Reg命令查询注册表

已于 2022-12-26 08:33:47 修改
阅读量7.5k 收藏 8
点赞数 1
分类专栏: windows 注册表 文章标签: 注册表
于 2022-03-24 12:56:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyudexiaowangzi/article/details/123707258
版权

命令行中执行reg /?,reg query /?即可知道reg的操作方式,此处做个记录,方便记忆

reg执行哪些操作

C:\Users\Administrator>reg /?

REG Operation [Parameter List]

  Operation  [ QUERY   | ADD    | DELETE  | COPY    |
               SAVE    | LOAD   | UNLOAD  | RESTORE |
               COMPARE | EXPORT | IMPORT  | FLAGS ]

主要用到查询所以看看怎么查询

C:\Users\Administrator>reg query /?

REG QUERY KeyName [/v [ValueName] | /ve] [/s]
          [/f Data [/k] [/d] [/c] [/e]] [/t Type] [/z] [/se Separator]

  KeyName  [\\Machine\]FullKey
           Machine - 远程机器名称,省略当前机器的默认值。在远程机器上
                     只有 HKLM 和 HKU 可用。
           FullKey - 以 ROOTKEY\SubKey 名称形式
                ROOTKEY - [ HKLM | HKCU | HKCR | HKU | HKCC ]
                SubKey  - 在选择的 ROOTKEY 下的注册表项的全名

  /v       具体的注册表项值的查询。
           如果省略,会查询该项的所有值。

           只有与 /f 开关一起指定的情况下,此开关的参数才是可选的。它指定
           只在值名称中搜索。

  /ve      查询默认值或空值名称(默认)。

  /s       循环查询所有子项和值(如 dir /s)。

  /se      为 REG_MULTI_SZ 在数据字符串中指定分隔符(长度只为 1 个字符)。
           默认分隔符为 "\0"。

  /f       指定搜索的数据或模式。
           如果字符串包含空格,请使用双引号。默认为 "*"。

  /k       指定只在项名称中搜索。

  /d       指定只在数据中搜索。

  /c       指定搜索时区分大小写。
           默认搜索为不区分大小写。

  /e       指定只返回完全匹配。
           默认是返回所有匹配。

  /t       指定注册表值数据类型。
           有效的值是:
             REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ,
             REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE
           默认为所有类型。

  /z       详细: 显示值名称类型的数字等值。

示例:

  REG QUERY HKLM\Software\Microsoft\ResKit /v Version
    显示注册表值版本的值

  REG QUERY \\ABC\HKLM\Software\Microsoft\ResKit\Nt\Setup /s
    显示远程机器 ABC 上的、在注册表项设置下的所有子项和值

  REG QUERY HKLM\Software\Microsoft\ResKit\Nt\Setup /se #
    用 "#" 作为分隔符,显示类型为 REG_MULTI_SZ 的所有值名称的所有
    子项和值。

  REG QUERY HKLM /f SYSTEM /t REG_SZ /c /e
    以区分大小写的形式显示项、值和数据和数据类型 REG_SZ
    的、在 HKLM 更目录下的、"SYSTEM" 出现的精确次数

  REG QUERY HKCU /f 0F /d /t REG_BINARY
    显示在 HKCU 根目录下、数据类型为 REG_BINARY 的数据的项、值和
    数据的 "0F" 出现的次数。

  REG QUERY HKLM\SOFTWARE /ve
    显示在 HKLM\SOFTWARE 下的项、值和数据(默认)

实操:

项:注册表左边的一个个长得像文件夹的图标的东西就是项,项可以有子项,也可以有值,子项也是项,显示在注册表的左边

值:注册表右边的数据,值也分名称,类型和数据,类型对应二进制、字符串、多字符串、扩展字符串、32位值、64位值。编辑多字符串的时候可以换行,获取信息的时候发现每一行都是以\0结束,也就是多个字符串,扩展字符串是设置的时候%变量%会被解析,如:

