开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在powershell中创建多个(子)注册表项

在PowerShell中创建多个(子)注册表项，可以使用以下步骤：

打开PowerShell控制台：在Windows操作系统中，按下Win + X键，然后选择“Windows PowerShell”或“Windows PowerShell(管理员)”选项。
使用New-Item命令创建注册表项：在PowerShell控制台中，使用以下命令创建一个新的注册表项：
使用New-Item命令创建注册表项：在PowerShell控制台中，使用以下命令创建一个新的注册表项：
其中，“注册表路径”是要创建的注册表项的完整路径，例如"HKLM:\Software\MyApp"。
使用New-ItemProperty命令创建子注册表项：如果要在已存在的注册表项下创建子项，可以使用以下命令：
使用New-ItemProperty命令创建子注册表项：如果要在已存在的注册表项下创建子项，可以使用以下命令：
其中，“父注册表项路径”是已存在的注册表项的完整路径，例如"HKLM:\Software\MyApp"；“子注册表项名称”是要创建的子项的名称；“PropertyType”指定子项的数据类型，例如String、DWord等。
重复步骤2和步骤3以创建多个注册表项和子项。

以下是一个示例：

# 创建一个名为"MyApp"的注册表项
New-Item -Path "HKLM:\Software\MyApp"

# 在"MyApp"注册表项下创建一个名为"Settings"的子项，并设置其值为"Enabled"
New-ItemProperty -Path "HKLM:\Software\MyApp" -Name "Settings" -PropertyType String -Value "Enabled"

注意：在使用PowerShell创建注册表项时，请确保以管理员身份运行PowerShell控制台，以便具有足够的权限来修改注册表。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在 PowerShell 中创建 WinUI3 GUI

不过，使用 PowerShell 创建 WinUI3 GUI 也是可以的。前提条件安装最新版本的 .NET SDK 和 Visual Studio。...第一步：创建 WinUI3 项目打开 Visual Studio。创建一个新的 WinUI3 应用程序项目。...在项目中添加一个简单的 XAML 文件，例如 MainWindow.xaml，内容如下：<Window xmlns="http://schemas.microsoft.com/winfx/2006/xaml...第二步：<em>创建</em> <em>PowerShell</em> 脚本打开一个新的 <em>PowerShell</em> 脚本文件。...<em>中</em>的 WinUI3 支持不是官方支持的，可能会遇到兼容性和稳定性问题。

1501 0

PowerShell：在 Windows 中创建并导出自签名证书

在今天的数字化世界中，确保数据的安全性和完整性尤为重要。证书提供了一种验证数据来源并保护数据免受篡改的方法。本文将介绍如何在 Windows 环境中使用 PowerShell 创建并导出自签名证书。...在PKI中，证书是由可信任的第三方（称为证书颁发机构，CA）颁发的，CA证明了证书持有者的身份以及与之关联的公钥。然而，我们也可以创建自签名证书，即由证书持有者自己（而不是CA）签名的证书。...创建自签名证书在 Windows 中，我们可以使用 PowerShell 的 New-SelfSignedCertificate cmdlet 来创建自签名证书。...在 PowerShell 中，我们可以使用 Export-PfxCertificate 和 Export-Certificate cmdlets 来导出证书。...在 Windows 中，我们可以使用 PowerShell 来创建和导出自签名证书。虽然自签名证书在公共互联网上可能会引发信任问题，但它们在测试和开发环境中是非常有用的工具。

1.3K2 0

PowerShell实战：文件操作相关命令笔记

1、New-Item 创建新项命令cmdlet New-Item 将创建新项并设置其值。可创建的项类型取决于项的位置。例如，在文件系统 New-Item 中创建文件和文件夹。...在注册表中， New-Item 创建注册表项和条目。New-Item 还可以设置它创建的项的值。例如，在创建新文件时， New-Item 可以向文件添加初始内容。...在电脑E盘创建一个“PowerShell 练习”目录New-item -Path "E:\" -Name "PowerShell 练习" -ItemType "directory"输出目录: E:\Mode...2、Remove-Item 删除项命令Remove-Item cmdlet 删除一个或多个项。它支持删除许多不同类型的项，包括文件、文件夹、注册表项、变量、别名和函数。...文件重命名,当前demo.txt 文件名修改为 demonew.txtRename-Item demo.txt -NewName "demonew.txt"重命名该注册表项Rename-Item -Path

2732 0

PS常用命令之文件目录及内容操作

描述: 切换当前工作目录的路径实际上在PowerShell中cd命令就是其的别名。...默认情况下，具有该名称和映射的驱动器在PowerShell中可用。...例如，可以使用此cmdlet将一个或多个注册表项从一个注册表项复制到另一个注册表项。...\Registry # 4.使用Here字符串在注册表中创建多字符串值 $newValue = New-ItemProperty -Path "HKLM:\SOFTWARE\WeiyiGeek\test...This is text which contains newlines # It can also contain "quoted" strings} # 5.使用数组在注册表中创建多字符串值

