开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在powershell中创建多个(子)注册表项

在PowerShell中创建多个(子)注册表项，可以使用以下步骤：

打开PowerShell控制台：在Windows操作系统中，按下Win + X键，然后选择“Windows PowerShell”或“Windows PowerShell(管理员)”选项。
使用New-Item命令创建注册表项：在PowerShell控制台中，使用以下命令创建一个新的注册表项：
使用New-Item命令创建注册表项：在PowerShell控制台中，使用以下命令创建一个新的注册表项：
其中，“注册表路径”是要创建的注册表项的完整路径，例如"HKLM:\Software\MyApp"。
使用New-ItemProperty命令创建子注册表项：如果要在已存在的注册表项下创建子项，可以使用以下命令：
使用New-ItemProperty命令创建子注册表项：如果要在已存在的注册表项下创建子项，可以使用以下命令：
其中，“父注册表项路径”是已存在的注册表项的完整路径，例如"HKLM:\Software\MyApp"；“子注册表项名称”是要创建的子项的名称；“PropertyType”指定子项的数据类型，例如String、DWord等。
重复步骤2和步骤3以创建多个注册表项和子项。

以下是一个示例：

# 创建一个名为"MyApp"的注册表项
New-Item -Path "HKLM:\Software\MyApp"

# 在"MyApp"注册表项下创建一个名为"Settings"的子项，并设置其值为"Enabled"
New-ItemProperty -Path "HKLM:\Software\MyApp" -Name "Settings" -PropertyType String -Value "Enabled"

注意：在使用PowerShell创建注册表项时，请确保以管理员身份运行PowerShell控制台，以便具有足够的权限来修改注册表。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

PowerShell实战：文件操作相关命令笔记

cmdlet New-Item 将创建新项并设置其值。可创建的项类型取决于项的位置。例如，在文件系统 New-Item 中创建文件和文件夹。在注册表中， New-Item 创建注册表项和条目。

02

渗透技巧——”隐藏”注册表的创建

0x00 前言知名恶意软件Poweliks曾使用过的一个后门技术，在注册表启动位置创建一个特殊的注册表键值，通过mshta来执行payload 对于这个特殊的注册表键值，在正常情况下无法对其访问，这

08

Powershell快速入门（三）实战应用

PS常用命令之文件目录及内容操作

描述: 切换当前工作目录的路径实际上在PowerShell中cd命令就是其的别名。

02

SharPersist：一款渗透测试中实现Windows系统常驻的套件

PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进，正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录，反恶意软件脚本接口（AMSI）以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包，如Seatbelt，SharpUp和SharpView，用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此，FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。

00

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

这是 WMI 攻击手法研究系列第三篇，本文将重点介绍与 Windows 注册表的交互。在开始之前需要了解的一件事情是：MITRE ATT&CK 对查询注册表 (Query Registry) 归类于 T1012 以及它的修改 (Modify Registry) 归类于 T1112。

02

Window权限维持（四）：快捷方式

Windows快捷方式包含对系统上安装的软件或文件位置（网络或本地）的引用。自从恶意软件出现之初，便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK，它为红队提供了很多机会来执行各种格式的代码（exe，vbs，Powershell，scriptlet等）或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性，但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。

03

隐藏在注册表的恶意软件 – Poweliks

日前，国外安全公司GData发现一款比较新型的恶意软件，并定义名称为Poweliks，该恶意软件能够持久的感染目标机器，比较新颖的是该软件不会在目标主机上安装任何文件。Poweliks只在计算机的注册

命令控制之Website Keyword

目前有各种C2C工具，其中一些使用ICMP和DNS等协议以及其他一些合法网站，如DropBox和Gmail，在DerbyCon 3.0期间， Matt Graeber和Chris Campbell介绍了一种使用网站关键字的技术，以便在系统中触发shellcode。

01

应急响应系列之利用ProcessMonitor进行恶意文件分析

最近几年，伴随着数字货币的兴起，促进了经济利益驱动型黑客行为的暴增。各位做安服和应急的小伙伴不可避免的会与各种勒索病毒、挖矿病毒以及各种蠕虫病毒打交道，通过分析各大厂发的技术文章，其主要使用逆向分析还原原始代码来了解病毒相关的功能与特征。

02

后门技巧之使用网站关键字进行反连

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。

01

PowerShell实战：Get-Item命令使用详解

今天继续给大家分享PowerShell当中Get-Item相关的命令介绍，希望对运维的同事有所帮助！

01

利用注册表键值Bypass UAC

fodhelper.exe是一个具备autoElevate属性且是微软自带的工具，具备微软签名，该程序在执行过程中会将注册表中HKCU:\Software\Classes\ms-settings\Shell\Open\command的内容当作命令执行。接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。

01

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在Windows 10中，Microsoft的反恶意软件扫描接口（AMSI）被作为新功能被引入，作为标准接口，该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够

