注册表字段

registry.data.bytes

使用 base64 编码的原始写入字节。

对于 Windows 注册表操作，例如 SetValueEx 和 RegQueryValueEx，这对应于 lp_data 指向的数据。这是可选的，但提供了更好的可恢复性，应为 REG_BINARY 编码的值填充此字段。

类型：keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

扩展

registry.data.strings

写入字符串类型时的内容。

写入字符串数据到注册表时，作为数组填充。对于单个字符串注册表类型 (REG_SZ, REG_EXPAND_SZ)，这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列，此数组的长度可变。对于数值数据，例如 REG_DWORD 和 REG_QWORD，这应该填充十进制表示 (例如 "1")。

类型：wildcard

注意：此字段应包含一个值数组。

示例：["C:\rta\red_ttp\bin\myapp.exe"]

核心

registry.data.type

用于编码内容的标准注册表类型

类型：keyword

示例：REG_SZ

核心

registry.hive

注册表项的缩写名称。

类型：keyword

示例：HKLM

核心

registry.key

键的注册表项相对路径。

类型：keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

核心

registry.path

完整路径，包括注册表项、键和值

类型：keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

核心

registry.value

写入的值的名称。

类型：keyword

示例：Debugger

核心