如何从32位Powershell实例访问64位注册表？

要从32位Powershell实例访问64位注册表，您需要使用Powershell的RegistryProvider。以下是一些步骤和示例代码：

首先，打开一个32位Powershell实例。
然后，使用New-PSDrive命令创建一个新的PSDrive，该命令将允许您访问64位注册表。

示例代码：

New-PSDrive -Name Registry64 -PSProvider Registry -Root HKEY_LOCAL_MACHINE -Scope Global

这将创建一个名为Registry64的新PSDrive，您可以使用它来访问64位注册表。

接下来，使用cd命令导航到您要访问的注册表项。

示例代码：

cd Registry64:\SOFTWARE\Microsoft\Windows\CurrentVersion

最后，使用Get-ItemProperty命令获取您要访问的注册表项的值。

示例代码：

Get-ItemProperty -Path . -Name "ProgramFilesDir"

这将获取名为ProgramFilesDir的注册表项值。

通过这些步骤，您可以从32位Powershell实例访问64位注册表。

相关·内容

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

为了做到这一点，有两个注册表项需要修改：劫持COM服务的整个过程是：当AMSI尝试实例化其COM组件时，它将查询其在注册表中注册的CLSID并返回一个不存在的数值。...这将导致其加载失败，并阻止任何扫描恶意软件的方法被访问，最终使得AMSI不可使用。...COM接口访问任何扫描恶意程序的方法，结果如下图所示：您可以在这里找到更改注册表的方法： https://gist.github.com/enigma0x3/00990303951942775ebb834d5502f1a6...我们来看一下漏洞被修复前后的不同，从图中可以看到AmsiInitialize函数，它可能包含了实际实例化AMSI的逻辑代码。...现在我们知道修复，那么我们如何去绕过它呢？在进行研究之前，我们需要明白的是：基本上，脚本解释器（如PowerShell）从工作目录加载amsi.dll，而不是从安全路径（如System32）加载它。

2.7K7 0

渗透技巧——”隐藏”注册表的创建

0x00 前言知名恶意软件Poweliks曾使用过的一个后门技术，在注册表启动位置创建一个特殊的注册表键值，通过mshta来执行payload 对于这个特殊的注册表键值，在正常情况下无法对其访问，这其中的原理是什么呢...如何读取、创建以及如何删除呢?...\0”的影响实际测试：创建注册表项test2,创建隐藏注册表键值\0test2,创建正常注册表键值test2 直接打开，如下图能够正常访问注册表键值test2，但无法访问注册表键值\0test2...调用API的实例代码，地址如下： https://github.com/jaredcatkinson/PSReflect-Functions 0x06 小结本文介绍了Poweliks使用过的注册表隐藏技术...，分析原理，编写c程序实现功能，测试powershell实现代码

1.4K8 0

网络安全自学篇（二十）| Powershell基础入门及常见用法（二）

2.访问数组首先定义一个多钟类型的数组。 ? ? 访问数组特定元素，第一个元素，获取两个元素，获取最后一个元素。 ? ? 获取数组元素大小调用count实现。 ? 如何将数组倒序输出呢？如下所示。...早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。...但是，从Microsoft Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。...在Powershell中显示注册表指令如下： ? ? 对应注册表图形界面。 ? ? ? 对应图形界面。 ? 其他访问也类似。 ? ? 对应图形界面： ? 读取键值 ? ? 设置键值 ?...由于注册表不能随便修改，很容易造成系统故障，后续随着作者深入学习，了解更多网络安全中Powershell及注册表工作再来分享，希望读者喜欢该系列文章。

2.6K2 0

四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作

这篇文章将从Powershell条件语句、循环语句、数组、函数、字符串操作、注册表访问等方面讲解。Powershell被广泛应用于安全领域，甚至成为每一位Web安全必须掌握的技术。...2.访问数组五.Powershell函数 1.自定义函数及调用 2.函数返回值六.Powershell字符串及交互 1.定义文本及转义字符 2.用户交互 3.格式化字符串 4.字符串操作七.Powershell...$num = $arr[0..2] $num.count 如何将数组倒序输出呢？如下所示。...早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。...但是，从Microsoft Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。

