搜索
查看: 3372|回复: 43
收起左侧

[分享] Sandboxie的RegHive文件转为reg文件的工具及方法(20190811)

  [复制链接]
nmyh
发表于 2019-7-2 22:16:22 | 显示全部楼层 |阅读模式
本帖最后由 nmyh 于 2019-8-11 21:47 编辑

存放沙盘虚拟注册表内容的RegHive文件在“C:\Sandbox\<用户名>\DefaultBox”下面的(默认沙盘名是DefaultBox)。


本帖的简要流程(建议先看看这个,好操作):
1.清空沙盘,先让empty空程序入沙再关闭,RegHive复制出来并重命名为RegHive1,然后让测试程序入沙再关闭,RegHive复制出来并重命名为RegHive2。
2.用工具一的RFV或WRR分别把RegHive1、RegHive2转为RegHive1.reg、RegHive2.reg。
3.把两个reg文件同时选中并拖到regdelta里的批处理文件上,生成的txt文件就是对比结果。
4.参考虚拟与真实注册表的对比手动修改并保存为reg文件。若只想了解改动情况的话,不需要操作这一步骤。

→ 最常见的组合工具是:RFV导出,regdelta自动对比。(即上面的简要流程2、3)
处理Unicode(比如中文字符)的暂时的组合工具(见置顶2楼附件)是:系统自带reg.exe导出、regdiff自动对比。以后找到更好的导出工具再替换掉此暂时办法。


本帖后面的是分开详细说明的,为了照顾新手。
有经验的可以只看上面这个流程,我现在就是这么操作的,操作几次以后,每次总共花费的时间也就半分钟左右。


----------------------------------------------------------------------


【工具一,推荐】下载地址:http://www.mitec.cz/Downloads/WRR.zip
步骤:
1.双击“WRR.exe”程序,点“File → Open”,选择“RegHive”文件。
2.点“File → Export to REGEDIT4 format → OK”,保存。(点下方的“Raw Data”可预览注册表结构)
3.生成的“RegHive.reg”文件就可以用记事本等工具查看了。
工具一附件(两个都要下载):
WRR 1.6.1.part1.rar (500 KB, 下载次数: 22)

评分

参与人数 4分享 +3 人气 +7 收起 理由
屁颠屁颠 + 3 版区有你更精彩: )
至高神 + 3 版区有你更精彩: )
zqjiang + 3 好贴 顶一个
l10x + 1 肥肠感谢

查看全部评分

nmyh
 楼主| 发表于 2019-7-16 13:18:36 | 显示全部楼层
本帖最后由 nmyh 于 2019-8-12 17:56 编辑

【批处理】自动比较两个RegHive文件(不推荐,暂时用)
此工具组合能完美处理Unicode字符,暂时用此方法,以后有更好的工具再替换掉此方法。

下载: 自动比较两个RegHive文件(不推荐,暂时用).7z (25.03 KB, 下载次数: 1)
kfk
发表于 2019-7-3 20:01:34 | 显示全部楼层
其实可以用任意一款 注册表编辑器 来加载RegHive,查看起来更直观,也便于 编辑/导出/导入。

由于沙盒程序都是将虚拟注册表项另位存放,所以用以上(包括楼主的)方法 静态查看RegHive真相,其实感受不会好。
不如在沙内沙外同时运行注册表编辑器(一虚一实),来进行 原位 查看对比,更直观,省脑子。
nmyh
 楼主| 发表于 2019-7-3 21:37:48 | 显示全部楼层
本帖最后由 nmyh 于 2019-7-6 14:08 编辑
kfk 发表于 2019-7-3 20:01
其实可以用任意一款 注册表编辑器 来加载RegHive,查看起来更直观,也便于 编辑/导出/导入。

由于沙盒程 ...



