Как читать реестр из автономных ульев

Я пытаюсь создать базовый проект цифровой криминалистики на С++, поэтому мне нужен способ чтения реестра из файлов куста (SYSTEM, SOFTWARE и т. д.)

Я знаю о функции RegOpenKeyExW, но, насколько я могу судить, она предназначена для чтения реестра в работающей системе, а не для чтения автономных кустов.

заранее спасибо


c++ registry computer-forensics
person incarnadine    schedule 02.08.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Функция RegLoadKey позволяет загрузить автономный куст, указав, где в дереве реестра он будет расположен. Существует также функция RegLoadAppKey, которая создает дерево реестра, не являющееся частью обычного глобального дерева реестра.

Обратите внимание, что с RegLoadKey вы должны открыть ключ после загрузки, RegLoadAppKey, с другой стороны, возвращает ключ через выходной параметр.

person SoronelHaetir    schedule 02.08.2020
comment
Разве этот метод не требует добавления ульев в реестр, а затем чтения из живого? Я стараюсь не редактировать реестр живых систем, потому что это очень неэффективно. - person incarnadine; 02.08.2020
comment
Конечно, для этого требуется сделать куст частью живого набора реестров, но в целом это кажется мне гораздо предпочтительнее, чем пытаться повторно реализовать API реестра. Меньше точек отказа, все особые случаи уже обработаны и т. д. - person SoronelHaetir; 02.08.2020