8K2 0

Window权限维持（四）：快捷方式

现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。 usemodule persistence/userland/backdoor_lnk ?...在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager。 ? 杂项 PoshC 在常见的红色团队工具包之外，还有多个脚本可用于开发恶意快捷方式。...EmpireEmpire包含一个持久性模块，该模块可以后门合法的快捷方式（.LNK），以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...可以通过执行以下命令来调用此技术：install-persistence 3PoshC2 –启动LNK文件在Windows登录期间，快捷方式将尝试在注册表项上执行值，该注册表项包含base64格式的stager...PoshC2 –快捷方式杂项PoshC在常见的红色团队工具包之外，还有多个脚本可用于开发恶意快捷方式。

1.3K3 0

渗透技巧——”隐藏”注册表的创建

0x00 前言知名恶意软件Poweliks曾使用过的一个后门技术，在注册表启动位置创建一个特殊的注册表键值，通过mshta来执行payload 对于这个特殊的注册表键值，在正常情况下无法对其访问，这其中的原理是什么呢...，如下图 2.在该注册表下创建注册表键值先获得该注册表项的句柄： hKey = MyOpenHiddenKey("\\Registry\\Machine\\Software\\testhidden"...、删除隐藏注册表键值，思路如下：对于注册表项的隐藏，在注册表项的名称首位填”\0”即可对应注册表键值的隐藏，原理上也是在键值的名称首位填”\0”，但在参数传递上需要注意更多问题 1.不需要修改的功能...\0”的影响实际测试：创建注册表项test2,创建隐藏注册表键值\0test2,创建正常注册表键值test2 直接打开，如下图能够正常访问注册表键值test2，但无法访问注册表键值\0test2...下创建键值\0abcd，内容为mshta javascript:alert(1) 使用我们编写的程序成功读取该键值，如下图 0x05 补充 PSReflect-Functions包含多个通过powershell

1.4K8 0

Powershell快速入门（三）实战应用

Get-ItemProperty -Path 'HKCU:\Control Panel\Desktop\MuiCached' -Name MachinePreferredUILanguages 编辑注册表项...$path = "HKCU:\Control Panel\Desktop" 如果要新建注册表项，可以使用New-Item命令。我们可以使用注册表编辑器regedit来验证项是否创建成功。...Remove-ItemProperty -path $path\hellokey -name Fake 如果要删除整个注册表项，使用Remove-Item命令。...中的转义字符使用的这个特殊字符。...使用它，我们可以在没有安装Excel的情况下编辑Excel文件。首先需要安装它，可以利用Powershell的包管理器方便的安装。

3.6K10 1

SharPersist：一款渗透测试中实现Windows系统常驻的套件

背景 PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进，正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。...注册表持久性 SharPersist中支持的注册表项的完整列表如下表所示。注册表项代码（-k）注册表项注册表值是否需要管理权限？支持 Env 可选附加组件（-o env）？...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值，其值为“cmd.exe/c calc.exe...这将从当前用户的启动文件夹中删除LNK文件。 ? 计划任务后门持久性可以将计划任务配置为一次执行多个操作，此技术将通过添加其他操作来后门后门现有的计划任务。...通过发布SharPersist，我们希望让人们能够了解Windows中可用的各种持久性技术，以及使用C#而不是PowerShell的方式使用这些持久性技术的能力。

1.8K0 0

针对哈萨克斯坦的基于多阶段 PowerShell 的攻击

首先执行 lnk 文件，该文件调用 PowerShell 以通过运行多个Powershell脚本来操作注册表项和执行多种技术，例如权限提升和持久性。...这次攻击的所有阶段都托管在一个DangerSklif的用户于 11 月 8 日创建名为GoogleUpdate 的Github 存储库中。该DangerSklif 用户注册于11月1日。...解密命令后，我们可以看到UAC绕过的过程，包括在Task Scheduler中创建一个SilentCleanup任务，调用PowerShell以更高的权限执行创建的vbs文件。...\Run 注册表项来使这种多阶段攻击持久化。...最后一个阶段 ( updater.ps1 ) 是在 PowerShell 中执行 Cobalt Strike的payload。

