Как найти скрытые записи реестра?

Как найти скрытые записи реестра?

Многие хаки и настройки Windows предполагают манипуляции с реестром. Довольно часто это требует добавления нового ключа/значения. Однако бывают случаи, когда я хочу сделать настройку, а онлайн-руководства нет.

Учитывая настройку или поведение, которые я хочу изменить, как мне найти соответствующие ключи/значения? Следует ли мне использовать сторонний редактор реестра или декомпилятор?

решение1

Просто начните читатьMicrosoft Технети вы найдете много и больше "скрытых" ключей реестра / значений. Я не знаю, есть ли какой-либо список ключей, которых нет после чистой установки, но вы найдете их после начала взлома Windows.

Что я делаю, когда мне нужна какая-то особая функциональность/поведение Windows (или я просто хочу узнать больше о какой-то известной функциональности):

  • Попробуйте найти информацию об этом в Google и StackExchange, возможно, кто-то уже проделал эту работу.
  • Попытаюсь найти альтернативные способы сделать это. Если таковые найду, постараюсь у них поучиться.
  • Узнайте, может ли какая-либо ОС Windows сделать это, узнайте, как это сделать.
  • Выполните поиск в реестре с помощью regedit, проявите здесь свое воображение.
  • Попробуйте разобрать часть ОС, которую вы хотите изменить/понять лучше. Если не получилось/застряли, найдите другой маршрут и начните заново.
  • Помните, если кажется, что это невозможно, у вас все равно есть много вариантов:
    1.Напишите свою собственную программу, котораяа)манипулирует существующим пользовательским интерфейсом илиб)создает новый пользовательский интерфейс илив)расширяет часть ОС, которая вам не нравится илиг)заменяет часть ОС, которая вам не нравится.
    2.Забыл об этом.

Уже отмечалось в комментариях, что вам следует больше читать о внутренних компонентах Windows и задавать более конкретные вопросы после того, как у вас возникнут реальные проблемы с поиском некоторых специальных значений. Я думаю, что если вам действительно нужен полный список ключей/значений reg, то вам следует составить его (хотя бы частично) самостоятельно, в качестве обучающего упражнения.

И в качестве последней части, вот несколько простых строк из logagent.exe:

0000:1188 |                 CryptUnprotectData..CryptPro
0000:11B4 | tectData....c.r.y.p.t.3.2...d.l.l...E.n.a.b.
0000:11E0 | l.e.N.e.g.o.t.i.a.t.e...S.o.f.t.w.a.r.e.\.M.
0000:120C | i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.u.r.r.e.
0000:1238 | n.t.V.e.r.s.i.o.n.\.I.n.t.e.r.n.e.t. .S.e.t.
0000:1264 | t.i.n.g.s...=.".....r.e.a.l.m... ...,.;.....
0000:1290 |  .......N.e.g.o.t.i.a.t.e...B.a.s.i.c. .....
0000:12BC | https://....D.e.l.e.t.e.....N.o.R.e.m.o.v.e.
0000:12E8 | ....F.o.r.c.e.R.e.m.o.v.e...V.a.l...B...D...
0000:1314 | S...................ì...Ø...È...ê¶..¯·..bü..
0000:1340 | I·..d·...·..à·...·..¦·...¹..bü...º..O¾..¶Ü..
0000:136C | .Ý..cÝ..!º..8º..`[..Dº..ú...º..O¾..¶Ü...Ý..
0000:1398 | cÝ...Ï..8º..VÏ..Dº..  [proxy]...:././...1.2.
0000:13C4 | 7...0...0...1...d.o.o.G.....d.r.o.w.s.s.a.P.
0000:13F0 | ....r.e.s.U.....h.t.a.P.....\...SOFTWARE\Mic
0000:141C | rosoft\Windows Media\WMSDK\etacsufbO.... .:.
0000:1448 |  ... .?. ...?. .....L.o.a.d.C.r.e.d.e.n.t.i.
0000:1474 | a.l.s...................ì...Ø...È...^..n..5N
0000:14A0 | ·.jC/.ËôWNetRemoveCachedPassword....WNetCach
0000:14CC | ePassword...WNetGetCachedPassword...mpr.dll.
0000:14F8 | PStoreCreateInstance....pstorec.dll.DisableP
0000:1524 | asswordCaching..SOFTWARE\Microsoft\Windows M
0000:1550 | edia\WMSDK..A.c.c.e.s.s.P.e.r.m.i.s.s.i.o.n.
0000:157C | ....A.P.P.I.D.\.{.%.s.}.....A.P.P.I.D.\.%.s.
0000:15A8 | ....L.a.u.n.c.h.P.e.r.m.i.s.s.i.o.n.........
0000:15D4 | ............Ðñ..Áñ...ò...ñ..1ì......Zé..?é..
0000:1600 | ßñ...é..Kê..ßé...í..Xê..iê..Ïò..sê...ê...ë..
0000:162C | 9ë..'ì...(..hò..................ì...Ø...È...
0000:1658 | +...._..÷....ø..3ô..J...a...............¢...
0000:1684 | ....K.......Ý.......à...¹...Z.......äô..#ö..
0000:16B0 | .õ...÷..{ü...ü...ü..ïû..bü..Wü..Wü...ü...ü..
0000:16DC | °û..WSAJoinLeaf.WSARecvFrom.WSARecv.WSAConne
0000:1708 | ct..WSASocketA..WSASendTo...WSASend.WSAIoctl
0000:1734 | ....WSAEnumProtocolsA...ws2_32..U.s.e. .T.r.
0000:1760 | a.n.s.m.i.t.P.a.c.k.e.t.s.......S.o.f.t.w.a.
0000:178C | r.e.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s. .M.
0000:17B8 | e.d.i.a.\.P.l.a.t.f.o.r.m...Æô..._..Õô..Þ...
0000:17E4 | ....+...._..÷...........J...a...............
0000:1810 | ¢.......K.......Ý.......à...¹...Z.......;...
0000:183C | ........................ì...Ø...È...w>.ÍÖfdF
0000:1868 | .Ç6Û¶AÐñS.o.f.t.w.a.r.e.\.M.i.c.r.o.s.o.f.t.
0000:1894 | \.W.i.n.d.o.w.s. .M.e.d.i.a.\.W.M.S.D.K.\.N.
0000:18C0 | A.T.P.o.r.t.M.a.p.p.i.n.g.s.....U.D.P...T.C.
0000:18EC | P...%.x. .%.s. .%.u.....FreeAddrInfoW...GetA
0000:1918 | ddrInfoW....w.s.2._.3.2...d.l.l.....W.i.n.d.
0000:1944 | o.w.s. .M.e.d.i.a. .F.o.r.m.a.t. .S.D.K. .(.
0000:1970 | %.s.)...:.:.....:.:.1...0...0...0...0...?.#.
0000:199C | ....................ì...Ø...È...l...h...d...
0000:19C8 | `[email protected]                

Теперь у вас есть несколько строк, что делать? Если вам повезло, значения жестко закодированы с ключами, и их можно извлечь сверху, поискав последовательности байтов записи и затем найдя правильные значения. Также вы можете попытаться найти сообщения об ошибках и их адреса, чтобы отследить, какая часть программы их выдает (необходимы некоторые навыки сборки, но это не так уж и сложно, если не требуется полная обратная разработка/модификация программы).

решение2

Я обнаружил, что лучший способ сделать это — использоватьМонитор процесса.

Связанный контент