2.8K2 0

2.Powershell基础入门学习必备语法介绍

Tips : 默认情况下，它需要访问 Internet，并且你需要以管理员身份运行提升的 PowerShell。...$(c:\autoexec.bat) Registry 访问Windows注册表 Dir variable: $variable:pshome Variable...\TrustedPublisher 基础实例: # 1.此命令显示所有可用Windows PowerShell提供程序的列表。...它存储在HKEY_LOCAL_MACHINE注册表子项中基础实例: #1.获取查看当前会话用户(以及计算机执行策略范围)执行策略权限 PS C:\WeiyiGeek> Get-ExecutionPolicy...---- 0x06 学习建议描述: 本章了解了PS的简单使用，以及遇到了没见过或者是不会使用的cmdlet命令，我们应该如何的获取我们想要得到的信息或者说是语法实例，但是对于学习PS编程来说语法其实难而难点在于需要记得

5K1 0

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

像许多核心平台实用程序一样，PowerShell库很容易获得，因此也很容易实现，能够暴露任意进程中的完整PowerShell功能。那么该如何进行检测呢？进程监控是最普遍有效的技术。...进程监控可以让防御者确定在其环境中使用PowerShell的基准。进程命令行监控则更有效，可以洞悉哪些PowerShell实例试图通过编码命令传递有效负载并以其他方式混淆其最初意图。...Windows的常用脚本语言包括VBScript和PowerShell，但也可以采用命令行批处理脚本的形式。安全工具和人工分析的快速发展让攻击者很难使用公开的攻击载荷或者直接从磁盘获取相关载荷。...这包括监视从shells命令（cmd.exe、powershell.exe）、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.exe或cscript.exe。...凭据可以从内存中以纯文本格式提取。监视对特定进程的访问可以为防御者提供一种检测凭据转储的方式。这种检测方法很容易产生大量误报事件，因为操作系统的内置功能也可以访问这些过程。

1.5K1 0

二十三.Powershell基础入门之常见语法及注册表操作-2

break和continue关键词 4.for循环 5.switch循环四.Powershell数组 1.数组定义 2.访问数组五.Powershell函数 1.自定义函数及调用 2.函数返回值...$num = $arr[0..2] $num.count 如何将数组倒序输出呢？如下所示。...早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。...但是，从Microsoft Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。...Powershell及注册表工作再来分享，希望读者喜欢该系列文章。

2.4K1 0

Powershell快速入门（三）实战应用

Get-ChildItem -Recurse *.exe 修改hosts 访问谷歌的一种方式就是更改hosts文件。这里就用Powershell做一个修改hosts的功能。...不再使用的时候一个一个关闭它们也是一件麻烦事情，所以官方文档还为我们介绍了如何关闭除当前窗口外的所有Powershell进程。...知道了简写，我们就可以将Powershell的工作目录切换到注册表内。...Remove-Item -path $path\hellokey -Recurse 获取当前.NET版本下面的参考资料中列出了一个MSDN上的文档，告诉我们如何读取注册表的值来判断当前安装了.NET...这是因为默认启动的实例是隐藏的，要显示Excel的窗口的话，将它设置为可见即可。 $excel.Visible=$true 如果要打开一个现成的工作簿，使用Open函数。

3.7K10 1

Window下常见的权限维持方式

0x01 注册表自启动通过修改注册表自启动键值，添加一个木马程序路径，实现开机自启动。..."="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe...0x04 服务自启动通过服务设置自启动，结合powershell实现无文件后门。...劫持，而系统很多正常程序启动时需要调用这两个实例。...远程访问木马通常与用户请求的程序（如游戏程序）一起，是一种看不见的下载，或作为电子邮件附件发送。一旦主机系统被攻破，入侵者可以利用它来向其他易受感染的计算机分发远程访问木马，从而建立僵尸网络。

1.2K2 0

PS常用命令之文件目录及内容操作

System.String> [-PassThru] [-UseTransaction] [] 基础示例: # Example 1.此命令将当前位置设置为`HKLM:`驱动器的根目录(访问注册表...IntegrityStream, NoScrubData Get-ChildItem -Attributes Hidden ls -Attributes a # 显示指定属性的文件或者目录 # 5.访问传统文件系统一样访问...# 6.采用此Cmdlet从注册表配置单元获取注册表项 Get-ChildItem 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run' Get-ChildItem...# 此命令将名为“MyProperty”的属性从“MyApplication”注册表项复制到“MyApplicationRev2”注册表项。...描述: 下面的表格列出了访问注册表所需的所有命令。