07

Windows用户自查：微软紧急更新修复Meltdown和Spectre CPU漏洞

1月3日深夜，微软发布了针对Meltdown和Specter的系统安全更新，而两个安全漏洞影响了几乎所有自1995年以来发布的CPU（不止Intel）。根据微软的安全建议来看，这些 Windows 安全更新能够解决了各种Windows 发行版中的Meltdown和Spectre漏洞。操作系统更新 KBWindows Server, version 1709 (Server Core Installation)4056892Windows Server 20164056890Windows Server 2

08

Window权限维持（一）：注册表运行键

在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此，持久性是红队成功运作的关键，这将使团队能够专注于目标，而不会失去与指挥和控制服务器的通信。

04

Windows Server 2012文件系统

在Windows Server 2012中，提供了一个新的文件系统是调用弹性文件系统（ReFS）。

02

Windows之注册表介绍与使用安全

PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统，如Win3.x中对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的，但INI文件管理起来很不方便，因为每种设备或应用程序都得有自己的INI文件，并且在网络上难以实现远程访问。为了克服上述这些问题，在Windows 95及其后继版本中，采用了一种叫做“注册表”的数据库来统一进行管理，将各种信息资源集中起来并存储各种配置信息。按照这一原则Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。

02

计划任务的攻防战 | Window 应急响应

一些安全研究员发现，通过修改创建的计划任务的注册表，同时删除计划任务文件，可以完全隐藏计划任务，并且执行不受影响

01

针对哈萨克斯坦的基于多阶段 PowerShell 的攻击

11 月 10 日，我们发现了一次多阶段 PowerShell 攻击，该攻击使用冒充哈萨克斯坦卫生部的文件诱饵，目标是哈萨克斯坦。

02

如何使用PowerShell批量删除注册表项

卸载了可牛压缩软件以后，发现右键菜单中仍然有可牛压缩的选项。不用想就知道是注册表中有该软件的残留。打开注册表，进行搜索发现在计算机\HKEY_USERS\S-1-5-21-3610452307-4043425157-186669480-1001\Software\Classes的子目录下有超过100+的关于可牛压缩的子项。注册表编辑器还不支持按住Shift进行多选，所以只能使用脚本进行批量删除。！！！友情提示，删除之前请进行注册表备份，或者你百分比确定你的代码没有问题，再执行，否则发生的任何损失，本文概不负责！！！

01

Bypass-UAC（用户帐户控制）的那些事

在本文中，我们将简要介绍一下用户帐户控制，即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。

02

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队，整理分析了一起某电商钓鱼事件，通过关联信息，发现背后可能存在一个“产业链齐全”的黑客团伙，研究发现其具备“一站式服务”的黑客攻击手段。

03

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

02

Window权限维持（五）：屏幕保护程序

屏幕保护是Windows功能的一部分，使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知，Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件，并通过scrnsave.scr实用程序执行。

01

服务隐藏与排查 | Windows 应急响应

攻击者通过创建服务进行权限维持过程中，常常会通过一些手段隐藏服务，本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索

01

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

03

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。

02

cmd/powershell/anaconda prompt提示“系统找不到指定的路径”

在Win10 cmd 或 anaconda 命令行中，会遇到输入命令前先弹出“系统找不到指定的路径”的问题。本文记录解决方案。问题描述打开命令行 (cmd.exe)或者powershell，anaconda prompt等，提示“系统找不到指定的路径”(“The system cannot find the path specified”) 原理在windows系统中，打开一个命令行 (cmd.exe)或者类似的anaconda prompt, 下面两个注册表项会被自动检测: HKEY_L

02

如何获得PowerShell命令的历史记录

我在最近的学习过程中，发现PowerShell的命令的历史记录有时会包含系统敏感信息，例如远程服务器的连接口令，于是我对PowerShell的的历史记录功能做了进一步研究，总结一些渗透测试中常用导出历史记录的方法，结合利用思路，给出防御建议。

03

获取主机已安装程序的多种方式

这篇文章我们主要讲的是获取主机已安装程序的多种方式，通过获取的软件及版本信息可用于权限提升、搜集密码等。因为有的方式获取不完整或者可能被安全防护软件拦截，所有我测试了多个方法，以备不时之需。

02

C#操作注册表全攻略

相信每个人对注册表并不陌生，在运行里面输入“regedit”就可以打开注册表编辑器了。这东西对Windows系统来说可是比较重要的，也是病毒常常会光顾的地方，比如病毒和恶意软件常常会在注册表的启动项里面写入自己的启动键值来达到自启动的目的，有些病毒还会修改注册表里面来映像劫持杀毒软件，这是破坏系统的第一步。同时，大多软件（软件的序列号和信息）和硬件信息、系统信息、安全模式等等设置都保存在这里，因此系统的健康在很大程度上要依赖注册表的健康。

