开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

不使用oReg.EnumKey在VBS中创建注册表项数组

在VBS中创建注册表项数组，可以使用以下方法：

使用WMI（Windows Management Instrumentation）查询注册表项：
- 概念：WMI是一种用于管理和监视Windows操作系统的技术，可以通过查询WMI提供的注册表类来获取注册表项的信息。
- 优势：使用WMI可以直接在VBS中进行注册表项的查询和操作，无需额外的外部依赖。
- 应用场景：适用于需要在VBS脚本中动态获取注册表项信息的场景。
- 示例代码：
- 示例代码：
- 腾讯云相关产品：腾讯云没有直接提供与注册表相关的产品。

使用Shell对象执行reg命令：
- 概念：通过Shell对象执行系统命令reg，利用其输出结果来获取注册表项信息。
- 优势：简单易用，无需额外的编程接口。
- 应用场景：适用于在VBS脚本中执行简单的注册表项查询操作。
- 示例代码：
- 示例代码：
- 腾讯云相关产品：腾讯云没有直接提供与注册表相关的产品。

请注意，以上示例代码仅供参考，具体使用时需要根据实际需求进行调整。

相关搜索:为什么不能使用append在SwiftUI中创建数组使用PHP在JSON中创建对象数组使用put请求在retrofit2中创建对象数组使用两个数组创建注册表项/值使用位于数组中的值在键中创建数组使用数组中的变量创建目录(在Bash中)使用数组中的条件在循环内创建数组在C++中创建和使用动态数组在Matlab中不指定数组元素和数组长度的情况下创建一维数组在powershell中创建多个(子)注册表项

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在Bash脚本中创建和使用数组方法总结

在Bash中定义一个数组有两种方法可以在bash脚本中创建新数组。第一个是使用declare命令来定义一个Array。此命令将定义名为test_array的关联数组。...$ declare -a test_array 还可以通过分配元素来创建数组。...echo {test_array [@]} apple orange lemon 通过数组循环还可以使用bash脚本中的循环访问数组元素。...for i in ${test_array[@]} do echo $i don 向数组中添加新元素可以使用（+=）操作向现有数组添加任意数量的元素。...以下是从bash脚本中的数组中删除索引2处的元素。

12.3K4 1

Window权限维持（四）：快捷方式

现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk ?...SharPersist SharPersist能够创建Internet Explorer快捷方式，该快捷方式将执行任意有效负载并将其放置在启动文件夹中以实现持久性。...在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager。 ? 杂项 PoshC 在常见的红色团队工具包之外，还有多个脚本可用于开发恶意快捷方式。...现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术：install-persistence 3PoshC2 –启动LNK文件在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager

1.3K3 0

使用 WSHControllerWSHRemote 对象的横向移动（IWSHController 和 IWSHRemote 接口）

在四处寻找并阅读其他人为使其发挥作用所做的工作之后，我将这些想法放在一起：使用管理员帐户执行接下来描述的两个操作（如果 wscript 无法写入注册表项，它不会返回错误！）...在服务器和客户端上运行以下命令（有些网站建议只使用客户端，但您也需要在服务器上注册它！）...“wscript -regserver”添加了一堆注册表键和值——它们也可以使用远程注册表功能添加，这根本不需要远程运行进程！...（远程值 + 类条目）在用户临时目录中创建的文件 - 如果在 localhost 上启动 %TEMP%\wsh*.tmp %TEMP%\wsh*.tmp.vbs 在目标系统的 Windows 临时目录中创建的文件...由于您可以在 localhost 上使用此技巧，因此它可用于破坏进程树（如 EDR 解决方案所见），并可能逃避一些沙盒分析（进程不直接由分析的样本或其子进程产生）有时会被忽略，除非沙盒知道规避技巧并监视其使用

