https://blog.qife122.com/tags/%E6%B3%A8%E5%86%8C%E8%A1%A8%E5%88%86%E6%9E%90/ Recent content in 注册表分析 on 办公AI智能小助手 Hugo zh-cn qife Wed, 03 Dec 2025 08:11:33 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E6%B3%A8%E5%86%8C%E8%A1%A8%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fpowershell%E4%BB%A3%E7%A0%81%E6%94%BB%E5%87%BB%E6%8C%81%E4%B9%85%E5%8C%96%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Wed, 03 Dec 2025 08:11:33 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E6%B3%A8%E5%86%8C%E8%A1%A8%E9%9A%90%E8%97%8F%E6%81%B6%E6%84%8Fpowershell%E4%BB%A3%E7%A0%81%E6%94%BB%E5%87%BB%E6%8C%81%E4%B9%85%E5%8C%96%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <p><strong>恶意PowerShell在注册表中的持久化机制</strong></p> <p>这是我关于“发现和解码恶意PowerShell脚本”系列文章的第二部分。第一篇博文介绍了如何在系统事件日志中查找恶意PowerShell脚本，以及解码它们所需的各个步骤。在这篇文章中，我想讨论另一个可能隐藏恶意PowerShell脚本的位置——<strong>注册表</strong>。</p> https://blog.qife122.com/p/%E6%81%B6%E6%84%8Fpowershell%E5%9C%A8%E6%B3%A8%E5%86%8C%E8%A1%A8%E4%B8%AD%E7%9A%84%E6%8C%81%E4%B9%85%E5%8C%96%E6%94%BB%E5%87%BB%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Tue, 25 Nov 2025 13:18:29 +0800 https://blog.qife122.com/p/%E6%81%B6%E6%84%8Fpowershell%E5%9C%A8%E6%B3%A8%E5%86%8C%E8%A1%A8%E4%B8%AD%E7%9A%84%E6%8C%81%E4%B9%85%E5%8C%96%E6%94%BB%E5%87%BB%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h2 id="恶意powershell在注册表中的持久化">恶意PowerShell在注册表中的持久化</h2> <p>这是我关于&quot;查找和解码恶意PowerShell脚本&quot;系列的第二部分。我的第一篇博客文章介绍了如何在系统事件日志中查找恶意PowerShell脚本，以及解码它们的各种步骤。在这篇文章中，我想讨论恶意PowerShell脚本可能隐藏的另一个位置——注册表。</p> https://blog.qife122.com/p/recentapps%E6%B3%A8%E5%86%8C%E8%A1%A8%E9%94%AE%E5%80%BC-%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E6%8C%87%E5%8D%97/ Sun, 02 Nov 2025 14:13:19 +0800 https://blog.qife122.com/p/recentapps%E6%B3%A8%E5%86%8C%E8%A1%A8%E9%94%AE%E5%80%BC-%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%88%86%E6%9E%90%E6%8C%87%E5%8D%97/ <h1 id="recentapps注册表键值---数字取证分析">RecentApps注册表键值 - 数字取证分析</h1> <h2 id="概述">概述</h2> <p>RecentApps注册表键值是Windows操作系统中记录用户最近使用应用程序信息的重要数据源，在数字取证调查中具有关键价值。</p> https://blog.qife122.com/p/registry-explorer%E4%B8%8Erecmd-1.2.0.0%E7%89%88%E6%9C%AC%E5%8F%91%E5%B8%83%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%B7%A5%E5%85%B7%E7%9A%84%E9%87%8D%E5%A4%A7%E5%8D%87%E7%BA%A7/ Sun, 02 Nov 2025 04:42:11 +0800 https://blog.qife122.com/p/registry-explorer%E4%B8%8Erecmd-1.2.0.0%E7%89%88%E6%9C%AC%E5%8F%91%E5%B8%83%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%B7%A5%E5%85%B7%E7%9A%84%E9%87%8D%E5%A4%A7%E5%8D%87%E7%BA%A7/ <h1 id="registry-explorer和recmd-1200发布">Registry Explorer和RECmd 1.2.0.0发布！</h1> <p>此版本在多个不同方面都有变化。让我们从主要的注册表解析器开始。</p> <p>此版本新增了使用通配符扩展路径以匹配所有对应路径的功能。我们将在讨论RECmd及其新功能时看到这一功能的应用。</p> https://blog.qife122.com/p/windows-11-wordwheelquery-%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90%E4%B8%8E%E5%8F%96%E8%AF%81%E5%BD%B1%E5%93%8D/ Fri, 31 Oct 2025 11:48:57 +0800 https://blog.qife122.com/p/windows-11-wordwheelquery-%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90%E4%B8%8E%E5%8F%96%E8%AF%81%E5%BD%B1%E5%93%8D/ <h1 id="windows-11-wordwheelquery-的技术困境">Windows 11 WordWheelQuery 的技术困境</h1> <p>最近，我的SANS讲师同事Mattia Epifani指出，在Windows 11 23H2中，WordWheelQuery值不再被填充。