Klasse „Registry“

In der folgenden Tabelle sind die möglichen Abschnitte der Klasse „Registry“ aufgeführt.

Abschnitt
Werte
Hinweise
Class
Registry
 
Id
4000 - 7999
 
level
0, 1, 2, 3, 4
 
time
*
 
user_name
Benutzer- oder Systemkonto
 
application
Pfad- und Anwendungsname
 
keys oder values
Registrierungsschlüssel oder -wert
Siehe Hinweis 1
old data
Frühere Daten des Wertes
Dieser Abschnitt ist optional. Er gilt nur für <Direktive> „Modify“; siehe Hinweis 2.
new data
Neue Daten des Wertes
Dieser Abschnitt ist optional. Er gilt nur für <Direktive> „Modify“ oder „Create“; siehe Hinweis 2.
directives -c -d
registry:delete
Löschen eines Registrierungsschlüssels/-wertes
 
registry:modify
Änderung des Inhalts eines Registrierungswertes oder Änderung der Daten eines Registrierungsschlüssels
 
registry:permissions
Änderung der Berechtigungen eines Registrierungsschlüssels.
 
registry:read
Abrufen von Registrierungsschlüsseldaten (Nummer von Unterschlüsseln usw.) oder Abrufen des Inhalts eines Registrierungswertes.
 
registry:enumerate
Aufzählung eines Registrierungschlüssels, d. h. Auflisten aller Unterschlüssel und Werte eines Schlüssels.

Hinweis 1

HKEY_LOCAL_MACHINE in einem Registrierungspfad wird ersetzt durch \REGISTRY\MACHINE\ und CurrentControlSet wird ersetzt durch ControlSet. Beispiel: Der Registrierungswert „abc“ unter dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa wird dargestellt als \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc.

Hinweis 2

Die Daten der Abschnitte old data und new data müssen im Hexadezimal-Format vorliegen. Beispiel: Die Datendefinition des Registrierungswertes „\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc“ muss dargestellt werden als old_data { Include "%64%65%66" }.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.