9272 0

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

检查 regedit.exe 中的注册表后，它们的排列方式似乎与文件系统类似，每个 hive 都有许多键，键可以有多个子键，键或子键用来存储值。注册表项由名称和值组成，成一对。...当然也可以使用 Powershell 的 select -ExpandProperty 选项参数来扩展输出中返回的属性值。...1 查询注册表键的值 KEY_SET_VALUE 2 创建、删除或设置注册表值 KEY_CREATE_SUB_KEY 4 创建注册表项的子项 KEY_ENUMERATE_SUB_KEYS 8 枚举注册表项的子项...创建注册表项现在我们知道对在 HKEY_CURRENT_USER 下运行的注册表项有写访问权限，将计算器应用程序添加到注册表项中。...在本系列的后面部分，我们将了解如何仅使用 WMI 和注册表来创建整个 C2 基础设施。现在已经完成了基础知识，在下一篇文章中，将从 WMI 的基本侦察开始。敬请期待，我的朋友！

1.1K2 0

后门技巧之使用网站关键字进行反连

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。...这种技术的主要优点是shellcode直接从内存中执行，不容易被发现，通过注册表项实现持久化。 C2Code -PowerShell脚本如下: ?...当PowerShell脚本在目标主机上执行时，它将在网站上查找已经给出的特定关键字，如果关键字存在将执行有效负载 ? 打开一个Meterpreter会话进行监听，成功反弹回来。 ? ?...Matt Nelson还创建了一个Office宏，执行相同的技术，但是会另外创建一个注册表项，每次用户登录时执行C2Code PowerShell脚本，以保持持久性。 ?...当用户打开Office文档时，宏将运行，并且执行托管在控制网站上的Invoke-ShellCode脚本。 ? Meterpreter监听时同样会建立连接： ?

4581 0

命令控制之Website Keyword

Meterpreter会话并使用其作为命令和控制工具的所有功能，这种技术的主要好处是shellcode直接从内存执行，噪声较小，并通过注册表项实现持久性。...之后修改当PowerShell-C2脚本中的Word以及DownloadString地址： ?...同时会在MSF框架中收到返回的会话： ? 到这里可能有人会说这有啥高科技的呢？不就是一个在powershell下隐藏执行powershell程序之后反弹shell的吗？哪里有什么隐匿的呢？...Matt Nelson还创建了一个Office 宏，它执行相同的技术，但另外创建了一个注册表项，每次用户登录时都会执行C2Code PowerShell脚本以保持持久性： ?...之后在Python提供的Web服务端将会收到两次请求： ? 同时Meterpreter会话将打开，这里就很迷，一下可以一下不可以，暂且过： ? 注册表被修改 ?

5331 0

隐藏在注册表的恶意软件 – Poweliks

Poweliks在注册表里面创建的键值使用非ASCII字符作为键名，防止使用Windows注册表编辑器直接读取。如下图1： ? ? 我们使用注册表编辑器打开之后如下图： ?...GData公司发布的文章提到，Poweliks所有的活动都存储在注册表中，没有任何文件被创建过，所以能够绕过传统的恶意软件文件扫描技术，并且能够执行任意操作。...Poweliks行为特征： 1、利用Microsoft Word中的漏洞制作Word文件，然后通过电子邮件方式传播 2、创建一个隐藏的自启动注册表项 3、解码该启动项之后发现:代码中一部分会判断系统是否安装了...，该payload会查询机器硬编码的IP地址，以接受攻击者的进一步指令 5、以上所有的执行过程全部存储在注册表中，没有任何文件被创建 Poweliks是一个功能非常复杂的软件软件，它使用多个代码来隐藏自身...，能够不创建任何文件的情况下完成操作，能够执行注册表中任何一项操作，FB小编未找到Poweliks的源代码，如有同学找到了Poweliks的源码，欢迎发到FB一起研究。

1.4K10 0

利用注册表键值Bypass UAC

可以看到fodhelper.exe会查询注册表中 HKCU\Software\Classes\mscfile\shell\open\command的值，后面也会多次出现shell\open这个注册表项，...HKCU是当前用户注册表项，权限限制不严格。...使用Powershell中的New-Item命令就可以在指定注册表中创建一个新的键，使用命令New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open...\command" -Force来创建一个新的注册表项。...可以在default值中设置启动程序，在Powershell中运行代码清单4-23所示代码，执行结果如图1-9所示，虽然像这种注册表的Bypass UAC还有很多，不过大部分都只能针对Windows 10

3271 0

应急响应系列之利用ProcessMonitor进行恶意文件分析

针对病毒的相应行为进行反制，如病毒在c:\windows\下创建了1.exe文件，专杀就是到c:\windows\下找到这个文件并删除(根据MD5判断是否是同一个文件) 说起来很简单，但是在真实的实战中...三、核心功能回归正题，我们来分析一下ProcessMonitor的主要功能: 注册表行为分析文件行为分析网络行为分析进程行为分析 3.1 注册表行为分析主要分析针对注册表的以下行为打开注册表表项...创建注册表表项创建注册表键值设置注册表表项设置注册表键值删除注册表表项删除注册表键值查询注册表表项查询注册表键值枚举注册表表项枚举键值 …… ?...个人感觉在实战中用的比较多的针对注册表的操作行为有：枚举注册表表项与键值创建注册表表项与键值设置键值删除注册表表项与键值修改注册表键值 …… 我们直接过滤regsetvalue，可以看到过滤后的信息如下...另外，也可以通过RegShot这个工具来比较注册表的变化情况，其在病毒运行前和运行后可运行一次，通过对比病毒运行前后注册表的变化来分析病毒针对注册表的操作。 3.2 文件行为分析 ?

