VBS随时监视注册表的变化,记录有变化的值或键等信息(包括一个文件内容比较函数)...

最新推荐文章于 2023-01-05 23:14:48 发布
最新推荐文章于 2023-01-05 23:14:48 发布
阅读量220 收藏
点赞数
文章标签: 大数据 shell

代码如下:

'效率有点低,而且有限制,算是第一个版本吧,有些不好的地方还请多多指教啊
compareRegister "log1.reg","log2.reg"
'**************************************
'功能:采用wmi监听当前注册表是否有变动,如果有变动,导出变动后的注册表文件,然后比较导出前和导出后的文件的不同之处,并显示出现
'参数:filename1表示注册表监听前的文件名,filename2表示注册表修改变动后的文件名
'返回值:无
'**************************************
Function compareRegister(filename1,filename2)
      wbemFlagReturnImmediately = 16
      wbemFlagForwardOnly = 32
      IFlags = wbemFlagReturnImmediately + wbemFlagForwardOnly
      result=""
      Set wmiServices = GetObject("winmgmts:root/default") 
      Set dtmCreateTime = CreateObject("WbemScripting.SWbemDateTime")
      Set ws=WScript.CreateObject ("wscript.shell")
      
      Set colRegChanges = wmiServices.ExecNotificationQuery _
          ("SELECT * FROM RegistryTreeChangeEvent " _
          & "WHERE Hive='HKEY_LOCAL_MACHINE' AND RootPath=''",, IFlags)
      ws.Run "regedit -e "&filename1,0,True '修改前的,导出注册表文件
      ws.Popup "已经导出操作前注册表为REG文件....",2
      Do While (True)  
         Set TreeChange = colRegChanges.NextEvent
         ws.Run "regedit -e "&filename2,0,True '修改后的,导出注册表文件
         ws.Popup "已经导出了修改后注册表为REG文件。。。",2
      'Time_Created property is 64-bit and
      ' must be converted into CIM_DateTime format
         dtmCreateTime.SetFileTime TreeChange.Time_Created, false
      
      'Convert to VT_DATE format using GetVarDate
      ' for printing to screen
         WScript.Echo "注册表变动时间 = " & dtmCreateTime.GetVarDate() _
                    & VBNewLine _
                    & "主键根目录 = " & TreeChange.Hive & VBNewLine _
                    & "子目录名称 = "& TreeChange.RootPath  &vbNewLine _
                    & "创建时间为:"&treechange.time_created &vbNewLine _
                    & "描述:"&treechange.security_descriptor&vbNewLine _
                    
        
         compareDif filename1,filename2  '比较注册表前后的两个文件的内容变化
                    
      Loop
end Function


'compareDif "d:\test1.txt","d:\test2.txt"
''**************************************
'功能:比较两个文件,显示文件中不同的地方,前提是:filename2的行数一定要大于filename的行数
'参数:filename1表示注册表监听前的文件名,filename2表示注册表修改变动后的文件名
'返回值:无
'**************************************
Function compareDif(filename1,filename2)
   On Error Resume Next
   msg=""
   Const ForReading = 1, ForWriting = 2, ForAppending = 8
   Const TristateUseDefault = -2, TristateTrue = -1, TristateFalse = 0
   Set fso=CreateObject("scripting.filesystemobject")
    Set readfile1=fso.GetFile(filename1)
    Set readfile2=fso.GetFile(filename2)
    Set ts1=readfile1.OpenAsTextStream(ForReading,TristateUseDefault)
    Set ts2=readfile2.OpenAsTextStream(ForReading,TristateUseDefault)
    If Not ts1.AtEndOfStream then
       beforereg=Split(ts1.ReadAll,vbCrLf)
    End If
    If Not ts2.AtEndOfStream then
      afterreg=Split(ts2.ReadAll,vbCrLf)
    End If
'    ws.Popup "正在进行比较注册表,不要关闭请稍等。。。。",5
   For i=0 To UBound(afterreg)-1
       If afterreg(i)<>beforereg(i) Then
          msg=msg&"--------------------------------------------"&vbCrLf&"操作前注册表:"&beforereg(i-1)&vbcrlf&beforereg(i)&vbcrlf&"操作后注册表:"&afterreg(i-1)&vbcrlf&afterreg(i)&vbcrlf
       End if
    next 
   MsgBox msg
   Set ts2=nothing
   Set ts1=Nothing
   Set readfile2=Nothing
   Set readfile1=Nothing
   Set fso=Nothing
End Function

 

