關於註冊表操作信息的收集

本條博客會不間斷更新，希望大家有好的信息也可以提出來!!

第一條   查看當下系統軟件的安裝目錄

xp/win7系統：  HKEY_LOCAL_MACHINE,"SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\

win7 32位軟件： HKEY_LOCAL_MACHINE,"SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\

第二條  當下系統所有軟件的卸載路徑

xp/win7 64位系統：  HKEY_LOCAL_MACHINE\SOFTWARE\Mircosoft\Windows\CurrentVersion\Uninstall

win7-32位軟件： HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\

第三條  軟件安裝的位置信息

HKEY_LOCAL_MACHINE\SOFTWARE

第四條  當前系統需要聯網的服務名存放位置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost  的netsrvs鍵


第五條 當前系統服務所在路徑

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\


第六條  當前系統控件啓動路徑

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

第七條    添加系統防火牆規則(修改防火牆--給後續的惡意行爲放行)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

鍵值示例： "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

鍵值示例： "c:\\windows\\System32\\winlogon.exe" = "c:\\windows\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

第八條    添加系統防火牆規則(端口放行)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"4899:TCP"="4899:TCP:*:Enabled:Radmin"     //enabled 後的名字爲程序的進程名.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

"Epoch"=dword:0000016d

第二句有點搞不懂了，繼續添加例外的話它的值還會改變，完全找不到規律。不知道這個鍵對於添加防火牆的例外是否必須，需自行測試使用。

第九條    修改網絡代理設置（連接到國外的網站）

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

具體操作未驗證，請自行搜索並測試。

 第十條    服務的位置

<span style="font-size:14px;">[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]</span>

第十一條    【ControlSet】的介紹

默認情況下：

ControlSet001：系統真實的配置信息。

ControlSet：運行時配置。windows啓動時會從ControlSet001複製一份副 本，作爲操作系統當前的配置信息。我們對於計算機配置所作的修改都是直接寫入到 CurrentControlSet，在重啓過程中，windows會用CurrentControlSet的內容覆蓋掉ControlSet001，以 保證這兩個控件組一致。

ControlSet002：“最近一次成功啓動的配置信息”。   當操作系統每成功啓動一次（指成功登錄），它都將CurrentControlSet和ControlSet001中的數據複製到 ControlSet002中。

----------------------------------------------------------------------------

但是，這個順序和數目不是一成不變的，改變就發生在使用過“最近一次的正確配置”之後。這個時候，系統會把002當作系統真實的配置信息，而001這個存 在問題的控件組會被備份封存起來。

[HKEY_LOCAL_MACHINE\SYSTEM\system\select]  下記錄着下次將要使用的配置:

“Current”數據項目表示 Windows XP 在這次啓動過程中使用的控件組。  

“Default”數據項目表示 Windows XP 在下次啓動時將使用的控件組，它與這次啓動使用的控件組相同。  

“LastKnownGood ”數據項目表示您在啓動過程中選擇“最近一次的正確配置”時 Windows XP 將使用的控件組。  

“Failed”數據項表示 Windows XP 在其中保存失敗啓動產生的數據的控件組。 此控件組在用戶第一次調用“最近一次的正確配置”選項之前並不實際存在