8.2K2 0

内网渗透之DCOM横向移动

DCOM是COM（组件对象模型）的扩展，它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。...调用Visio.Application远程执行命令适用条件：目标主机中安装有Visio # 通过PowerShell与DCOM进行远程交互，创建Visio.Application对象的实例: $com...； 2、不要在注册表中创建指向并不存在的二进制文件的DCOM程序路径。...启用基于主机的防火墙可以阻止RPC/DCOM交互及实例化操作； 4、监控文件系统（以及注册表），关注新引入的元素以及改动； 5、监控环境中可疑的PowerShell操作。...参考文章：如何利用DCOM实现横向渗透 - FreeBuf网络安全行业门户

2.2K2 0

三大渗透框架权限维持

那么，通过漏洞获取到目标主机权限后，如何利用渗透框架获得持久性权限呢？...因为是开机启动，所以会弹个黑框，之后还会弹出注册表添加的powershell启动项的框，在注册表位置如下： ?...如何清除后门，最简单的方法就是使用Autoruns，选择WMI选项卡，右键就可以删除恶意后门。 ?...从Cobalt Strike菜单栏，Attacks--Web Drive-by--Scaripted Web Delivery，生成powershell后门。 ?...注册表自启动在windows启动项注册表里面添加一个木马程序路径，如： beacon>getsystembeacon>shell reg add HKLM\SOFTWARE\Microsoft\Windows

1.2K3 0

关于Powershell 你要知道的知识！

如何在 PowerShell中使用数千个命令(cmdlet)，很好地使用帮助系统是使用PowerShell成功的关键。...该 Update-Help cmdlet 默认情况下，它需要Internet访问，并且您需要以管理员身份运行PowerShell。...-ShowWindow： 4 Providers of Powershell PowerShell中的provider是一个接口，允许像文件系统一样访问数据存储。...Filter: 支持-Filter参数 - Credentials: 支持凭据参数(-Credentials)连接数据存储 - Transactions: 支持事务,提交操作,回滚等 */ 如你所见，注册表...4.2 查看当前已连接的驱动器 4.3 操作实例

1.4K3 0

网络安全渗透之主机持久化

前言在我们获得初始会话之后，我们需要考虑如何让我们的访问持久化。原因很简单，如果我们是通过利用漏洞进来的，对方可能察觉到痕迹然后修补漏洞，如果是通过泄漏的密码进来的，对方可能修改密码。...Windows\system32\calc.exe" -n "zhi" -m add -o hourly （向右滑动，查看更多）隐藏上诉创建的计划任务持久化不够隐蔽，很容易被发现，我们可以通过访问注册表...C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp （向右滑动，查看更多） Run与RunOnce 我们还可以通过修改注册表...侧写每当用户运行 PowerShell.exe 的时候，PowerShell 侧写文件会被加载。...:0:0:root:/root:/bin/bash'>> /etc/passwd （向右滑动，查看更多） bashrc 与 bash_profile 在用户目录下，每当一个新的 shell 实例被打开

6472 0

windows权限维持大结局

\c:\com1\ 创建与操作文件需要管理员权限，目录不需要在创建是添加 \\.\ 前缀是为了便于访问，不然访问时会将目标当作一个IO设备处理。...驱动级隐藏文件工具：Easy File Locker 下载链接：http://www.xoslab.com/efl.html 通过设置其属性，达到对应目的（隐藏后命令行也不可见，只有知道完整目录才能访问...如何清除 1. 查询服务状态：sc qc xlkfs 2. 停止服务：net stop xlkfs（停止后，文件便会显现出来，cmd能见） 3. 删除服务：sc delete xlkfs 4....BinaryPathName> group=tag=depend= obj=(默认= LocalSystem) DisplayName= password= 实例...创建服务：sc createbinpath= start= obj 启动服务: sc start删除实例：sc delete 创建服务能成功，但是启动一直爆

2.4K4 0

从Windows 10 SSH-Agent中提取SSH私钥

私钥由DPAPI保护并存储在HKCU注册表hive中。我在这里发布了一些PoC代码，从注册表中提取并重构RSA私钥。...我从博客中获取了Python脚本，并为它提供了我从Windows注册表中获得的不受保护的base64 blob： ? 可以正常工作了！...我不知道原作者soleblaze是如何找出二进制数据的正确格式的，但在这里我要特别感谢他所做的以及他的分享！在证明可以从注册表中提取私钥后，我将PoC分享到了GitHub。...GitHub Repo 第一个是Powershell脚本（extract_ssh_keys.ps1），用于查询注册表中被ssh-agent保存的任何密钥。...由于我不知道如何在Powershell中解析二进制数据，所以我把所有的密钥保存到了一个JSON文件中，然后我可以在Python中导入。Powershell脚本只有几行： ?