5971 0

针对哈萨克斯坦的基于多阶段 PowerShell 的攻击

首先执行 lnk 文件，该文件调用 PowerShell 以通过运行多个Powershell脚本来操作注册表项和执行多种技术，例如权限提升和持久性。...这次攻击的所有阶段都托管在一个DangerSklif的用户于 11 月 8 日创建名为GoogleUpdate 的Github 存储库中。该DangerSklif 用户注册于11月1日。...解密命令后，我们可以看到UAC绕过的过程，包括在Task Scheduler中创建一个SilentCleanup任务，调用PowerShell以更高的权限执行创建的vbs文件。...此阶段执行以下操作：在ProgramFiles 目录中创建一个 vbs 文件 (cu.vbs)，并通过将此 vbs 文件添加到HKLM\Software\Microsoft\Windows\CurrentVersion...\Run 注册表项来使这种多阶段攻击持久化。

9302 0

Window权限维持（一）：注册表运行键

在Windows登录期间创建将执行任意负载的注册表项是红队游戏手册中最古老的技巧之一。...Meterpreter脚本将以VBS脚本的形式创建一个有效负载，该负载将被拖放到磁盘上，并将创建一个注册表项，该注册表项将在用户登录期间运行该有效负载。...Metasploit –持久性后期开发模块如果已获得系统级别的特权，则可以将该模块配置为在HKLM位置中创建注册表项。该STARTUP选项将需要改变系统。 set STARTUP SYSTEM ?...SharPersist –以用户身份注册如果已获得提升的访问权限，请修改命令以在本地计算机位置中安装注册表项，以实现所有用户的持久性。...以下命令将在这些位置创建注册表项，这些注册表项将执行任意有效负载。

1.1K4 0

VBScript详解(一)

2、在VBScript中，变量的命名规则遵循标准的命名规则，需要注意的是：在VBScript中对变量、方法、函数和对象的引用是不区分大小写的。...二、数组若要定义一个有十个数据的数组，可写成：Dimarray（9），当你要访问第五个元素时，实际的代码是array(4)。当然，你可以通过不指定数组的个数和维数来申明动态数组。...等到数组的个数和维数固定后，使用关键字redim来改变数组。注意，在改变数组的大小时，数组的数据会被破坏，使用关键字preserve来保护数据。...在vbs中，任何运行时错误都是致命的，此时，脚本将停止运行，并在屏幕上显示一个错误消息。...脚本编程简明教程之六—修改注册表 Vbs中修改注册表的语句主要有： 1、读注册表的关键词和值：可以通过把关键词的完整路径传递给wshshell(WshShell对象,提供对本地 Windows外壳程序的访问

3K2 0

怎么设置ie兼容性视图设置_ie浏览器兼容性视图怎么设置

，新发放虚拟机兼容性视图设置没有效果兼容性视图设置界面：工具->兼容性视图设置域策略配置界面：【告警信息】：无【问题分析】：通过process monitor抓取IE兼容性视图设置更改的注册表项...【解决方法】： 1.在IE中，通过工具->兼容性视图设置，配置兼容性视图列表。 2.执行如下命令，保存IE中设置后的二进制数据。...，使用户登录时生效。...脚本双击执行使用。...本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

2.8K2 0

抓取域密码哈希的各种工具集合

这些密码哈希存储在域控制器（NTDS.DIT）中的数据库文件中，并包含一些附加信息，如组成员和用户。 NTDS.DIT 文件经常被操作系统使用，因此不能直接复制到另一个位置提取信息。...NTDS.DIT 文件将保存在 Active Directory 中，SAM 和 SYSTEM 文件将保存到注册表文件夹中 ?...还需保存 system 的注册表项，因为其中保存了 NTDS 文件的解密密钥： reg.exe save hklm\system c:\exfil\system.bak ?...C 盘的所有文件都已经复制到 HarddiskVolumeShadowCopy1 上，操作系统不直接使用，所以可以访问和复制其上的任何文件。...vssown 与 vssadmin 类似，vssown 是一个 vbs 脚本，可以创建和删除卷影副本，使用方式如下： cscript vssown.vbs /start cscript vssown.vbs