C:\Users\Administrator>REG add HKLM\SOFTWARE\MICROSOFT\WISP /v "新值 #4" /t reg_expand_sz /d "%userprofile%\appdata"
操作成功完成。

C:\Users\Administrator>REG query HKLM\SOFTWARE\MICROSOFT\WISP /v "新值 #4"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP
    新值 #4    REG_EXPAND_SZ    C:\Users\Administrator\appdata

%userprofile%在设置后再次读取被识别成真实的值了,程序中变量可以同过api:ExpandEnvironmentStrings解析,如果在注册表中手动编辑的时候写入%变量%,读取的时候是不会被解析的

获取具体的值

C:\Users\Administrator>REG QUERY HKLM\SOFTWARE\MICROSOFT\WISP /v "新值 #3"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP
    新值 #3    REG_MULTI_SZ    HELLO WORLD\0GOOD\0WHAT THE FUCK

展示某项的所有值,不包括子项

C:\Users\Administrator>REG QUERY HKLM\SOFTWARE\MICROSOFT\WISP /v *

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP
    新值 #1    REG_SZ
    新值 #2    REG_SZ    HELLO WORLD
    新值 #3    REG_MULTI_SZ    HELLO WORLD\0GOOD\0WHAT THE FUCK
    新值 #4    REG_EXPAND_SZ    %USERPROFILE%\APPDATA
    新值 #5    REG_BINARY    766E5DE756456DFBDFFFDADFEAFAE3E3243562578356

搜索结束: 找到 5 匹配。

获取某项的一级子项和该项中的所有值

C:\Users\Administrator>REG QUERY HKLM\SOFTWARE\MICROSOFT\WISP

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP
    新值 #1    REG_SZ
    新值 #2    REG_SZ    HELLO WORLD
    新值 #3    REG_MULTI_SZ    HELLO WORLD\0GOOD\0WHAT THE FUCK
    新值 #4    REG_EXPAND_SZ    %USERPROFILE%\APPDATA
    新值 #5    REG_BINARY    766E5DE756456DFBDFFFDADFEAFAE3E3243562578356

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\ExcludedDevices
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\MultiTouch
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\Pen
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\Touch
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\新项 #1

获取所有子项和所有值

C:\Users\Administrator>REG QUERY HKLM\SOFTWARE\MICROSOFT\WISP /s

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP
    新值 #1    REG_SZ
    新值 #2    REG_SZ    HELLO WORLD
    新值 #3    REG_MULTI_SZ    HELLO WORLD\0GOOD\0WHAT THE FUCK
    新值 #4    REG_EXPAND_SZ    %USERPROFILE%\APPDATA
    新值 #5    REG_BINARY    766E5DE756456DFBDFFFDADFEAFAE3E3243562578356

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\ExcludedDevices

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\MultiTouch
    MultiTouchEnabled    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\Pen

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WISP\Pen\SysEventParameters
    (默认)    REG_SZ    Microsoft Pen System Event Parameters
    UIRightTapMode    REG_DWORD    0x1
    Move    REG_DWORD    0x28
    ShakeAngle.min    REG_DWORD    0x5
    Move.min    REG_DWORD    0xa
    FlickMode    REG_DWORD    0x1
    LagTime    REG_DWORD    0x1e
    WaitTime.max    REG_DWORD    0x3e8
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

添加:


  REG ADD HKLM\Software\MyCo /v Data /t REG_BINARY /d fe340ead
    添加一个值(名称: Data,类型: REG_BINARY,数据: fe340ead)

删除:


  REG DELETE HKLM\Software\MyCo\MyApp\Timeout
    删除注册表项 Timeout 及其所有子项和值

  REG DELETE \\ZODIAC\HKLM\Software\MyCo /v MTU
    删除 ZODIAC 上 MyCo 下的注册表项 MTU

如果Key中有百分号,并且两个百分号中夹杂着一个变量,如%SystemRoot%_system32_cmd.exe,需要添加^符号进行转译

C:\Users\Administrator>reg query hkcu\console\^%SystemRoot^%_system32_cmd.exe

HKEY_CURRENT_USER\console\%SystemRoot%_system32_cmd.exe
    CodePage    REG_DWORD    0x3a8
    ScreenBufferSize    REG_DWORD    0x3e80078
    WindowSize    REG_DWORD    0x730078
    FaceName    REG_SZ    Terminal
    FontSize    REG_DWORD    0x10000c
    FontFamily    REG_DWORD    0x30
    FontWeight    REG_DWORD    0x190

