无忧启动论坛

标题: PECMD 处理脱机注册表封装函数 [打印本页]

---

作者: Bluebells    时间: 昨天 21:38
标题: PECMD 处理脱机注册表封装函数
读取脱机注册表文件的目标注册表项的值的数据

1. ;GetOffRegData 封装函数用于读取脱机注册表文件的指定的数据(此封装函数仅支持读取 REG_SZ, REG_EXPAND_SZ, REG_DWORD 和 REG_QWORD 类型)
   
2. ;第一个参数为目标脱机注册表配置单元文件的路径
   
3. ;第二个参数为要查询数据的注册表项
   
4. ;第三个参数为要查询数据的值名称
   
5. ;第四个参数为接收返回的注册表项值的数据
   
6. _SUB GetOffRegData
   
7.     TEAM ENVI &HiveFile=%~1| ENVI &SubKey=%~2| ENVI &Value=%~3| ENVI-ret %~4=
   
8.     IFEX #%&bX64%=3, Set &PtrSz=8! SET &PtrSz=4
   
9.    
   
10.     IFEX %&HiveFile%,! EXIT _SUB
    
11.     ENVI$# &phHive=*%&PtrSz% 0
    
12.     CALL $--qd --ret:&ret offreg.dll,OROpenHive,$%&HiveFile%,*&phHive
    
13.     IFEX $%&ret%=0,
    
14.     {
    
15.         ENVI?int &phHive=&hHive
    
16.         ENVI$# &phKey=*%&PtrSz% 0
    
17.         CALL $--qd --ret:&ret offreg.dll,OROpenKey,#%&hHive%,$%&SubKey%,*&phKey
    
18.         IFEX $%&ret%=0,
    
19.         {
    
20.             ENVI?int &phKey=&hKey
    
21.             ENVI$# &pDataSize=*%&PtrSz% 0
    
22.             CALL $--qd --ret:&ret offreg.dll,ORGetValue,#%&hKey%,#0,$%&Value%,#0,#0,*&pDataSize
    
23.             IFEX $%&ret%=0,
    
24.             {
    
25.                 ENVI$# &pDataType=*%&PtrSz% 0
    
26.                 ENVI?int &pDataSize=&DataSize
    
27.                 ENVI$# &pData=*%&DataSize% 0
    
28.                 CALL $--qd --ret:&ret offreg.dll,ORGetValue,#%&hKey%,#0,$%&Value%,*&pDataType,*&pData,*&pDataSize
    
29.                 IFEX $%&ret%=0,
    
30.                 {
    
31.                     ENVI?int &pDataType=&DataType
    
32.                     IFEX [ $%&DataType%=1 | $%&DataType%=2 ],ENVI-ret %~4=%&pData%
    
33.                     IFEX $%&DataType%=4,TEAM ENVI?long &pData=&Data| ENVI-ret %~4=%&Data%
    
34.                     IFEX $%&DataType%=11,TEAM ENVI?longlong &pData=&Data| ENVI-ret %~4=%&Data%
    
35.                 }
    
36.             }
    
37.             CALL $--qd --ret:&ret offreg.dll,ORCloseKey,#%&hKey%
    
38.         }
    
39.         CALL $--qd --ret:&ret offreg.dll,ORCloseHive,#%&hHive%
    
40.     }
    
41. _END
    
42. 
    
43. ;示例
    
44. CALL GetOffRegData "D:\config\SOFTWARE" "Microsoft\Windows NT\CurrentVersion" ProductName &Data
    
45. MESS %&Data%
    

复制代码

创建/修改脱机注册表文件的注册表项的数据

1. ;SetOffRegData 封装函数用于创建/修改脱机注册表文件的注册表项的数据
   
2. ;第一个参数为目标脱机注册表配置单元文件的路径
   
3. ;第二个参数为目标注册表子项
   
4. ;第三个参数为目标值名称
   
5. ;第四个参数为目标注册表数据的类型(当前仅支持 REG_SZ, REG_EXPAND_SZ, REG_DWORD 和 REG_QWORD 类型)
   
6. ;第五个参数为要写入的注册表数据
   
7. ;第六个参数为可选参数, 用于接收封装函数执行的返回值, 值 1 为执行成功, 值 0 为执行失败
   
8. ;PS: 若要写入大量脱机注册表数据, 应尽量减少对 ORSaveHive 函数的调用;
   
9. ;    应先多次调用 ORCreateKey(OROpenKey), ORSetValue 和 ORCloseKey 函数以写入所有想要写入的数据, 最后才调用 ORSaveHive 函数进行保存;
   
10. ;    一般来说, 对每个注册表配置单元文件的修改, 应仅调用一次 OROpenHive, ORSaveHive 和 ORCloseHive 函数
    
11. _SUB SetOffRegData
    
12.     TEAM ENVI &HiveFile=%~1| ENVI &SubKey=%~2| ENVI &Value=%~3| ENVI &Type=%~4| ENVI &Data=%~5| ENVI-ret %~6=0
    
13.     IFEX #%&bX64%=3, Set &PtrSz=8! SET &PtrSz=4
    
14.    
    
