗？可能你看完全文就知道为什么这么“6”了！

02

Win11 Beta版已支持安卓应用！可直接使用Android，附教程赶紧更

非常激动，因为微软正式对 Windows 11 Beta 预览版添加 Android 应用的支持。前面一直都是PPT，也没有拿出实际的东西来。就在不久微软就出来了还是有点激动

它们的屠城史–木马技术发展趋势与回顾

新的学期开始了，某大学网络管理专业三年级的同学们显得特别兴奋，这个学期的课程安排里终于出现了“网络安全”课程，一直对安全技术甚至黑客攻防手段感兴趣的同学更是对这门课程充满了期待，可是在几天的课程下来以后，同学们的兴奋之火却被浇熄了不少：首先学校颁发的教材书籍里的示例系统是Windows NT 4.0和Windows 98的安全攻防和简单的木马检测，而同学们用的都是Windows XP，和NT的简陋界面怎么都联系不到一块；其次负责此课程的老师完全是属于依葫芦画瓢的教学模式，甚至某次一个同学提问如何检测查杀灰鸽子木马的时候，老师足足盯了该同学5分钟以后才冒出一句“用正版杀毒软件啊！”。

02

[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

娜璋AI安全之家于2020年8月18日开通，将专注于Python和安全技术，主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来，与大家一起进步。系统安全系列作者将深入研究恶意样本分析、逆向分析、漏洞利用、攻防实战等，通过在线笔记和实践操作的形式分享与博友们学习。

06

驱动开发学习笔记（4-1）–INF文件-1

INF是Device INFormation File的英文缩写，是Microsoft公司为硬件设备制造商发布其驱动程序推出的一种文件格式，INF文件中包含硬件设备的信息或脚本以控制硬件操作。在INF文件中指明了硬件驱动该如何安装到系统中，源文件在哪里、安装到哪一个文件夹中、怎样在注册表中加入自身相关信息等等。安装监视器、调制解调器和打印机等设备所需的驱动程序，都是通过INF文件，正是INF的功劳才使得Windows可以找到这些硬件设备的驱动并正确安装。当我们通过“开始→控制面板→添加删除程序→Windows安装程序”来添加系统组件的时候，INF文件将会自动调用。而在其他场合下，则需要在INF文件上点击鼠标右键，然后选择“安装”，你才能顺利安装应用程序。

01

装了vmware没卸载干净有注册表残留，上云后安装了网卡驱动后网卡黄色感叹号网络不通

装了vmware没卸载干净有注册表残留，上云后安装了网卡驱动后网卡黄色感叹号网络不通

02

浏览器启动外部软件

常可以看见使用浏览器代码启动本地应用的软件.例如qq、迅雷、等等.那么他们是怎么做到的呢? 它的奥秘:Register protocol 前言我们经常看到 tencent://..thunde

04

MSSQL--PowerUpSQL介绍

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

03

获取Windows系统密码凭证总结

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

01

电脑黑客基本知识

黑客：英文名Hacker，原来指的是热心于研究电脑技术、熟练掌握电脑编程技术并且水平高超的电脑专家，是“好”的，现在，黑客已经成为那些专门利用电脑网络搞破坏或者恶作剧的人的代名词。

01

ATBroker.exe：一个被病毒利用的微软进程

一般情况下，病毒会利用添加启动项、计划任务、服务的方式来实现开机启动，达到留存和活跃的目的。然而，利用atbroker.exe系统进程，实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光，但是被发现的在野攻击却不多。不久前，某网友机子上的某杀毒软件不停的提示有挖矿（zec币）程序在运行，删除恶意程序后，下次开机还是会不停的出现。在一番苦心挖掘下，终于摸清了病毒的自启、躲避杀软的攻击手法。

03

Nanocore RAT恶意软件分析

本报告的目的是提供针对威胁行为者的可操作情报，以及他们用于侦察，交付，利用等的恶意软件或其他工具，以授权安全运营（SecOps）团队快速检测并响应此特定威胁。该信息也旨在使SecOps团队可以利用此报告中的情报，以便为所分析的恶意软件设置预防措施。对于这种恶意软件的受害者，可以使用此分析来了解恶意软件的影响（横向移动，数据泄漏，凭证收集等）。我们还将这些情报分享给社区，以帮助其他研究人员分析同一恶意软件。

04

Win Server 2003 10条小技巧

微软推出Windows Server 2003已经有一段时间了，但是，由于它是一个面向企业用户的服务器操作系统，所以，没有引起更多个人用户的注意。实际上，简单地改变一下系统的设置，您也可以将Windows Server 2003当成个人电脑的操作系统来使用。而且，大部分曾经测试过Windows Server 2003的用户都反映，这一操作系统给用户的感觉要比Windows XP稳定，比Windows 2000速度更快。 Windows Server 2003操作系统的默认设置大部分都是按服务器的需要进行配置的，它只提供服务器上的组件和管理工具。为此，笔者就相关的问题查阅了国外一些参加Windows Server 2003操作系统评测的专家撰写的资料，在对正式版的Windows Server 2003进行研究和测试后，总结出以下十条经验技巧，可以使您的Windows Server 2003系统无论从界面还是功能、性能上都比较接近个人电脑操作系统。但需要提醒您的是，由于Windows Server 2003推广的时间较短，而且属于服务器操作系统，一些硬件由于缺少驱动程序可能无法正常使用。另外，最大的问题是一些在安装时需要区分服务器版本和个人用户版本的应用软件，在安装时将很难按照用户的意愿进行。这些问题都暂时还没有比较理想的办法可以解决。Windows Server 2003可以和Windows 98、Windows XP安装在同一台电脑上。 Windows Server 2003 自动登录每次启动Windows Server 2003，系统会要求您在键盘上按下“Ctrl+Alt+Del”键（如图1），然后输入用户名与密码才能登录系统。对于服务器来说，这样有助于提高系统的安全性；但对个人用户来说，这样就有些麻烦了。所以，我们要做的第一件事情就是将系统改为自动登录，要做到这一点我们有两种方法可选。

02

攻击技术研判-攻击者结合NDay投递VBA恶意远控分析

Malwarebytes的研究人员发现有攻击者在近期的攻击活动中使用CVE-2021-26411部署了功能齐全的VBA RAT，本文对其中包含的攻击技术进行了分析研判。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