其他用户的注册表:

假如现在有用户Administrator和用户test,当前登录用户是Administrator,注册表中的HKEY_USERS里面没有test对应的sid的注册表,要获取用户的sid,可以通过NetUserGetInfo获取

LPUSER_INFO_4 pUserInfo4 = NULL;
NET_API_STATUS n4Status = NetUserGetInfo(NULL, usri1_name, 4, (LPBYTE*)&pUserInfo4)

也可以通过NetUserEnum遍历用户,获取用户名,NetUserEnum不能直接获取level4的用户信息,

用户的注册表在c:\users\test\ntuser.dat,可以通过

reg load hku\test c:\users\test\ntuser.data

把test的user注册表挂载到注册表,也可以自行获取sid然后根据windows的用户注册表挂载名称的规则挂载。其中常用路径在

C:\Users\test1>reg query "hku\test\software\microsoft\windows\currentversion\explorer\user shell folders"

C:\Users\test1>reg query "hkcu\software\microsoft\windows\currentversion\explorer\user shell folders"

有一个相似的注册表路径

hkcu\software\microsoft\windows\currentversion\explorer\shell folders

通过检测,shell folders里面的appdata项改掉后echo %appdata%不会改变,修改user shell folders里面的appdata项才会改变

youyudexiaowangzi
关注
专栏目录
reg query
oBarryChen的博客
09-10 2616
reg query 返回注册表的子项下的项和下一层子项的列表。 语法 reg query KeyName [{/v EntryName|/ve}] [/s] 参数 KeyName 指定子项的完全路径。对于远程计算机,请在 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及...
注册表的作用、bat文件中REG ADD命令添加注册表项以及bat
weixin_33966095的博客
03-26 6962
注册表的用途与设置注册表是windows的核心,里面储存着大量的系统信息,说白了就是一个庞大的数据库。如果你不懂什么是数据库,那没关系,不影响你了解注册表,不过最好对数据库有所了解。注册表里面所有的信息平时都是由windows操作系统自主管理的,也可以通过软件或手工修改。注册表里面有很多系统的重要信息,包括外设,驱动程序,软件,用户记录等等,注册表在很大程度上“指挥”电脑怎样工作。注册表有很大的用...
注册表的介绍和作用
weixin_30399821的博客
07-24 640
注册表是windows的核心,里面储存着大量的系统信息,说白了就是一个庞大的数据库。如果你不懂什么是数据库,那没关系,不影响你了解注册表,不过最好对数据库有所了解。注册表里面所有的信息平时都是由windows操作系统自主管理的,也可以通过软件或手工修改。注册表里面有很多系统的重要信息,包括外设,驱动程序,软件,用户记录等等,注册表在很大程度上“指挥”电脑怎样工作。注册表有很大的用处,功能非常强大...
命令注册表搜索工具
04-03
快速搜索注册表的值,比windows自带的快n倍,大大提高效率
REG QUERY命令参数(注册表
热门推荐
迎风悟极道的专栏
07-09 2万+
REG QUERY KeyName [/v ValueName | /ve] [/s]   KeyName    [\Machine\]FullKey     Machine  远程机器名 - 忽略当前机器的默认值              远程机器上只有 HKLM 和 HKU     FullKey  格式为 ROOTKEY\SubKey          ROOTKEY  [ H
reg 注册表查询编辑命令介绍
Dances with Wolves 的专栏
10-30 1827
