注册表
操作系统信息
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
ProductName:操作系统的产品名称,如Windows 10 Pro。
InstallDate:操作系统的安装日期,以Unix时间戳的形式表示,如1631817600。
RegisteredOwner:操作系统的注册名称,如Microsoft。系统启动信息
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute:系统启动时执行的程序或命令,如autocheck autochk *。
BootStatusPolicy:系统启动失败时的处理策略,如IgnoreAllFailures。
CriticalDeviceDatabase:系统启动时加载的关键设备驱动程序的数据库。时区信息
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
Bias:时区与UTC时间的偏移量,以分钟为单位,如-480。
StandardName:标准时间的名称,如China Standard Time。
DaylightName:夏令时的名称,如China Daylight Time。网络驱动程序映射
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
ProviderOrder:网络驱动程序的加载顺序,如RDPNP,LanmanWorkstation,webclient。已安装设备
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
DeviceDesc:设备描述,如Intel® HD Graphics 530。
FriendlyName:设备友好名称,如Intel® HD Graphics 530 (Microsoft Corporation - WDDM 2.7)。
ClassGuid:设备类别的GUID,如{4d36e968-e325-11ce-bfc1-08002be10318}。USB设备
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
DeviceDesc:USB设备描述,如Logitech USB Receiver。
LocationInformation:USB设备位置信息,如Port_#0002.Hub_#0003。
ParentIdPrefix:USB设备父级标识前缀,如5&1a0c8f0f&0&2。IP转发
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter:激活IP转发的开关,0表示关闭,1表示开启。密码密钥
HKEY_LOCAL_MACHINE\SAM
HKEY_LOCAL_MACHINE\SECURITY
HKEY_LOCAL_MACHINE\SYSTEM事件信息
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv
AuditPolicy:用于记录系统中的各种事件,如登录、注销、文件访问、权限更改等。内核和用户服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
DisplayName:服务显示名称,如Windows Defender Antivirus Service。
ImagePath:服务执行路径,如"C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2108.7-0\MsMpEng.exe" -k NetworkService。
Start:服务启动类型,0表示启动,1表示系统启动,2表示自动启动,3表示手动启动,4表示禁用。系统中安装的软件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
DisplayName:软件显示名称,如Java 8 Update 251 (64-bit)。
DisplayIcon:软件显示图标,如C:\Program Files\Java\jre1.8.0_251\bin\javacpl.exe,0。
UninstallString:软件卸载命令,如MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180251F0}。用户安装的软件
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
DisplayName:软件显示名称,如7-Zip 19.00 (x64)。
DisplayIcon:软件显示图标,如C:\Program Files\7-Zip\7zFM.exe,1。
UninstallString:软件卸载命令,如"C:\Program Files\7-Zip\Uninstall.exe"。最新文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
MRUListEx:最近使用文件的列表,以二进制数据的形式表示,如01 00 00 00 02 00 00 00 03 00 00 00 FF FF FF FF。
数字编号的值:最近使用文件的名称和路径,以二进制数据的形式表示,如43 00 3A 00 5C 00 55 00 …。用户最后的位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
url1-url25:用户最后输入的网址或路径,如https://red.ghostwolflab.com/。MRU列表
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
MRUListEx:最近使用程序的列表,以二进制数据的形式表示,如01 00 00 00 02 00 00 00 …。这个值的每四个字节代表一个程序的编号,按照使用时间的倒序排列。例如,01 00 00 00表示编号为1的程序是最近使用的,02 00 00 00表示编号为2的程序是次近使用的,以此类推。FF FF FF FF表示列表的结束。
程序路径:每个编号对应一个程序的路径,以字符串的形式表示,如C:\Program Files\7-Zip\7zFM.exe。这个值的名称就是程序的编号,如1、2、3等。这个值的数据就是程序的路径,如C:\Program Files\7-Zip\7zFM.exe。最后使用的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
MRUList:最后使用的注册表项的列表,以字母的形式表示,如a,b,c,d,e。
字母编号的值:最后使用的注册表项的名称和参数,如regedit /s C:\Temp\test.reg。启动路径
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AdobeAAMUpdater-1.0:Adobe Application Manager的启动命令,如"C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe".
OneDrive:OneDrive的启动命令,如"C:\Users\user01\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background。远程桌面
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
fDenyTSConnections:激活远程桌面的开关,0表示开启,1表示关闭。