2.7K3 0

如何利用DCOM实现横向渗透

CreateInstance([type]::GetTypeFromCLSID("C947D50F-378E-4FF6-8835-FCB50305244D","target")) 介绍在这篇文章中，我们将介绍如何利用...这里我们可以利用下面的命令从Windows 2012中导出LocalServer32可执行程序和InProcServer32 DLL： gwmiWin32_COMSetting -computername...具体说来，在下个阶段中我们需要利用[C947D50F-378E-4FF6-8835-FCB50305244D]这个CLSID来创建DCOM对象实例。...缓解方案厂商：当软件工具被卸载之后，确保没有DCOM注册表项遗留。不要在注册表中创建指向并不存在的二进制文件的DCOM程序路径。...监控文件系统及注册表。监控网络环境中的异常PowerShell操作，尽量强制启用PowerShell的受限语言模式（CLM）。

1.6K2 0

WMI持久性后门(powershell）(水文)

“WMI是微软为基于Web的企业管理（WBEM）规范提供的一个实现版本，而WBEM则是一项行业计划，旨在开发用于访问企业环境中管理信息的标准技术。...EventConsumer #List 事件绑定 Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding 可以从...命令的命令行，然后加载存储在 Windows 注册表中的大型 PowerShell 脚本。...变量$HL39fjh包含 base64 编码的 PowerShell 命令，读取存储加密负载的 Windows 注册表项，并包含解密负载所需的密码和盐。...$WY79ad')) | iex 最后，脚本将加密的有效负载存储在 Windows 注册表中，在样本中，攻击者似乎对每个目标使用不同的注册表位置。

1.3K1 0

1.Powershell基础入门介绍与安装升级

提供程序可让你访问数据存储（如注册表和证书存储），与你访问文件系统一样方便。...，可以从以交互方式键入命令轻松转换为创建和运行脚本 PowerShell版本: Windows PowerShell: 从 Windows 7 SP1 和 Windows Server 2008 R2...-7.1.3-win-x64.zip PowerShell-7.1.3-win-x86.msi PowerShell-7.1.3-win-x86.zip 在安装过程中创建注册表项: 描述: 从 PowerShell...7.1 开始，MSI 包将创建用于存储 PowerShell 安装位置和版本的注册表项。...从 Microsoft Store 安装 Tips : 如何创建远程处理终结点?

7.1K2 0

Windows手工入侵排查思路

基于以上，我们总结了Windows服务器入侵排查的思路，从Windows入侵现象、启动方式、安全日志等方面，对服务器最容易出现安全问题的地方进行入手排查。...c、单击【开始】>【运行】，输入 regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项： HKEY_CURRENT_USER\software\micorsoft\windows...07、检查可疑文件（1）检查新建文件、最近访问文件和相关下载目录等检查方法： a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。...d、回收站、浏览器下载目录、浏览器历史记录 e、修改时间在创建时间之前的为可疑文件（2）发现一个WEBSHELL或远控木马的创建时间，如何找出同一时间范围内创建的文件？...（2）历史命令记录高版本Powershell会记录PowerShell的命令，所有的PowerShell命令将会保存在固定位置： %appdata%\Microsoft\Windows\PowerShell

1.6K3 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

如何从32位Powershell实例访问64位注册表？

相关·内容

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

渗透技巧——”隐藏”注册表的创建

网络安全自学篇（二十）| Powershell基础入门及常见用法（二）

四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作

2.Powershell基础入门学习必备语法介绍

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

二十三.Powershell基础入门之常见语法及注册表操作-2

Powershell快速入门（三）实战应用

Window下常见的权限维持方式

PS常用命令之文件目录及内容操作

内网渗透之DCOM横向移动

三大渗透框架权限维持

关于Powershell 你要知道的知识！

网络安全渗透之主机持久化

windows权限维持大结局

从Windows 10 SSH-Agent中提取SSH私钥

如何利用DCOM实现横向渗透

WMI持久性后门(powershell）(水文)

1.Powershell基础入门介绍与安装升级

Windows手工入侵排查思路

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