在进行window管理时,都需要查询或添加编辑注册表等,命令:reg 可以方便地使用这些功能. 下面我主要做的是查询功能,其他功能请键入:reg /? 看帮助即可。 查看环境变量 REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SessionManager\Environment" # 只查询环境变量中的 pat
注册表搜索(小技巧)
weixin_34249678的博客
01-31 368
原来搜索注册表的时候,每次搜索框搜索一次就消失,想继续搜索还的调出搜索框,今天才知道直接按F3也是可以的。
6.28(reg query)注册表
m0_72827793的博客
06-28 1352
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx” 是一个注册表键路径,用于配置在用户登录后只运行一次的程序,类似于 “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce”,但是它有一些额外的特性和功能。HKLM\Software\Microsoft\Windows\CurrentVersion\Run 只会在当前用户登录时生效,不会影响其他用户的自动运行配置。
Reg命令使用详解 批处理操作注册表必备
09-15
### Reg命令使用详解 在深入探讨`reg`命令的具体应用之前,我们首先需要明确一点:**编辑注册表是一项高风险的操作**。不正确的修改可能导致系统稳定性下降,甚至系统崩溃,因此在进行任何编辑之前,强烈建议备份...
RegFix[注册表修复]
10-02
RegFix[注册表修复]RegFix[注册表修复]RegFix[注册表修复]RegFix[注册表修复]
dos(cmd)中删除、添加、修改注册表命令
09-15
在CMD中,我们可以使用`reg`命令来执行对注册表的添加、删除和修改操作。 1. **添加注册表项**: 使用`reg add`命令可以添加新的注册表项。基本语法如下: ``` reg add [hive] [key] /v value_name /t data_type...
Reg命令详解:谨慎编辑注册表的批处理操作
本文档详细介绍了Windows系统中的Reg命令在批处理操作注册表时的重要性和注意事项。编辑注册表是一个高级操作,需谨慎对待,因为不当操作可能导致系统严重损坏。在开始前,强烈建议用户备份所有重要数据,以防万一。...
特殊命令之REG命令
清兮灌缨的博客
12-31 1万+
特殊命令之REG命令 REG命令 不得不说的一堆肺话: 注册表, 系统的核心, 如果能吃透这个, 解决常见的系统和软件硬件类的故障, 提高计算机性能都不在话下了, 小编只是小白一枚, 分享自己的学习过程而矣, 因为此平台一而再而三的屏蔽我的的这篇文章, 那么大家只能自己通过CMD窗口获取REG的帮助内容了. 大部分的官方帮助我都去除了, 精简了文章的内容, 如果能发布
Registry Finder(注册表内搜索软件)使用方法说明
xzji001的博客
10-10 1490
看看我选择了搜索键、搜索值和搜索数据三项,能搜索出所有包括360的选项,这是系统自带的注册表编辑器完全没法比拟的。是一款注册表内容搜索软件,其原版是国外的一款小软件,由吾爱论坛的@beizi1754 绿化而成的一款小巧软件。首先,注册表编辑器有的功能,这款肯定是有的。强行总结:就注册表的信息搜索查询来说,这款比系统自带好用得太多了,而且绿色小巧,随开随用,非常不错!,当你进入PE时,你可以指定注册表目录进行离线搜索。,比如整个注册表,还是具体的某个位置。再者,这款软件也可以按。
第02章 注册表 reg命令
小步教程
05-15 388
上一章介绍Windows中通过注册表编辑器来实现注册表的日常操作(增删改查),这节我们介绍注册表操作的第二种方式 :通过DOS的reg命令。也就意味着,一些系统配置工作可以执行DOS命令来替代,写在批处理中执行,提高效率。
Python实现对Windows注册表的增删改查
最新发布
昊天罔极的博客
11-29 1042
首先我们需要安装winreg库。
用批处理读取特定注册表项的路径值
HarlanC的专栏
07-09 1787

 用批处理命令查询注册表项的命令为
 
 REG QUERY ...
 
 
 具体的使用信息在命令行窗口中输入
 
 REG QUERY /?
 
 在这里我们需要查询一个具体的key-value,则使用下面的命令
 
 REG QUERY [REG PATH] /v [KE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值