Como encontro entradas ocultas do registro?

Como encontro entradas ocultas do registro?

Muitos hacks e ajustes do Windows envolvem mexer no registro. Muitas vezes, envolve adicionar uma nova chave/valor. No entanto, há momentos em que gostaria de fazer alguns ajustes e não há tutorial online.

Dada uma configuração ou comportamento que desejo alterar, como eu faria para descobrir as chaves/valores relevantes? Devo usar um editor de registro de terceiros ou um descompilador?

Responder1

Basta começar a lerMicrosoft TechNete você encontrará muitas e mais chaves/valores de registro "ocultos". Não sei se existe alguma lista de chaves que não estão aqui após a instalação limpa, mas você as encontrará depois de começar a hackear o Windows.

O que eu faço quando preciso de alguma funcionalidade/comportamento especial no Windows (ou apenas quero saber mais sobre alguma funcionalidade bem conhecida):

  • Tente descobrir mais sobre isso no google e stackexchange, talvez alguém já tenha feito esse trabalho.
  • Tente encontrar maneiras alternativas de fazer isso; se encontrar alguma, tento aprender com elas.
  • Descubra se algum sistema operacional Windows pode fazer isso, descubra como.
  • Pesquise o registro com o regedit, use sua imaginação aqui.
  • Tente desmontar parte do sistema operacional que você deseja modificar/compreender melhor. Se falhar/travar, encontre outra rota e recomece.
  • Lembre-se, se parecer que isso não pode ser feito, você ainda tem muitas opções:
    1.Escreva seu próprio programa quea)manipula a UI existente oub)cria uma nova UI ouc)estende a parte do sistema operacional que você não gosta oue)substitui a parte do sistema operacional que você não gosta.
    2.Esqueci disso.

Já mencionado nos comentários, você deve ler mais sobre os componentes internos do Windows e fazer perguntas mais específicas depois de ter problemas reais para encontrar alguns valores especiais. Eu acho que se você realmente precisa de uma lista completa de chaves/valores de registro, então você mesmo deve fazer uma (pelo menos parcialmente), como exercício de aprendizagem.

E como última parte, aqui estão algumas linhas fáceis de logagent.exe:

0000:1188 |                 CryptUnprotectData..CryptPro
0000:11B4 | tectData....c.r.y.p.t.3.2...d.l.l...E.n.a.b.
0000:11E0 | l.e.N.e.g.o.t.i.a.t.e...S.o.f.t.w.a.r.e.\.M.
0000:120C | i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.u.r.r.e.
0000:1238 | n.t.V.e.r.s.i.o.n.\.I.n.t.e.r.n.e.t. .S.e.t.
0000:1264 | t.i.n.g.s...=.".....r.e.a.l.m... ...,.;.....
0000:1290 |  .......N.e.g.o.t.i.a.t.e...B.a.s.i.c. .....
0000:12BC | https://....D.e.l.e.t.e.....N.o.R.e.m.o.v.e.
0000:12E8 | ....F.o.r.c.e.R.e.m.o.v.e...V.a.l...B...D...
0000:1314 | S...................ì...Ø...È...ê¶..¯·..bü..
0000:1340 | I·..d·...·..à·...·..¦·...¹..bü...º..O¾..¶Ü..
0000:136C | .Ý..cÝ..!º..8º..`[..Dº..ú...º..O¾..¶Ü...Ý..
0000:1398 | cÝ...Ï..8º..VÏ..Dº..  [proxy]...:././...1.2.
0000:13C4 | 7...0...0...1...d.o.o.G.....d.r.o.w.s.s.a.P.
0000:13F0 | ....r.e.s.U.....h.t.a.P.....\...SOFTWARE\Mic
0000:141C | rosoft\Windows Media\WMSDK\etacsufbO.... .:.
0000:1448 |  ... .?. ...?. .....L.o.a.d.C.r.e.d.e.n.t.i.
0000:1474 | a.l.s...................ì...Ø...È...^..n..5N
0000:14A0 | ·.jC/.ËôWNetRemoveCachedPassword....WNetCach
0000:14CC | ePassword...WNetGetCachedPassword...mpr.dll.
0000:14F8 | PStoreCreateInstance....pstorec.dll.DisableP
0000:1524 | asswordCaching..SOFTWARE\Microsoft\Windows M
0000:1550 | edia\WMSDK..A.c.c.e.s.s.P.e.r.m.i.s.s.i.o.n.
0000:157C | ....A.P.P.I.D.\.{.%.s.}.....A.P.P.I.D.\.%.s.
0000:15A8 | ....L.a.u.n.c.h.P.e.r.m.i.s.s.i.o.n.........
0000:15D4 | ............Ðñ..Áñ...ò...ñ..1ì......Zé..?é..
0000:1600 | ßñ...é..Kê..ßé...í..Xê..iê..Ïò..sê...ê...ë..
0000:162C | 9ë..'ì...(..hò..................ì...Ø...È...
0000:1658 | +...._..÷....ø..3ô..J...a...............¢...
0000:1684 | ....K.......Ý.......à...¹...Z.......äô..#ö..
0000:16B0 | .õ...÷..{ü...ü...ü..ïû..bü..Wü..Wü...ü...ü..
0000:16DC | °û..WSAJoinLeaf.WSARecvFrom.WSARecv.WSAConne
0000:1708 | ct..WSASocketA..WSASendTo...WSASend.WSAIoctl
0000:1734 | ....WSAEnumProtocolsA...ws2_32..U.s.e. .T.r.
0000:1760 | a.n.s.m.i.t.P.a.c.k.e.t.s.......S.o.f.t.w.a.
0000:178C | r.e.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s. .M.
0000:17B8 | e.d.i.a.\.P.l.a.t.f.o.r.m...Æô..._..Õô..Þ...
0000:17E4 | ....+...._..÷...........J...a...............
0000:1810 | ¢.......K.......Ý.......à...¹...Z.......;...
0000:183C | ........................ì...Ø...È...w>.ÍÖfdF
0000:1868 | .Ç6Û¶AÐñS.o.f.t.w.a.r.e.\.M.i.c.r.o.s.o.f.t.
0000:1894 | \.W.i.n.d.o.w.s. .M.e.d.i.a.\.W.M.S.D.K.\.N.
0000:18C0 | A.T.P.o.r.t.M.a.p.p.i.n.g.s.....U.D.P...T.C.
0000:18EC | P...%.x. .%.s. .%.u.....FreeAddrInfoW...GetA
0000:1918 | ddrInfoW....w.s.2._.3.2...d.l.l.....W.i.n.d.
0000:1944 | o.w.s. .M.e.d.i.a. .F.o.r.m.a.t. .S.D.K. .(.
0000:1970 | %.s.)...:.:.....:.:.1...0...0...0...0...?.#.
0000:199C | ....................ì...Ø...È...l...h...d...
0000:19C8 | `[email protected]                

Agora você tem poucas linhas, o que fazer? Se você tiver sorte, os valores serão codificados com chaves e poderão ser recuperados acima, procurando por sequências de bytes de registro e, em seguida, encontrando os valores corretos. Além disso, você pode tentar encontrar mensagens de erro e seus endereços para rastrear qual parte do programa as descarta (algumas habilidades de montagem são necessárias, mas não é muito difícil se a engenharia reversa completa/modificação do programa não for necessária).

Responder2

Eu descobri que a melhor maneira de fazer isso é usarMonitor de Processo.

informação relacionada