2.1K5 0

渗透技巧——”隐藏”注册表的创建

0x00 前言知名恶意软件Poweliks曾使用过的一个后门技术，在注册表启动位置创建一个特殊的注册表键值，通过mshta来执行payload 对于这个特殊的注册表键值，在正常情况下无法对其访问，这其中的原理是什么呢...，如下图 2.在该注册表下创建注册表键值先获得该注册表项的句柄： hKey = MyOpenHiddenKey("\\Registry\\Machine\\Software\\testhidden"...、删除隐藏注册表键值，思路如下：对于注册表项的隐藏，在注册表项的名称首位填”\0”即可对应注册表键值的隐藏，原理上也是在键值的名称首位填”\0”，但在参数传递上需要注意更多问题 1.不需要修改的功能...创建注册表键、打开注册表键和删除注册表键的功能不需要修改，使用正常的名称即可 2.设置注册表键值对应源代码中的MySetHiddenValueKey 传入参数使用char型数组，，用来定义注册表键值名称...参照2，需要注意”\0”的影响 4、删除注册表键值对应源代码中的MyDeleteHiddenValueKey 参照2，需要注意”\0”的影响实际测试：创建注册表项test2,创建隐藏注册表键值\

1.4K8 0

windows常用命令

：将空格替换成0） md 创建目录例：md movie music // 在当前目录中创建名为movie和music的文件夹例：md d:\test\movie // 创建d:\test\movie...，仍然可以替换成功】例：replace d:\love.mp3 d:\mp3 // 使用d盘下的love.mp3强制替换d盘mp3目录中的love.mp3文件 mklink 创建符号链接（win7引入...不提示，强行改写现有注册表项例：reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v MyApp /t REG_SZ /d "...\winhex.exe\" \"%1\" " /f // 强制添加winhex到右键菜单的注册表项（不指明/v，键值将写入默认值名中）注册表中%1 %2 %3 %4的含义： -- %1表示文件列表...// 创建一个名为Soda Build的任务计划：该任务计划每20分钟执行一下d:\check.vbs脚本例：schtasks /create /tn "Soda Build" /tr D:\updateall.bat

1.9K2 0

Vbs脚本编程简明教程

2、在VBScript中，变量的命名规则遵循标准的命名规则，需要注意的是：在VBScript中对变量、方法、函数和对象的引用是不区分大小写的。...也就是说你以要定义一个有十个数据的数组，将这样书写代码：dImarray（9），同样，当你要访问第五个元素时，实际的代码是array(4)。当然，你可以通过不指定数组的个数和维数来申明动态数组。...等到数组的个数和维数固定后，使用关键字redim来改变数组。注意，在改变数组的大小时，数组的数据会被破坏，使用关键字preserve来保护数据。...脚本编程简明教程之六 —修改注册表 Vbs中修改注册表的语句主要有： 1、读注册表的关键词和值：可以通过把关键词的完整路径传递给wshshell对象的regread方法...◎Vbs脚本编程简明教程之十二 —使用系统对话框在VBS脚本设计中，如果能使用windows提供的系统对话框，可以简化脚本的使用难度，使脚本人性化许多，很少有人使用，但VBS并非不能实现这样的功能

9.7K5 2

Neurevt 木马与窃密程序相结合，针对墨西哥企业

该域名于 2021 年 6 月 21 日在 NameCheap 注册，saltoune.xyz 解析的 IP 地址为 162.213.251.176。...该域名的全球遥测数据如下所示：执行会创建很多文件：恶意软件创建一个线程设置注册表并执行 VBS 文件： WScript.exe 进程读取文件 C:\LMPupdate\set\435246....vbs并启动 Windows Shell 运行批处理文件 C:\LMPupdate\set\183.bat。...恶意软件窃取凭据和双因子 Token，定义的函数调用如下所示：持久化恶意软件修改了多个注册表项：HKLM\Software\Microsoft\Windows NT\CurrentVersion\...一个注册表中存放了大量数据（HKEY_CURRENT_USER\Software\AppDataLow\Software{B56DA420-0B5E-0394-E271-7DACAF8D4BB5}\14FD1F9A

