如何找到隱藏的登錄項目?

如何找到隱藏的登錄項目?

許多 Windows 駭客和調整都涉及修改註冊表。通常,它涉及添加新的鍵/值。然而,有時我想做一些調整,但沒有線上教學。

給定我想要更改的設定或行為,我將如何發現相關的鍵/值?我應該使用第三方註冊表編輯器還是反編譯器?

答案1

剛開始閱讀微軟技術網您會發現越來越多的「隱藏」註冊表項/值。我不知道是否有關於全新安裝後不存在的密鑰的列表,但在開始破解 Windows 後您會找到它們。

當我需要 Windows 的一些特殊功能/行為(或只是想了解一些眾所周知的功能的更多資訊)時,我會做什麼:

  • 嘗試從 google 和 stackexchange 查找相關信息,也許有人已經完成了這項工作。
  • 嘗試尋找其他方法來做到這一點,如果找到的話,我會嘗試向他們學習。
  • 了解是否有任何 Windows 作業系統可以做到這一點,並了解如何操作。
  • 使用regedit搜尋註冊表,在這裡發揮你的想像。
  • 嘗試反彙編您想要更好地修改/理解的作業系統部分。如果失敗/卡住,請找到另一條路線並重新開始。
  • 請記住,如果看起來無法完成,您仍然有很多選擇:
    1.編寫自己的程式A)操縱現有的 UI 或b)建立新的 UI 或C)擴展了您不喜歡的作業系統部分或d)替換您不喜歡的作業系統部分。
    2.忘記了。

評論中已經指出,您應該閱讀更多有關 Windows 內部結構的內容,並在找到一些特殊值時遇到一些實際問題後提出更具體的問題。我認為,如果您確實需要完整的註冊表鍵/值列表,那麼您應該自己製作一個(至少部分),作為學習練習。

作為最後一部分,這裡有幾行簡單的內容logagent.exe

0000:1188 |                 CryptUnprotectData..CryptPro
0000:11B4 | tectData....c.r.y.p.t.3.2...d.l.l...E.n.a.b.
0000:11E0 | l.e.N.e.g.o.t.i.a.t.e...S.o.f.t.w.a.r.e.\.M.
0000:120C | i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.u.r.r.e.
0000:1238 | n.t.V.e.r.s.i.o.n.\.I.n.t.e.r.n.e.t. .S.e.t.
0000:1264 | t.i.n.g.s...=.".....r.e.a.l.m... ...,.;.....
0000:1290 |  .......N.e.g.o.t.i.a.t.e...B.a.s.i.c. .....
0000:12BC | https://....D.e.l.e.t.e.....N.o.R.e.m.o.v.e.
0000:12E8 | ....F.o.r.c.e.R.e.m.o.v.e...V.a.l...B...D...
0000:1314 | S...................ì...Ø...È...ê¶..¯·..bü..
0000:1340 | I·..d·...·..à·...·..¦·...¹..bü...º..O¾..¶Ü..
0000:136C | .Ý..cÝ..!º..8º..`[..Dº..ú...º..O¾..¶Ü...Ý..
0000:1398 | cÝ...Ï..8º..VÏ..Dº..  [proxy]...:././...1.2.
0000:13C4 | 7...0...0...1...d.o.o.G.....d.r.o.w.s.s.a.P.
0000:13F0 | ....r.e.s.U.....h.t.a.P.....\...SOFTWARE\Mic
0000:141C | rosoft\Windows Media\WMSDK\etacsufbO.... .:.
0000:1448 |  ... .?. ...?. .....L.o.a.d.C.r.e.d.e.n.t.i.
0000:1474 | a.l.s...................ì...Ø...È...^..n..5N
0000:14A0 | ·.jC/.ËôWNetRemoveCachedPassword....WNetCach
0000:14CC | ePassword...WNetGetCachedPassword...mpr.dll.
0000:14F8 | PStoreCreateInstance....pstorec.dll.DisableP
0000:1524 | asswordCaching..SOFTWARE\Microsoft\Windows M
0000:1550 | edia\WMSDK..A.c.c.e.s.s.P.e.r.m.i.s.s.i.o.n.
0000:157C | ....A.P.P.I.D.\.{.%.s.}.....A.P.P.I.D.\.%.s.
0000:15A8 | ....L.a.u.n.c.h.P.e.r.m.i.s.s.i.o.n.........
0000:15D4 | ............Ðñ..Áñ...ò...ñ..1ì......Zé..?é..
0000:1600 | ßñ...é..Kê..ßé...í..Xê..iê..Ïò..sê...ê...ë..
0000:162C | 9ë..'ì...(..hò..................ì...Ø...È...
0000:1658 | +...._..÷....ø..3ô..J...a...............¢...
0000:1684 | ....K.......Ý.......à...¹...Z.......äô..#ö..
0000:16B0 | .õ...÷..{ü...ü...ü..ïû..bü..Wü..Wü...ü...ü..
0000:16DC | °û..WSAJoinLeaf.WSARecvFrom.WSARecv.WSAConne
0000:1708 | ct..WSASocketA..WSASendTo...WSASend.WSAIoctl
0000:1734 | ....WSAEnumProtocolsA...ws2_32..U.s.e. .T.r.
0000:1760 | a.n.s.m.i.t.P.a.c.k.e.t.s.......S.o.f.t.w.a.
0000:178C | r.e.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s. .M.
0000:17B8 | e.d.i.a.\.P.l.a.t.f.o.r.m...Æô..._..Õô..Þ...
0000:17E4 | ....+...._..÷...........J...a...............
0000:1810 | ¢.......K.......Ý.......à...¹...Z.......;...
0000:183C | ........................ì...Ø...È...w>.ÍÖfdF
0000:1868 | .Ç6Û¶AÐñS.o.f.t.w.a.r.e.\.M.i.c.r.o.s.o.f.t.
0000:1894 | \.W.i.n.d.o.w.s. .M.e.d.i.a.\.W.M.S.D.K.\.N.
0000:18C0 | A.T.P.o.r.t.M.a.p.p.i.n.g.s.....U.D.P...T.C.
0000:18EC | P...%.x. .%.s. .%.u.....FreeAddrInfoW...GetA
0000:1918 | ddrInfoW....w.s.2._.3.2...d.l.l.....W.i.n.d.
0000:1944 | o.w.s. .M.e.d.i.a. .F.o.r.m.a.t. .S.D.K. .(.
0000:1970 | %.s.)...:.:.....:.:.1...0...0...0...0...?.#.
0000:199C | ....................ì...Ø...È...l...h...d...
0000:19C8 | `[email protected]                

現在你的行數很少,該怎麼辦?如果幸運的話,值是用鍵硬編碼的,並且可以通過查找記錄字節序列然後找到正確的值來從上面檢索它們。此外,您還可以嘗試尋找錯誤訊息及其地址,以追蹤程式的哪個部分將它們拋出(需要一些彙編技能,但如果不需要完整的逆向工程/程式修改,那麼這並不太難)。

答案2

我發現最好的方法是使用過程監控器

相關內容