修改注册表 static void Register(string filePath) { if (!...register.SetValue(null, "\"" + filePath + "\" \"%1\""); } } 管理权限启动程序,否则注册表的修改无效
SystemDriver%\document and settings\\Ntuser.dat中 hkey_users加载用户轮廓 runas /user:user_name program.exe 然后注册表...F5刷新,即可看到加载进来的轮廓,退出程序后,再按F5刷新注册表,即可看到卸载轮廓。...%SystemDriver%\document and settings\\local settings\application data\microsoft\windows\Usrclass.data...2.hklm/software/classes 注册表存放在储巢中,具体可以网上搜索或查看《深入理解windows操作系统》 引自:《深入解析windows操作系统》
一、调查取证面临的问题 Windows 下每个工作站、Domain Controller 等都有 安全、应用程序和系统日志。...呃呃 三、LogParser 结构 组成部分有:输入处理器、数据引擎、输出处理器 1>输入处理器: 支持本地的日志格式 eg:IIS 日志和 windows 日志 (.evt) 文件。...四、Windows 登录类型 ? ? 五、LogParse 分析语法 1>显示方式 -i:EVT 是指定分析的日志,也可分析 CSV 、IISW3C 等日志格式。 ?...6>开放端口分析 建议关闭 135、139、445、等端口 2 辅助分析 1>当已经发现 Webshell、远控木马的创建时间 2>然后搜索注册表信息,通过注册表信息获取注册表 键值 创建时间和同时创建的文件...3>结合文件创建的时间、注册表键值创建时间找出的新文件时间。
另外在排查问题的过程中看到了一个操作注册表的通用的 c 文件,貌似是一个硬件驱动的 ftp 地址 #include NTSTATUS DriverEntry(PDRIVER_OBJECT...{ 0 }; UNICODE_STRING KeyPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\Microsoft\\Windows...NT_SUCCESS(status)) { return STATUS_UNSUCCESSFUL; } /* 写注册表代码 UNICODE_STRING
Windows编程(操作注册表) 注册表 存储在二进制文件里面, win32 API 提供了大量的函数操作注册表 RegCreateKey 创建指定的注册表项 RegCreateKeyW( _ In_...phkResult ); HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS 写注册表...DWORD dwType,//REG_BINARY _In_reads_bytes_opt_(cbData) CONST BYTE * lpData, _ In_ DWORD cbData ); 查询注册表...= ERROR_SUCCESS) { MessageBox(NULL,L"写注册表失败", 0); } MessageBox(NULL,L"写注册表成功", 0); :...:RegCloseKey(hKey); } } 查询注册表 { HKEY hKey; DWORD dwAge; //创建注册表项 VS2019自带的调试器管理员权限运行 自己的生成是以用户的权限运行
server08为例,示例脚本以powershell为主 适用人群:运维、安全 RDP登录方式: 爆破登录:多次登录失败&登录成功 管理员登录:账户密码、凭据 console模式登录 使用工具: wevtutil LogParser...服务端登录的服务器ip 服务端浏览器记录 1.1 登录成功 EventID=4624,从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息 1.1.1 Security 线上分析 LogParser...LogParser.exe -stats:OFF -i:EVT "SELECT TimeGenerated AS Date, EXTRACT_TOKEN(Strings, 8, '|') as LogonType...NoTypeInformation -UseCulture -Encoding Default -Force } } 1.1.2 Security 离线分析 导出安全日志为:Security.evtx LogParser...LogParser.exe -stats:OFF -i:EVT "SELECT TimeGenerated AS Date, EXTRACT_TOKEN(Strings, 8, '|') as LogonType
默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。...是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中...1.Log Parser的使用 安装的目录再C:\Program Files (x86)\Log Parser 2.2 LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”...输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例) 登录成功的所有事件...LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx where
说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。...下面我们可以从以下几个方面进行排查windows主机。...注册表是个好东西,我们在排查入侵事件的时候要重点查询一下注册表,其中这三项注册表是必查的,我们可以查一下这几个注册表中是否添加了启动程序。...目前,只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。...另外,有些健值还可能被利用来实现比较特别的功能: 有些病毒会通过修改下面的键值来阻止用户查看和修改注册表: HKCU\Software\Microsoft\Windows\CurrentVersion\
它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。...Log Parser可以到微软的网站下载,安装完后,就会有命令行的执行程序LogParser.exe,供API使用的LogParser.dll及说明文件LogParser.chm,里面还会有一些Sample...下面我们用.NET封装下LogParser的Com接口,从LogParser的操作流程来看,无非就是不同格式文件的日志文件的输入,通过类SQL的分析输出我们需要的结果,核心算法就是类似于 ...注意:LogParser.dll是需要注册的,如果没有注册,是会抛出错误信息,注册的方式很简单,也就是注册Com组件,在命令行模式下 : C:\LogParser>regsvr32 LogParser.dll...代码下载:LogParser.zip 相关文章: 一个强大的LogParser的UI工具--logparserlizard简介 使用logparser做 房途网日志(Nginx)分析 Log Parser
以 Windows 注册表为例,尽管.NET Standard 不能包含这样的API。但是,仍有一种办法可以在.NET Core 应用程序中使用 Windows 注册表。...但首先,你必须清楚,使用特定于平台的 API (如 Windows 注册包) 将使您的应用程序或这部分代码 只能跑在Windows上。...Microsoft.Win32.Registry 操作Windows注册表的API被包含在这个包里:Microsoft.Win32.Registry。...RegistryValueKind Microsoft.Win32.RegistryHive Microsoft.Win32.RegistryView 别忘了引入命名空间 using Microsoft.Win32; 写注册表...读注册表 using (RegistryKey key = Registry.CurrentUser.OpenSubKey(@"SOFTWARE\edi_wang")) { if (key !
