reglookup - Online na nuvem

PROGRAMA:

NOME

reglookup - ferramenta de pesquisa / leitor de registro do Windows NT +

SINOPSE

reorganização [opções] arquivo de registro

DESCRIÇÃO

reglookup é projetado para ler elementos de registro do Windows e imprimi-los para stdout em um
Formato semelhante a CSV. Possui opções de filtragem para restringir o foco da saída. Esta ferramenta é
projetado para funcionar com registros baseados no Windows NT.

OPÇÕES

reorganização aceita os seguintes parâmetros:

-p filtro de prefixo
Especifique um filtro de prefixo de caminho. Apenas as chaves / valores neste caminho de registro serão
saída.

-t filtro de tipo
Especifique um filtro de tipo. Apenas os elementos que correspondem a este tipo de dados de registro serão
impresso. Os valores aceitáveis ​​são: NENHUM, SZ, EXPAND_SZ, BINÁRIO, DWORD, DWORD_BE, LIGAÇÃO,
MULTI_SZ, RSRC_LIST, RSRC_DESC, RSRC_REQ_LIST, QWORD e KEY .TP -h Habilita o
impressão de uma linha de cabeçalho de coluna. (predefinição)

-i Os valores impressos herdam o carimbo de data / hora de sua chave pai, que é impresso junto com
com eles. Observe que este carimbo de data / hora não é necessariamente significativo para qualquer
valores de valor porque os carimbos de data / hora são salvos apenas nas chaves e você não pode saber quais
valor foi modificado, pois uma mudança em qualquer valor de uma determinada chave atualizaria o
carimbo de hora.

-H Desativa a impressão de uma linha de cabeçalho de coluna.

-s Adiciona cinco colunas adicionais à saída contendo informações de segurança de chave
descritores e campos raramente usados. As colunas são: proprietário, grupo, sacl, dacl,
classe. (A saída deste recurso não foi amplamente testada.)

-S Desativa a impressão de informações do descritor de segurança. (predefinição)

-v Saída detalhada.

arquivo de registro
Argumento necessário. Especifica a localização do arquivo de registro a ser lido. O sistema
os arquivos de registro devem ser encontrados em: % SystemRoot% / system32 / config.

SAÍDA

reorganização gera valores separados por vírgula (CSV) e os grava em stdout. O formato é
projetado para simplificar a análise de algoritmos de outras ferramentas citando caracteres especiais CSV
usando um formato hexadecimal comum. Especificamente, caracteres especiais ou bytes não ascii são
convertido para "\ xQQ" onde QQ é o valor hexadecimal do byte.

O número de colunas ou campos em cada linha é fixo para uma determinada execução do programa, mas
pode variar com base nas opções de linha de comando fornecidas. Veja a linha do cabeçalho para informações
em quais campos estão disponíveis e o que eles contêm.

Alguns campos em algumas linhas podem conter subcampos que requerem delimitadores adicionais. Se
esses subdelimitadores ocorrem nesses subcampos, eles também são codificados da mesma maneira que
vírgulas ou outros caracteres especiais são. Atualmente, o segundo, terceiro e quarto níveis
os delimitadores são "|", ":" e "", respectivamente. Estes são particularmente importantes para tomar
observe quando os atributos de segurança são impressos. Observe que esses delimitadores podem ocorrer
em campos que não são subdelimitados e não devem ser interpretados como especiais.

Os atributos de segurança das chaves de registro têm uma estrutura complexa que é descrita aqui. Cada
chave geralmente terá uma ACL (Lista de Controle de Acesso) associada, que é composta de ACEs
(Entradas de controle de acesso). Cada ACE é delimitado pelo delimitador secundário mencionado
acima, "|". Os campos em uma ACE são delimitados pelo delimitador de terceiro nível, ":" e
consistem em um SID, o tipo de ACE (ALLOW, DENY, etc), uma lista de direitos de acesso e uma lista de
bandeiras. Os dois últimos campos são delimitados pelo delimitador de quarto nível "". Estes finais
listas são simplesmente interpretações de bits legíveis por humanos. As abreviações de direitos de acesso
estão listados abaixo junto com seus nomes atribuídos pela Microsoft:

QRY_VAL KEY_QUERY_VALUE
SET_VAL KEY_SET_VALUE
CREATE_KEY KEY_CREATE_SUB_KEY
ENUM_KEYS KEY_ENUMERATE_SUB_KEYS
NOTIFICAR KEY_NOTIFY
CREATE_LNK KEY_CREATE_LINK
WOW64_64 KEY_WOW64_64KEY
WOW64_32 KEY_WOW64_32KEY
APAGAR APAGAR
R_CONT READ_CONTROL
W_DAC WRITE_DAC
W_OWNER WRITE_OWNER
SINCRONIZAR SINCRONIZAR
SYS_SEC ACESSO_SYSTEM_SECURITY
MAX_ALLWD MAXIMUM_ALLOWED
GEN_A GENERIC_ALL
GEN_X GENERIC_EXECUTE
GEN_W GENERIC_WRITE
GEN_R GENERIC_READ

E o significado de cada bandeira é:

Herdar Objeto OI
Herança de contêiner CI
NP não-propagado
IO herdar apenas
IA Herdado ACE

Por favor, consulte as seguintes referências para obter mais informações:

http://msdn2.microsoft.com/en-gb/library/ms724878.aspx
http://msdn2.microsoft.com/en-gb/library/aa374892.aspx
http://msdn2.microsoft.com/en-us/library/aa772242.aspx
http://support.microsoft.com/kb/220167

Observe que alguns dos bits listados acima não foram alocados pela Microsoft ou
simplesmente não são documentados. Se algum bit for definido nos dois campos acima que não são
reconhecido, uma representação hexadecimal de todos esses bits misteriosos será incluída em
a saída. Por exemplo, se o bit mais baixo e o terceiro bit mais baixo não forem reconhecidos enquanto
sendo definido, o número "0x5" seria incluído como um elemento na lista.

Embora o formato de saída ACL / ACE seja praticamente estável neste ponto, pequenas alterações podem ser
introduzidos em versões futuras.

EXEMPLOS

Para ler e imprimir o conteúdo de um arquivo de registro do sistema inteiro:

reglookup / mnt / win / c / WINNT / system32 / config / system

Para limitar a saída a apenas essas entradas na chave Serviços:

reglookup -p / ControlSet002 / Services / mnt / win / c / WINNT / system32 / config / system

Para limitar a saída a todos os valores de registro do tipo BINÁRIO:

reglookup -t BINARY / mnt / win / c / WINNT / system32 / config / system

E para limitar a saída a valores BINARY na chave Services:

reglookup -t BINARY -p / ControlSet002 / Services / mnt / win / c / WINNT / system32 / config / system

Use reglookup online usando serviços onworks.net