4933 0

VBA专题07：使用VBA读写Windows注册表

Windows注册表用于存储与计算机相关的各种设置，VBA中的GetSetting函数和SaveSetting函数能够读写Windows注册表，这样，我们不仅能够获取应用程序和硬件的信息，也可以将应用程序中的信息存储在注册表中以供使用...SaveSetting SaveSetting语句在Windows注册表中创建或保存一个应用程序项。...因此，在使用从注册表返回的数值型值之前，应该使用合适的转换函数将返回值转换为数值数据类型。 3.GetSetting不能检索注册表项的缺省值。...2.该函数返回的数组中的第一维元素为项名，第二维元素为各个项的值。 3.该函数返回的二维数组的下标从0开始。因此，第一个注册表项名可以通过引用元素（0,0）获取。...End Sub 4.下面是一段综合示例代码，演示了创建注册表项、更新注册表项、打印注册表项、打印所有注册表项、删除注册表项等操作。

3.5K1 0

T1218.002 Control Panel滥用

在win7以上的系统中默认都集成了该功能。...默认的Applocker规则集合,可以看到cpl并不在默认规则中: 缓解措施 M1038 执行预防在适当的情况下，使用应用程序控制工具（如 Windows Defender 应用程序控制、AppLocker...用于定位系统上存在的未注册和潜在恶意文件的库存控制面板项目：可执行格式注册控制面板项将具有全局唯一标识符（GUID）和在注册的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft...这些条目可能包含有关控制面板项目的信息，例如其显示名称、本地文件的路径以及在控制面板中打开时执行的命令。存储在 System32 目录中的 CPL 格式注册的控制面板项目会自动显示在控制面板中。...其他控制面板项目将在CPLs和的Extended Properties注册表项中有注册条目HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER\Software\Microsoft

8812 0

Defeat-Defender 免杀批处理脚本

Defeat-Defender/blob/93823acffa270fa707970c0e0121190dbc3eae89/Defeat-Defender.bat#L72并替换有效负载的直接网址运行脚本“ run.vbs...获得管理员权限后，它将禁用防御者 PUA保护自动送样 Windows防火墙 Windows智能屏幕（永久）禁用快速扫描将exe文件添加到防御者设置中的排除项禁用勒索软件保护病毒总结果[8/04...该功能可防止禁用实时保护并使用Powershell或cmd修改防御者注册表项...如果需要禁用实时保护，则需要手动执行...。...但是我们将使用NSudo禁用实时保护，而不会触发Windows Defender 运行Defeat-Defender脚本后 ? ?...执行Batch文件时要求管理员权限、获得管理员特权后，它开始禁用Windows Defender实时保护，防火墙，智能屏幕并开始从服务器下载我们的后门，并将它放置在启动文件夹中。

1.5K5 0

记一次应急中发现的诡异事件

0x1 事件概述在一次应急响应中，无意发现来自不同地区和人员的攻击，两种留后门的方法，截然不同的操作，不同的技术手法。 0x2病毒的温床Fonts fonts目录常被用于藏匿后门的最佳场所 ? ?...由于不能直接使用资源管理器进行查看，所以我就选择在dos下打印目录结构进行查看。...HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 想必大家对这个注册表项应该不陌生...0x3 玩坏了的VBS 前面的样本中大量使用bat，可以说bat使用手法还算是娴熟，那么下边的样本让我对作者刮目相看。在ProgrameData目录下。 ?...在Fonts目录下比较喜欢使用bat,另外就是有签名，虽然签名不怎么样在ProgrameData目录下的比较擅长使用vbs,但是文件没有签名，虽然没有签名，却加壳了剩下的都是零零散散的文件，也不太确定属于哪个系列

