Klasse „Registry“
In der folgenden Tabelle sind die möglichen Abschnitte der Klasse „Registry“ aufgeführt.
Abschnitt
|
Werte
|
Hinweise
|
Class
|
Registry
|
|
Id
|
4000 - 7999
|
|
level
|
0, 1, 2, 3, 4
|
|
time
|
*
|
|
user_name
|
Benutzer- oder Systemkonto
|
|
application
|
Pfad- und Anwendungsname
|
|
keys oder values
|
Registrierungsschlüssel oder -wert
|
Siehe Hinweis 1
|
old data
|
Frühere Daten des Wertes
|
Dieser Abschnitt ist optional. Er gilt nur für <Direktive> „Modify“; siehe Hinweis 2.
|
new data
|
Neue Daten des Wertes
|
Dieser Abschnitt ist optional. Er gilt nur für <Direktive> „Modify“ oder „Create“; siehe Hinweis 2.
|
directives -c -d
|
registry:delete
|
Löschen eines Registrierungsschlüssels/-wertes
|
|
registry:modify
|
Änderung des Inhalts eines Registrierungswertes oder Änderung der Daten eines Registrierungsschlüssels
|
|
registry:permissions
|
Änderung der Berechtigungen eines Registrierungsschlüssels.
|
|
registry:read
|
Abrufen von Registrierungsschlüsseldaten (Nummer von Unterschlüsseln usw.) oder Abrufen des Inhalts eines Registrierungswertes.
|
|
registry:enumerate
|
Aufzählung eines Registrierungschlüssels, d. h. Auflisten aller Unterschlüssel und Werte eines Schlüssels.
|
Hinweis 1
HKEY_LOCAL_MACHINE in einem Registrierungspfad wird ersetzt durch \REGISTRY\MACHINE\ und CurrentControlSet wird ersetzt durch ControlSet. Beispiel: Der Registrierungswert „abc“ unter dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa wird dargestellt als \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc.
Hinweis 2
Die Daten der Abschnitte old data und new data müssen im Hexadezimal-Format vorliegen. Beispiel: Die Datendefinition des Registrierungswertes „\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc“ muss dargestellt werden als old_data { Include "%64%65%66" }.
Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.