15.     IFEX %&HiveFile%,! EXIT _SUB
    
16.     ENVI$# &phHive=*%&PtrSz% 0
    
17.     CALL $--qd --ret:&ret offreg.dll,OROpenHive,$%&HiveFile%,*&phHive
    
18.     IFEX $%&ret%=0,
    
19.     {
    
20.         ENVI?int &phHive=&hHive
    
21.         ENVI$# &phKey=*%&PtrSz% 0
    
22.         ENVI &WriteData=0
    
23.         CALL $--qd --ret:&ret offreg.dll,ORCreateKey,#%&hHive%,$%&SubKey%,#0,#0,#0,*&phKey,#0
    
24.         IFEX $%&ret%=0,
    
25.         {
    
26.             ENVI?int &phKey=&hKey
    
27.             FIND $%&Type%=REG_SZ,
    
28.             {
    
29.                 STRL * &Len=&Data
    
30.                 CALC #&Len = %&Len% * 2
    
31.                 CALL $--qd --ret:&ret offreg.dll,ORSetValue,#%&hKey%,$%&Value%,#1,*&Data,#%&Len%
    
32.                 IFEX $%&ret%=0,ENVI &WriteData=1
    
33.             }
    
34.             FIND $%&Type%=REG_EXPAND_SZ,
    
35.             {
    
36.                 STRL * &Len=&Data
    
37.                 CALC #&Len = %&Len% * 2
    
38.                 CALL $--qd --ret:&ret offreg.dll,ORSetValue,#%&hKey%,$%&Value%,#2,*&Data,#%&Len%
    
39.                 IFEX $%&ret%=0,ENVI &WriteData=1
    
40.             }
    
41.             FIND $%&Type%=REG_DWORD,
    
42.             {
    
43.                 TEAM ENVI$# &Buffer=*4 0| ENVI-long &Buffer=%&Data%
    
44.                 CALL $--qd --ret:&ret offreg.dll,ORSetValue,#%&hKey%,$%&Value%,#4,*&Buffer,#4
    
45.                 IFEX $%&ret%=0,ENVI &WriteData=1
    
46.             }
    
47.             FIND $%&Type%=REG_QWORD,
    
48.             {
    
49.                 TEAM ENVI$# &Buffer=*8 0| ENVI-longlong &Buffer=%&Data%
    
50.                 CALL $--qd --ret:&ret offreg.dll,ORSetValue,#%&hKey%,$%&Value%,#11,*&Buffer,#8
    
51.                 IFEX $%&ret%=0,ENVI &WriteData=1
    
52.             }
    
53.             CALL $--qd --ret:&ret offreg.dll,ORCloseKey,#%&hKey%
    
54.         }
    
55.         IFEX $%&WriteData%=1,
    
56.         {
    
57.             TEAM ENVI$# &pMajorVersion=*4 0| ENVI$# &pMinorVersion=*4 0
    
58.             CALL $--qd --ret:&ret ntdll.dll,RtlGetNtVersionNumbers,*&pMajorVersion,*&pMinorVersion,#0
    
59.             TEAM ENVI?long &pMajorVersion=&MajorVersion| ENVI?long &pMinorVersion=&MinorVersion
    
60.             FILE %&HiveFile%->%&HiveFile%_bak
    
61.             CALL $--qd --ret:&ret offreg.dll,ORSaveHive,#%&hHive%,$%&HiveFile%,#%&MajorVersion%,#%&MinorVersion%
    
62.             IFEX $%&ret%=0,
    
63.             {
    
64.                 FILE %&HiveFile%_bak
    
65.                 ENVI-ret %~6=1
    
66.             }!
    
67.             {
    
68.                 FILE %&HiveFile%_bak->%&HiveFile%
    
69.                 ENVI-ret %~6=0
    
70.             }
    
71.         }
    
72.         CALL $--qd --ret:&ret offreg.dll,ORCloseHive,#%&hHive%
    
73.     }
    
74. _END
    
75. 
    