以上代码测试可用,可参考。

weixin_33834137
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应
玩电脑的辣条哥的博客
03-02 3202
Win11 专业版HP480G7。
获取计算机软件列表,vbs查询局域网内电脑的软件和硬件列表清单
weixin_33060753的博客
07-15 619
下面的代码在windows下容易报毒大家可以放心使用'=========================================================================='' Date:2009/3/19' Name: 查询软件和硬件列表清单' Author:Smileruner' www.overmcse.com' 不支持Win2000及WinNT'' 3/19,...
vbs监控脚本
05-23
vbs脚本编写的进程监控脚本,用于监控windows 进程中,容易自己挂掉的程序,它会帮助你监控这个进程,挂掉后会自行启动。右键编辑这个程序就可以直接修改成自己的程序用于其他方面
VBS带你领略脚本语言的快乐!(注册表篇)
guyu的博客
09-23 2558
VBS操作注册表 前言    先前我们解了了VBS入门知识和VBS基础知识,                                                                            
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3001
Registry Auditing 监视注册表变化 审核策略
获取电脑硬件信息.vbs
04-03
该工具获取的电脑信息比较全面,有操作系统、CPU、内存、硬盘、显卡、声卡、网卡等信息,数据以记录形式保存在文件中,便于网管整理保管。
aaa.rar_vbs2js.vbs_信息发布
09-14
一个信息发布网站,有工作,市场之类的信息发布功能,后台管理等等。
vbs 中调用shell.application 简单函数
09-06
vbs实现的调用系统命令执行的函数,可以根据用户选择运行指定的程序
无法找到脚本文件adsutil.vbs的解决方法
09-03
主要介绍了iis7或iis7.5中无法找到脚本文件adsutil.vbs的解决方法,需要的朋友可以参考下
Windows 安装IIS出现的问题(无法安装IIS,提示“安装程序无法复制文件IISApp.vbs”)
09-06
在重装IIS6.0的时候会遇到“安装程序无法复制文件IISApp.vbs”等一系列错误......
encrypt.vbs 内容加密vbs实现代码
09-05
内容加密vbs实现代码 本人不能保证文件能改过来.请大家先测试下,注意备份。
vbs自动监控程序,关闭之后自动重启
qq_35384887的博客
07-05 1489
vbs文件 do while true '死循环 on error resume next set ws = createobject("wscript.shell") QQprocess="TIM.exe" check = isProcessExists(QQprocess) if (check <> true ) then wscript.sleep 10000 w...
计算机指令vbs,[VBS小程序]锁住朋友的电脑,你也可以!
weixin_36370029的博客
07-27 1242
最近我写了一个VBS小程序,并放在机房的共享里,结果许多人深受其害。。。功能关闭explorer.exe,使系统界面“崩溃”修改注册表,使得Win + L锁定(切换用户)、Ctrl + Alt + Del进安全模式、任务管理器和关机指令被禁用。调用inputBox命令,询问密码,只有密码正确才会打开explorer.exe并恢复注册表代码Set shell = CreateObject("wscr...
获取计算机关机时间,查询电脑开关机时间的vbs代码
weixin_28750663的博客
07-29 722
核心代码:strComputer = "."Set objWMIService = GetObject("winmgmts:" _& "{impersonationLevel=impersonate}!\\" _& strComputer & "\root\cimv2")Set colLoggedEvents = objWMIService.ExecQuery _("Sel...
vbs获取本机信息以及ping的监控检测
Jsxiao的博客
08-14 1670
脚本背景 有时候跟非技术人员沟通的时候,你让人家提供主机信息或者让别人ping什么域名检测健康情况先行判断的时候,一般的人员可能无法理解,这对于他们可能是灾难性的操作,所以这边提供了一个vbs脚本直接发给非技术人员,让别人双击之后截图即可 程序本体 Function GetIPMAC(ComputerName) Dim objWMIService,colItems,objItem,...
vbs代码弹计算机,如何恶搞朋友的电脑?超简单的vbs代码
weixin_34498545的博客
07-27 1256
这东西不好做成视频教程,我们就做成文章出来分享吧!编写vbs有多简单?新建“文本文档”,输入msgbox "一大波病毒正在靠近..." ,点击文件->另存为->重命名为“代码.vbs”。文件名不重要,重要的是后缀要是“.vbs”双击保存的文件:代码.vbs,即弹出一个对话框。记下这段小小的代码,去同学家里恶搞吧。当然你还可以输入其他有趣的文字。当然,如此恶搞还是不够的。那就来一个无限循...
VBS中使用WMI事件处理监控系统进程
SavageGarden_Love的专栏
12-22 383
OA项目中遇到这样一个问题:用户起草一种类型的公文,编辑word正文时希望能够将公文中的一些内容自动带到正文中,这个无非就是从服务器上把公文所对应的word正文文件下载到本地,替换掉里面指定内容的事,问题的关键在于替换掉内容后,或者用户填写了内容后,关闭word文件,如何监听此事件以在word程序退出后将此文件上传到服务器,不然,用户岂不是只是在本地做了修改,毫无用处。google了很久,终于解决...
监控程序进程的VBS脚本
weixin_34055910的博客
07-30 387
监控计算器程序是否处于运行状态,只需更改testString常量的,就可以通过自己的邮箱知道该程序目前的运行状况。Option ExplicitDim flagconst testString="calc"Set shell = CreateObject("wscript.shell")Set tasklist=shell.exec("cmd /c tasklist.exe...
questions 1:Wscript中的.vbs文件中Case的用法有哪些,使用Case随便写个脚本演示一下.
最新发布
05-30
下面是一个简单的脚本示例,演示了Case语句的用法。这个示例会根据用户输入的数字,输出对应的星期几。 ``` Dim num num = InputBox("请输入数字(1-7):") Select Case num Case 1 WScript.Echo "星期一" Case...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值