03

虚拟系统管理Kaseya VSA遭黑客滥用受感染系统秒变门罗币挖矿机

“用指尖改变世界” 📷 根据网络安全公司eSentire在本周二发布的调查报告称，自2018年1月19日起，黑客开始利用Kaseya VSA(虚拟系统管理)存在的安全漏洞在未经授权的情况下访问VSA用户的资产，并将门罗币(Monero)挖矿软件部署到目标系统中。 eSentire的研究人员表示，在1月19日至1月24日期间，他们的安全管理平台(SOC)监测到正运行esENDPOINT(该公司向其客户单位提供的专属软件)的多家客户单位出现了可疑的PowerShell活动，导致一个门罗币挖矿软件“xmrig.e

05

某远控RCE绕过某数字的利用方式

群友在某次项目测试中遇到一个存在向日葵远程命令执行漏洞的IP，目标环境Windows2016+360+Wdf，由于存在360而无法通过向日葵漏洞利用工具执行命令进行下一步测试。

01

红队战术-躲避日志检查

windows事件日志简介：Windows 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

02

网络安全自学篇（二十）| Powershell基础入门及常见用法（二）

自幼受贵州大山的熏陶，养成了诚实质朴的性格。经过寒窗苦读，考入BIT，为完成自己的教师梦，放弃IT、航天等工作，成为贵财一名大学教师，并想把自己所学所感真心传授给自己的学生，帮助更多陌生人。

02

让你的 Windows 应用程序在任意路径也能够直接通过文件名执行

我们可以在任何路径下输入 explorer 来启动资源管理器，可以在任何路径中输入 git 来使用 git 相关的命令。我们知道可以通过将一个应用程序加入到环境变量中来获得这个效果，但是还有其他的方式吗？

01

Antimalware Scan Interface Provider for Persistence

Windows 反恶意软件扫描接口 (AMSI) 是微软推出一种通用接口标准，允许的应用程序和服务与机器上存在的任何毒软件进行调用。AMSI 为的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。

01

Windows之注册表操作命令

描述：reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项.

03

Windows之注册表操作命令

描述：reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项.

01

Avos Locker 远程访问盒子，甚至在安全模式下运行

在过去的几周里，一个自称 Avos Locker 的新兴勒索软件家族一直在加大攻击力度，同时努力在其目标系统上禁用端点安全产品。

03

VBA专题07：使用VBA读写Windows注册表

Windows注册表用于存储与计算机相关的各种设置，VBA中的GetSetting函数和SaveSetting函数能够读写Windows注册表，这样，我们不仅能够获取应用程序和硬件的信息，也可以将应用程序中的信息存储在注册表中以供使用。

01

Windows手工入侵排查思路

Windows系统被入侵后，通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等，给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权，启动方式多种多样，比如注册表、服务、计划任务等，这些都是需要重点排查的地方。另外，需要重点关注服务器日志信息，并从里面挖掘有价值的信息。

03

配置酷酷的Windows Powershell

用过Linux的同学可能听说过ohmyzsh这个东西，它是一个工具包，包含了关于zsh（一个功能强大的Linux Shell）的各项配置，可以让用户非常方便的鼓捣出一套功能强大而炫酷的Shell界面。那么对于Windows用户，能不能也这么配置，拜托难看且难用的cmd终端呢？答案当然是肯定的，这就是今天本文要介绍的内容啦。

03

Windows中常见后门持久化方法总结

当我们通过各种方法拿到一个服务器的权限的时候，我们下一步要做的就是后渗透了，而后门持久化也是我们后渗透很重要的一部分，下面我来总结一下windows下常见的后门持久化的方法

02

利用 Office 来进行系统权限维持

Microsoft Office 是 Windows 操作系统中使用最多的产品，用来完成每日的工作，比如 HR 筛选简历、销售人员编写标书、汇报工作编写演示文稿等。如何利用 Office 软件的功能实现权限持久化呢？

04

如何利用DCOM实现横向渗透

这篇文章主要讨论的是DCOM横向渗透以及Payload执行方法，当目标系统的\target\admin$\system32\中不包含mobsync.exe时，本文所介绍的方法才可行。如果你能获取到目标系统的管理员权限（通过PowerShell），你将能做到如下所示的东西：

02

权限维持方法小结

WinlogonHack 是一款用来劫取远程3389登录密码的工具，在 WinlogonHack 之前有一个 Gina 木马主要用来截取 Windows 2000下的密码，WinlogonHack 主要用于截取 Windows XP 以及 Windows 2003 Server

01

[系统安全] 四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起加油~

02

速看，微软MSDT零日漏洞的补丁来了

近日，网络安全研究人员发现了一个新的 Microsoft Office 零日漏洞，编号 CVE-2022-30190。只需打开 Word 文档即可通过 Microsoft 诊断工具 (MSDT) 执行恶意 PowerShell 命令，也可以运行任意代码。这也就意味着，攻击者可以安装程序、查看、更改或删除数据，或者在用户权限允许的上下文中创建新帐户。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