是时候进行一些测试了！</p> https://blog.qife122.com/p/%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%B7%A5%E5%85%B7%E6%96%B0%E5%A2%9E%E9%94%81%E5%AE%9A%E6%96%87%E4%BB%B6%E6%94%AF%E6%8C%81%E6%8F%90%E5%8D%87%E5%AE%9E%E6%97%B6%E7%B3%BB%E7%BB%9F%E5%88%86%E6%9E%90%E8%83%BD%E5%8A%9B/ Fri, 31 Oct 2025 05:06:48 +0800 https://blog.qife122.com/p/%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E5%B7%A5%E5%85%B7%E6%96%B0%E5%A2%9E%E9%94%81%E5%AE%9A%E6%96%87%E4%BB%B6%E6%94%AF%E6%8C%81%E6%8F%90%E5%8D%87%E5%AE%9E%E6%97%B6%E7%B3%BB%E7%BB%9F%E5%88%86%E6%9E%90%E8%83%BD%E5%8A%9B/ <h1 id="锁定文件支持已添加到amcacheparserappcompatcacheparsermftecmdshellbags-explorer和sbecmd以及registry-explorer和recmd">锁定文件支持已添加到AmcacheParser、AppCompatCacheParser、MFTECmd、ShellBags Explorer（和SBECmd）以及Registry Explorer（和RECmd）</h1> <h2 id="这对您意味着什么">这对您意味着什么？</h2> <p><strong>更多数据访问，更快速度！</strong></p> <p>这项功能允许您做什么？实现更多自动化，并利用这些工具进行更主动的威胁狩猎，因为它们现在可以在实时系统上运行，与在事后取证收集环境中的表现完全一致。</p> https://blog.qife122.com/p/regripper%E5%B7%A5%E5%85%B7%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90windows%E6%B3%A8%E5%86%8C%E8%A1%A8%E5%8F%96%E8%AF%81%E4%B8%8E%E4%BA%8B%E5%8A%A1%E6%97%A5%E5%BF%97%E5%A4%84%E7%90%86/ Fri, 24 Oct 2025 18:15:05 +0800 https://blog.qife122.com/p/regripper%E5%B7%A5%E5%85%B7%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90windows%E6%B3%A8%E5%86%8C%E8%A1%A8%E5%8F%96%E8%AF%81%E4%B8%8E%E4%BA%8B%E5%8A%A1%E6%97%A5%E5%BF%97%E5%A4%84%E7%90%86/ <h2 id="regripper">RegRipper</h2> <p>Cyber Triage的优秀团队最近发布了他们的《2025年注册表取证工具指南》，由于我对Windows注册表颇为关注，便饶有兴趣地阅读了这篇文章。该文章写得非常好，为刚接触DF/IR工作和Windows注册表的新手提供了极好的基础知识。</p> https://blog.qife122.com/p/%E5%88%A9%E7%94%A8devicecontainers%E5%AF%86%E9%92%A5%E7%9A%84%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Fri, 24 Oct 2025 14:46:29 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8devicecontainers%E5%AF%86%E9%92%A5%E7%9A%84%E6%95%B0%E5%AD%97%E5%8F%96%E8%AF%81%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="利用devicecontainers密钥---数字取证流">利用DeviceContainers密钥 - 数字取证流</h1> <h2 id="主页">主页</h2> <h2 id="工具">工具</h2> <h2 id="usb侦探">USB侦探</h2> <h2 id="联系我">联系我</h2> https://blog.qife122.com/p/windows%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%BC%8F%E6%B4%9E%E5%AE%9E%E6%88%98%E5%88%A9%E7%94%A8%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90hive%E5%86%85%E5%AD%98%E7%A0%B4%E5%9D%8F%E6%8A%80%E6%9C%AF/ Mon, 13 Oct 2025 07:27:14 +0800 https://blog.qife122.com/p/windows%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%BC%8F%E6%B4%9E%E5%AE%9E%E6%88%98%E5%88%A9%E7%94%A8%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90hive%E5%86%85%E5%AD%98%E7%A0%B4%E5%9D%8F%E6%8A%80%E6%9C%AF/ <h1 id="windows注册表漏洞实战利用深入解析hive内存破坏技术">Windows注册表漏洞实战利用：深入解析Hive内存破坏技术</h1> <p>在之前的博客文章中，我们重点讨论了注册表的安全分析以及如何有效查找其中的漏洞。在这里，我们将注意力转向基于Hive的内存破坏漏洞的利用，即那些允许攻击者覆盖活动Hive内存映射中数据的漏洞。这是Windows注册表特有的一类问题，但又足够通用，本文描述的技术适用于我过去的17个漏洞，也可能适用于未来的任何类似漏洞。</p>