1.2K2 0

C#操作注册表全攻略

下面我们就来用.NET下托管语言C#操作注册表，主要内容包括：注册表项的创建，打开与删除、键值的创建(设置值、修改)，读取和删除、判断注册表项是否存在、判断键值是否存在。...准备工作： 1：要操作注册表，我们必须要引入必要的命名空间： using Microsoft.Win32; 在这个命名空间里面包含了许多注册表相关的类，足够我们使用了~~ 2：命名空间里面提供了一个类：...key = Registry.LocalMachine; 3：在操作的过程中涉及到子分支，要用\\进行深入，单个\会报错！...一：注册表项的创建，打开与删除 1：创建：创建注册表项主要用到RegistryKey 的CreateSubKey()方法。...hkml.OpenSubKey("SOFTWARE", true); subkeyNames = software.GetSubKeyNames(); //取得该项下所有子项的名称的序列，并传递给预定的数组中

1K3 1

Metasploit从入门到入坟

该文件夹中存放着大量的使用工具 5) plugins ? 该文件夹放着大量插件简单知道该文件系统是干嘛的就行，对渗透领域深入后可以利用找到该模块利用里面的代码！...execute -H -i -f cmd.exe #创建新进程cmd.exe，-H不可见，-i交互还有个-m命令是在内存中运行~~ 这里主要记住这个命令即可，创建的新进程对方无法可见，就是在电脑上打开了一个...Create the supplied registry key [-k ]#创建提供的注册表项 deletekey Delete the supplied registry...key [-k ]#删除提供的注册表项 queryclass Queries the class of the supplied key [-k ]#查询键值数据...，建议思路是：在C:\Users***\AppData\Local\Temp\目录下，上传一个vbs脚本在注册表HKLM\Software\Microsoft\Windows\CurrentVersion

9173 0

请注意，微信群聊再现“银狐”病毒新变种

最近，火绒威胁情报系统监测到，又有后门病毒伪装成“企业补贴政策名单.msi”“12月稽查税务.msi”等诱导性文件在微信群聊中相互传播。...火绒工程师再次提醒大家时刻注意群聊中发送的陌生文件（后缀.msi/.rar/.exe/.chm/.bat/.vbs），如有必要先使用安全软件扫描后再使用。...：代码缩略图在分析的过程中发现其在 "Services" 服务项中注册了 "Rslmxp nnjkwaum" 目录，并设立 "ConnentGroup" 键，该健是用于统筹连接用的 C2 IP 及标识相关进程使用的...注册表设立要连接的 "C2 IP" 是以硬编码的方式存在于样本中的，"IP" 和前面设立注册表项会拼接在一起，创建一个标识特定连接 IP 的互斥体：互斥体创建最后样本会单独开启线程进行通信相关操作..."erp.exe" 所使用的伪造的数字签名和文件信息也在相关“银狐”分析报告中被提及，回顾整个攻击的 "TTP" 和针对的人群（财务类人员），种种证据表明这又是一起“银狐”代表的攻击事件：相关伪造证书

6671 0

第65篇：探索顶级APT后门Sunburst的设计思路（修正篇）Solarwinds供应链攻击中篇

4 创建命名管道防止多实例运行后门创建名为583da945-62af-10e8-4902-a8f205c72b2e的命名管道，放置多示例运行。...后门从xml返回文本中解密提取攻击者下发的指令，并通过ExecuteEngine方法执行对应指令，通过JobEngine中的值作为条件，运行由命令行参数组成的命令。...JobEngine.ReadRegistryValue时，读取注册表项的值。 12. JobEngine.SetRegistryValue时，设置注册表项的名称、类型、路径 13....JobEngine.DeleteRegistryValue时，删除注册表项 14....接着Sunburst使用映像劫持技术，通过修改注册表，将dllhost.exe与wscript.exe C:\Windows\[folder]\[trigger].vbs命令进行绑定，dllhost.exe

4022 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