76. ;示例
    
77. CALL SetOffRegData "D:\Temp\SOFTWARE" "Test" WriteRegData REG_DWORD 0xFF &RetVal
    
78. IFEX $%&RetVal%=1,MESS 成功修改脱机注册表数据! MESS 无法修改脱机注册表数据
    

复制代码

枚举脱机注册表文件的指定的注册表项的子项

1. ;EnumOffRegValue 封装函数用于枚举脱机注册表文件的指定的注册表项的子项
   
2. ;第一个参数为目标脱机注册表配置单元文件的路径
   
3. ;第二个参数为要枚举其子项的注册表项
   
4. ;第三个参数为接收返回的子项数据
   
5. _SUB EnumOffRegKey
   
6.     TEAM ENVI &HiveFile=%~1| ENVI &SubKey=%~2| ENVI-ret %~3=
   
7.     TEAM SET$ &NL=0d 0a| ENVI &KeyList=
   
8.     IFEX #%&bX64%=3, SET &PtrSz=8! SET &PtrSz=4
   
9.     IFEX %&HiveFile%,! EXIT _SUB
   
10.     ENVI$# &phHive=*%&PtrSz% 0
    
11.     CALL $--qd --ret:&ret offreg.dll,OROpenHive,$%&HiveFile%,*&phHive
    
12.     IFEX #%&ret%=0,
    
13.     {
    
14.         ENVI?int &phHive=&hHive
    
15.         ENVI$# &phKey=*%&PtrSz% 0
    
16.         CALL $--qd --ret:&ret offreg.dll,OROpenKey,#%&hHive%,$%&SubKey%,*&phKey
    
17.         IFEX #%&ret%=0,
    
18.         {
    
19.             ENVI?int &phKey=&hKey
    
20.             TEAM ENVI$# &pKeyCount=*4 0| ENVI$# &pMaxSubKeyLen=*4 0
    
21.             CALL $--qd --ret:&ret offreg.dll,ORQueryInfoKey,#%&hKey%,0,0,*&pKeyCount,*&pMaxSubKeyLen,0,0,0,0,0,0
    
22.             IFEX #%&ret%=0,
    
23.             {
    
24.                 TEAM ENVI?int &pKeyCount=&KeyCount| ENVI?int &pMaxSubKeyLen=&MaxSubKeyLen
    
25.                 CALC #&KeySize = %&MaxSubKeyLen% * 2
    
26.                 ENVI &Index = 0
    
27.                 LOOP #%&Index%<%&KeyCount%,
    
28.                 {
    
29.                     ENVI$# &KeyName=*%&KeySize% 0
    
30.                     SET-int &pKeySize=%&KeySize%
    
31.                     CALL $--qd --ret:&ret offreg.dll,OREnumKey,#%&hKey%,#%&Index%,*&KeyName,*&pKeySize,0,0,0
    
32.                     IFEX #%&ret%=0,ENVI &KeyList=%&KeyList%%&KeyName%%&NL%
    
33.                     CALC #&Index = %&Index% + 1
    
34.                 }
    
35.             }
    
36.             CALL $--qd --ret:&ret offreg.dll,ORCloseKey,#%&hKey%
    
37.         }
    
38.         CALL $--qd --ret:&ret offreg.dll,ORCloseHive,#%&hHive%
    
39.     }
    
40.     ENVI-ret %~3=%&KeyList%
    
41. _END
    
42. 
    
43. ;示例
    
44. CALL EnumOffRegKey "H:\Win11PE\Windows\System32\config\SOFTWARE" "Microsoft\Windows NT\CurrentVersion\ProfileList" &SubKeys
    
45. MESS %&SubKeys%
    

复制代码

PS: 据网友"秋刀鱼"说, 此封装函数偶尔会返回空值


我用 PECMD 封装了一个枚举脱机注册表文件的指定注册表项的值的函数, 但无法成功调用 OREnumValue 函数, 因此就不提供此封装函数
(我用其它脚本编程语言也封装了这么一个函数却是能够成功调用 OREnumValue 函数, 而 PECMD 却是失败, 用 PECMD 编写代码真的搞到头晕)

---

作者: it323    时间: 昨天 21:58
感谢分享！

---

作者: a66    时间: 昨天 22:09
了解

---

作者: wn168cn@163.com    时间: 昨天 22:49
支持原创

---

作者: 红毛樱木    时间: 13 小时前
把  OREnumValue  的PECMD脚本发上来，分析分析

---

作者: 527104427    时间: 12 小时前


OREnumValue 我这可以啊。对楼主的脚本进行升级改造，以求囊括全部注册表类型：









读写脱机注册表.7z (3.93 KB, 下载次数: 7)

9 小时前 上传

点击文件名下载附件
下载积分: 无忧币 -2

---

作者: wang1126    时间: 9 小时前
谢谢楼主分享

---

作者: smile_z    时间: 9 小时前
感谢分享

---

作者: BEIKING    时间: 6 小时前
前几楼，大神打架。
牛逼

---

欢迎光临 无忧启动论坛 (http://wuyou.net/)

Powered by Discuz! X3.3