1.8K2 0

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell...PPT 文件包含一个超链接，作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。...【含恶意脚本的PPT文件】感染链来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档"并且将鼠标悬停在超链接上时，会激活恶意 PowerShell 脚本并从 Microsoft...该DLL 创建了一个用于持久性的注册表项。【触发执行恶意代码】接下来，lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。...【Graphite 使用的固定客户端 ID】研究人员解释说，使用新的 OAuth2 令牌，Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI

1.2K2 0

PowerShell实战：Get-Item命令使用详解

今天继续给大家分享PowerShell当中Get-Item相关的命令介绍，希望对运维的同事有所帮助！ Get-Item 命令使用频率非常高，主要是获取位于指定位置的项。...表示位于当前位置的项获取当前目录中的所有项说明：通配符 (*) 表示当前项的所有内容获取指定目录所有的项注意：文件目录不要出现特殊字符，比如空格等，否则执行会报错。具体看下图。...获取目录的属性，这里获取文件的创建时间查看目录的所有属性语法格式：(Get-Item 文件按目录) | Get-Member 获取注册表项目的内容首先打开注册表，找到蓝牙的注册表进行测试对比输出结果...如果需要指定当前位置中的所有项目，可以使用*。 -Include：包含的一个或多个项作为字符串数组，可以使用通配符，简单来说就是根据文件名称进行过滤筛选，参数类型为字符串数组[]。...当 cmdlet 获取对象时，提供程序会应用筛选器，而不是在检索对象后让 PowerShell 筛选对象。

2961 0

Windows用户自查：微软紧急更新修复Meltdown和Spectre CPU漏洞

微软在安全补丁的兼容性说明中表示，在我们的测试过程中，我们发现一些第三方应用程序已经对 Windows 内核内存进行了不受支持的调用，导致了蓝屏错误的发生。...微软表示他们已经在和各种厂商进行了沟通，部分不兼容的产品需要创建一个注册表项目，确保不会在本次安全更新后系统崩溃。...但在本次补丁安装时，系统会自动检测注册表项是否存在；如果键值存在，Windows更新进程才会相信反病毒软件已经得到更新，可以兼容补丁，系统才能正确更新。——这里就是问题点！...部分厂商表示他们不打算创建这个注册表值，部分厂商表示自己无法在“技术上”实现，其他厂商则在之后的几天内会将自己的AV产品更新，满足要求。...所以，如果用户使用的反病毒软件不巧处在“无法添加注册表项”的一类中，可以通过如下步骤实现更新：请在再三确认自己的厂商是否兼容，不兼容的话，我们才建议使用这个 .reg 文件！

1.1K8 0

Windows Server 2012文件系统

在Windows Server 2012中，提供了一个新的文件系统是调用弹性文件系统（ReFS）。 ReFS的关键属性包括 – 保持高水平的数据可用性和可靠性，即使单个底层存储设备遇到故障。...可扩展性 – 随着存储在计算机上的数据的数量和大小继续快速增长，ReFS设计为非常大的数据集（PB级和更大）无需性能影响即可正常工作。...当ReFS目录的元数据已损坏时，子文件夹及其相关文件将自动恢复。当ReFS保持在线时，ReFS会识别并恢复文件。ReFS目录元数据不可恢复的损坏仅影响发生损坏的目录中的那些文件。...ReFS包括一个新的注册表项RefsDisableLastAccessUpdate，它等同于以前的NtfsDisableLastAccessUpdate注册表项。...Windows PowerShell中的新存储命令可用（Get-FileIntegrity和SetFileIntegrity）可供您管理完整性和磁盘清理策略。

4942 0

从某电商钓鱼事件探索黑客“一站式服务”

文档中的特殊文本。...我们发现，其通过自启动注册表项，启动PowerShell执行相应的命令 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle...注册表项的内容，然后通过Base64解码之后执行，另一个注册表项的内容是一串Base64的字符串。 ? 多次解码之后，得到相应的PowerShell源代码。 ?...通过PowerShell脚本，创建一个线程，注入一段ShellCode到远程进程中，执行ShellCode，解密出相应的ShellCode代码。 ?...并设置注册表自启动项： ? 将之前释放到隐藏目录下的副本远控创建为计划任务启动项： ? 黑客可以实时监控这台主机，动态分析显示其与远程C2服务器14.215.177.39地址进行通信。 ?

7323 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