注册表字段

registry.data.bytes

使用 base64 编码的原始写入字节。

对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。这是可选的，但提供了更好的恢复能力，应该为 REG_BINARY 编码的值填充。

类型：关键字

示例： ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

扩展

registry.data.strings

写入字符串类型时的内容。

在将字符串数据写入注册表时，作为数组填充。对于单个字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列，此数组将是可变长度。对于数字数据（如 REG_DWORD 和 REG_QWORD），这应该使用十进制表示填充（例如 "1"）。

类型：通配符

注意：此字段应包含一个值数组。

示例： ["C:\rta\red_ttp\bin\myapp.exe"]

核心

registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例： REG_SZ

核心

registry.hive

蜂巢的简写名称。

类型：关键字

示例： HKLM

核心

registry.key

键的蜂巢相对路径。

类型：关键字

示例： SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

核心

registry.path

完整路径，包括蜂巢、键和值

类型：关键字

示例： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

核心

registry.value

写入的值的名称。

类型：关键字

示例： Debugger

核心