Множество взломов и трюков Windows связано с манипулированием реестром. Довольно часто это включает добавление нового ключа / значения. Тем не менее, бывают моменты, когда я хотел бы сделать твик, и нет онлайн-учебника.
Учитывая настройку или поведение, которое я хочу изменить, как мне найти соответствующий ключ / значения? Должен ли я использовать сторонний редактор реестра или декомпилятор?
Просто начните читать Microsoft Technet, и вы найдете много и более "скрытых" ключей / значений реестра. Я не знаю, есть ли список ключей, которых нет после чистой установки, но вы найдете их после того, как взломали Windows.
Что я делаю, когда мне нужна особая функциональность / поведение в Windows (или я просто хочу узнать больше о некоторых хорошо известных функциях):
Как уже отмечалось в комментариях, вы должны прочитать больше о внутренностях Windows и задать более конкретный вопрос после того, как у вас возникнут реальные проблемы с поиском некоторых специальных значений. Я думаю, что если вам действительно нужен полный список ключей / значений reg, то вы должны составить один (хотя бы частично) самостоятельно в качестве учебного упражнения.
И, как последняя часть, вот несколько простых строк из logagent.exe:
0000:1188 | CryptUnprotectData..CryptPro
0000:11B4 | tectData....c.r.y.p.t.3.2...d.l.l...E.n.a.b.
0000:11E0 | l.e.N.e.g.o.t.i.a.t.e...S.o.f.t.w.a.r.e.\.M.
0000:120C | i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s.\.C.u.r.r.e.
0000:1238 | n.t.V.e.r.s.i.o.n.\.I.n.t.e.r.n.e.t. .S.e.t.
0000:1264 | t.i.n.g.s...=.".....r.e.a.l.m... ...,.;.....
0000:1290 | .......N.e.g.o.t.i.a.t.e...B.a.s.i.c. .....
0000:12BC | https://....D.e.l.e.t.e.....N.o.R.e.m.o.v.e.
0000:12E8 | ....F.o.r.c.e.R.e.m.o.v.e...V.a.l...B...D...
0000:1314 | S...................ì...Ø...È...ê¶..¯·..bü..
0000:1340 | I·..d·...·..à·...·..¦·...¹..bü...º..O¾..¶Ü..
0000:136C | .Ý..cÝ..!º..8º..`[..Dº..ú...º..O¾..¶Ü...Ý..
0000:1398 | cÝ...Ï..8º..VÏ..Dº.. [proxy]...:././...1.2.
0000:13C4 | 7...0...0...1...d.o.o.G.....d.r.o.w.s.s.a.P.
0000:13F0 | ....r.e.s.U.....h.t.a.P.....\...SOFTWARE\Mic
0000:141C | rosoft\Windows Media\WMSDK\etacsufbO.... .:.
0000:1448 | ... .?. ...?. .....L.o.a.d.C.r.e.d.e.n.t.i.
0000:1474 | a.l.s...................ì...Ø...È...^..n..5N
0000:14A0 | ·.jC/.ËôWNetRemoveCachedPassword....WNetCach
0000:14CC | ePassword...WNetGetCachedPassword...mpr.dll.
0000:14F8 | PStoreCreateInstance....pstorec.dll.DisableP
0000:1524 | asswordCaching..SOFTWARE\Microsoft\Windows M
0000:1550 | edia\WMSDK..A.c.c.e.s.s.P.e.r.m.i.s.s.i.o.n.
0000:157C | ....A.P.P.I.D.\.{.%.s.}.....A.P.P.I.D.\.%.s.
0000:15A8 | ....L.a.u.n.c.h.P.e.r.m.i.s.s.i.o.n.........
0000:15D4 | ............Ðñ..Áñ...ò...ñ..1ì......Zé..?é..
0000:1600 | ßñ...é..Kê..ßé...í..Xê..iê..Ïò..sê...ê...ë..
0000:162C | 9ë..'ì...(..hò..................ì...Ø...È...
0000:1658 | +...._..÷....ø..3ô..J...a...............¢...
0000:1684 | ....K.......Ý.......à...¹...Z.......äô..#ö..
0000:16B0 | .õ...÷..{ü...ü...ü..ïû..bü..Wü..Wü...ü...ü..
0000:16DC | °û..WSAJoinLeaf.WSARecvFrom.WSARecv.WSAConne
0000:1708 | ct..WSASocketA..WSASendTo...WSASend.WSAIoctl
0000:1734 | ....WSAEnumProtocolsA...ws2_32..U.s.e. .T.r.
0000:1760 | a.n.s.m.i.t.P.a.c.k.e.t.s.......S.o.f.t.w.a.
0000:178C | r.e.\.M.i.c.r.o.s.o.f.t.\.W.i.n.d.o.w.s. .M.
0000:17B8 | e.d.i.a.\.P.l.a.t.f.o.r.m...Æô..._..Õô..Þ...
0000:17E4 | ....+...._..÷...........J...a...............
0000:1810 | ¢.......K.......Ý.......à...¹...Z.......;...
0000:183C | ........................ì...Ø...È...w>.ÍÖfdF
0000:1868 | .Ç6Û¶AÐñS.o.f.t.w.a.r.e.\.M.i.c.r.o.s.o.f.t.
0000:1894 | \.W.i.n.d.o.w.s. .M.e.d.i.a.\.W.M.S.D.K.\.N.
0000:18C0 | A.T.P.o.r.t.M.a.p.p.i.n.g.s.....U.D.P...T.C.
0000:18EC | P...%.x. .%.s. .%.u.....FreeAddrInfoW...GetA
0000:1918 | ddrInfoW....w.s.2._.3.2...d.l.l.....W.i.n.d.
0000:1944 | o.w.s. .M.e.d.i.a. .F.o.r.m.a.t. .S.D.K. .(.
0000:1970 | %.s.)...:.:.....:.:.1...0...0...0...0...?.#.
0000:199C | ....................ì...Ø...È...l...h...d...
0000:19C8 | `...T...H...@...wmnetmgr.dll
Теперь у вас есть несколько строк, что делать? Если вам повезло, значения жестко закодированы с помощью ключей, и их можно получить сверху, просмотрев последовательности байтов записи, а затем найдя правильные значения. Также вы можете попытаться найти сообщения об ошибках и их адреса, чтобы отследить, какая часть программы их выбрасывает (необходимы некоторые навыки сборки, но это не слишком сложно, если полное обратное проектирование / модификация программы не требуются).
Я нашел лучший способ сделать это - использовать Process Monitor.