不知道你用的什么注册表编辑器,怎么加载RegHive的?我用的sandboxie版本是5.30,用系统自带的regedit、regedt32导入RegHive文件后什么也不能查看到。论坛有说在入沙时打开注册表就能看到结构了,但是用此方法有时不能清理沙盘(必须重启电脑才行)。

1楼的工具一WRR可以点“Raw Data”预览注册表结构


kfk
发表于 2019-7-4 21:00:49 | 显示全部楼层
所以这样对应就比较费事。
配合“一虚一实”之法就简单明了了。

HKEY_CLASSES_ROOT 是这两者的合并:
▲ HKEY_LOCAL_MACHINE\SOFTWARE\Classes
▲ HKEY_CURRENT_USER\Software\Classes
[machine\software\Classes] 只是其中一支。

RegHive就是个标准的Hive(配置单元)。(其实英文原义很形象:Hive就是蜂箱中的 巢脾。)
系统用来存储注册表的那几个文件,也是Hive。
工具能操作这些文件,就是基于此。

任何一款注册表编辑器都能 加载/卸载(Load/Unload) Hive。(不是 导入/导出)
一般在[文件]菜单。
推荐 Registry Workshop。

若不卸载Hive,文件仍在使用,当然删除不了。
kfk
发表于 2019-7-4 21:18:18 | 显示全部楼层
在注册表编辑器中加载查看RegHive的真相,
与 注册表编辑器入沙运行查看虚拟注册表 是两回事。

后者看到的是经沙盒程序(如Sandboxie)映射之后 虚+实 的假相。
nmyh
 楼主| 发表于 2019-7-4 23:00:43 | 显示全部楼层
kfk 发表于 2019-7-4 21:00
所以这样对应就比较费事。
配合“一虚一实”之法就简单明了了。

感谢你的回复,但是我重新弄了下,1楼的结论没有错啊(重新上传了沙盘运行的reg示例),下面是具体测试结果:
==================================================================
虚拟注册表项                                            —        真实注册表项

[machine\334455]                                   —        [HKEY_LOCAL_MACHINE\334455]
[machine\software\3344555]                  —        [HKEY_LOCAL_MACHINE\SOFTWARE\3344555]
[machine\software\Classes\.3455]          —        [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.3455]

[user\current\112233]                             —        [HKEY_CURRENT_USER\112233]
[user\current\software\111222333]        —        [HKEY_CURRENT_USER\Software\111222333]
[user\current_classes\.1233]                    —        [HKEY_CURRENT_USER\Software\Classes\.1233]
==================================================================


虚拟[user\current_classes]是虚拟[user\current\software\classes]的简写。在测试导出的reg文件中就有这段内容(说明):
[user\current\software\classes]
"SymbolicLinkValue"=hex(6):<16进制数据,即:\REGISTRY\USER\Sandbox_<用户名>_DefaultBox\user\current_classes>


用了沙盘就不想在真实环境下操作测试了,只要1楼的虚实注册表对应及结论没有问题就可以不用一虚一实,可能我们喜欢的方法不一样吧。
nmyh
 楼主| 发表于 2019-7-4 23:43:51 | 显示全部楼层
本帖最后由 nmyh 于 2019-8-11 00:20 编辑
kfk 发表于 2019-7-4 21:00
所以这样对应就比较费事。
配合“一虚一实”之法就简单明了了。

**Registry Workshop需要先创建一个键值到真实注册表才能读取RegHive文件。另外,我是用了PowerTool工具重启电脑后才删除了那个创建的注册表键值。

一个可对比reg的河蟹版工具:Yet Another Registry Utility (yaru) v1.63
附件下载(四个文件都要下载):
yaru 1.63.part01.rar (500 KB, 下载次数: 9)
kfk
发表于 2019-7-4 23:44:06 | 显示全部楼层
[machine\software\Classes]         —        [HKEY_CLASSES_ROOT]

[machine\software\Classes]代表[HKEY_CLASSES_ROOT]

▲这两句错了。

一虚一实 是为了直观观察沙内程序所作的改动,不是为了测试。
nmyh
 楼主| 发表于 2019-7-4 23:49:19 | 显示全部楼层
kfk 发表于 2019-7-4 23:44
▲这两句错了。

一虚一实 是为了直观观察沙内程序所作的改动,不是为了测试。

了解。找到那个重复的点了。
nmyh
 楼主| 发表于 2019-7-5 00:21:26 | 显示全部楼层
本帖最后由 nmyh 于 2019-7-6 17:36 编辑
kfk 发表于 2019-7-4 23:44
▲这两句错了。

一虚一实 是为了直观观察沙内程序所作的改动,不是为了测试。

关于3个Classes,已更新到1楼的总结三那里了

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-8-22 06:49 , Processed in 0.055358 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表