[TOC] reg 命令 描述:reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项..../t 指定注册表值数据类型。.../reg:32 指定应该使用 32 位注册表视图访问的注册表项。 /reg:64 指定应该使用 64 位注册表视图访问的注册表项。...,而该文件可用于注册表项的疑难解答或编辑注册表项。...注释: 该操作用于覆盖已编辑的注册表项。编辑注册表项之前请使用 reg save 操作保存父亲子项。 如果编辑失败,则可以使用本操作恢复子项。
Windows注册表操作基础代码 Windows下对注册表进行操作使用的一段基础代码Reg.h: #pragma once #include #include class Reg { HKEY hkey; public: void open(HKEY root,char*subKey);//打开注册表键,不存在则创建 void del(HKEY... root,char*subKey);//删除注册表键 void close();//关闭注册表键 void setValue(char*name,char*data);//设置注册表值,不存在则创建...void getValue(char*name,char*value);//获取注册表值 void delValue(char*name);//删除注册表值 }; void Reg::open(...,否则无法正常执行注册表操作。
一.安装组件 对于 Windows 注册表 的操作是不跨平台的,仅在 Windows 生效。...Windows 才能正常运行,所以最好判断一下系统 if (!...RuntimeInformation.IsOSPlatform(OSPlatform.Windows)) { Error("This application can only run on windows...对注册表的操作主要是用 Registry 类型,它包含了几个属性,分别对应上面提到的,注册表根目录的5项。...在写代码前要安利一下,注册表对应在代码中的术语: ?
[TOC] reg 命令 描述:reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值,以及导入导出注册表项..../t 指定注册表值数据类型。.../reg:32 指定应该使用 32 位注册表视图访问的注册表项。 /reg:64 指定应该使用 64 位注册表视图访问的注册表项。...WeiyiGeek. reg import 将包含导出的注册表子项、项和值的文件复制到本地计算机的注册表中; 语法: reg import FileName 参数: FileName 指定将复制到本地计算机注册表中的文件的名称和路径...,而该文件可用于注册表项的疑难解答或编辑注册表项。
系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。...默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。...11 缓存交互(CachedInteractive) 以一个域用户登录而又没有域控制器可用 关于更多EVENT ID,详见微软官方网站上找到了“Windows Vista 和 Windows Server...原文链接 :https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server...日志分析工具 Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表
通过命令删除: sc delete ServiceName 通过修改注册表直接删除 1 运行-->regedit 打开注册表 2 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
windows下的注入之注册表注入: 1.概念介绍: 注入与Hook:注入与hook经常被人们混淆,其实注入和hook是两种windows下的编程技术(当然,其他平台也有相关的技术),由于在安全编程中,...h) 输入法注入 3 .DLL注册表注入技术的具体实现案例: 3.1 注册表注入的原理: 在windows系统中,整个系统的配置都保存在了注册表中,我们通过修改注册表中的配置来改变系统的行为,也可以改变某个进程的某些行为...注入32位进程,应该修改的注册表键为: # 将下面注册表的键对应的值设置为 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion...\Windows\AppInit_DLLs # 将下面注册表的键对应的值设置为要注入的 DLL的路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\...CurrentVersion\Windows\LoadAppInit_DLLs 注入64位进程,应该修改的注册表键为: # 将下面注册表的键对应的值设置为 1 HKEY_LOCAL_MACHINE\SOFTWARE
Windows注册表(Registry)是Windows操作系统中用于存储系统配置信息、用户设置和应用程序数据的一个集中式数据库。...Windows注册表的作用包括: 存储系统配置信息: 注册表中存储了操作系统的配置信息,包括系统启动时需要加载的驱动程序、系统服务、文件关联等。...枚举注册表项 RegOpenKeyEx 是一个用于打开指定的注册表键的 Windows API 函数。它允许应用程序访问和操作 Windows 注册表的子键。...在较新的 Windows 版本中,例如 Windows 10,RegOpenKeyEx 已被推荐的函数 RegOpenKey 和 RegOpenKeyEx 代替。...#include #include #define Reg_Path "Software\\Microsoft\\Windows\\CurrentVersion
日志分析工具 A、Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表...id=24659 分析案例: 管理员登录时间和登录用户名 C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated...as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve ntID=4624" LogParser.exe...evtx w here EventID=4625 GROUP BY Message" user COUNT(ALL EXTRACT_TOKEN(Message, 19, ' ')) 创建的进程过程: LogParser.exe...-7-and-in-windows-server-2008 windows安全日志分析工具logparser用法详解 https://www.jb51.net/hack/384430.html https
-m9kj 概述: Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表...Logparser参数类型说明: Logon Type 2 Interactive 交互登录。最常见的登录方式 Logon Type 3 – Network 网络登录。...使用方式: 首先打开eventvwr.msc将所有事件保存到本地,然后打开logparser,输入指令:LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径...”,然后会看到如下图: (这是我windows10的数据,差不多10M,一共1W2K条记录,还是挺多的,如果是上百兆就很多了) ?...另一种命令: LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
