黑客技术

在获取一台Windows主机的Shell权限后，可以通过mountvol命令获取系统分区信息，再配合tree命令查找磁盘中有价值的文件或者更大的突破点。

MOUNTVOL命令的语法如下：

D:\Documents and Settings\Administrator>mountvol
创建、删除或列出卷装入点。
 
MOUNTVOL [drive:]path VolumeName
MOUNTVOL [drive:]path /D
MOUNTVOL [drive:]path /L
MOUNTVOL [drive:]path /P
MOUNTVOL /R
MOUNTVOL /N
MOUNTVOL /E
    path        指定装入点将驻留的现有 NTFS 目录。
    VolumeName  指定装入点的目标的卷名称。
    /D          从指定的目录中删除卷装入点。
    /L          列出指定目录的已装入的卷名称。
    /P          从指定目录删除卷装入点，卸下此卷并使此卷无法装入。您可以创建
                一个卷来再次使此卷可以装入。
    /R          删除不在系统中的、卷的装入点目录和注册表设置。
    /N          禁用新卷的自动装入。
    /E          再次启用新卷的自动装入。
当前装入点的 VolumeName 可能值为:
    \\?\Volume{c7f22454-9944-11dd-84e5-806e6f6e6963}\
        C:\
    \\?\Volume{c7f22455-9944-11dd-84e5-806e6f6e6963}\
        D:\
新卷添加到系统时没有自动装入。要装入卷，您必须创建卷装入点。

TREE 命令的语法如下:

D:\Documents and Settings\Administrator>tree /?
以图形显示驱动器或路径的文件夹结构。

TREE [drive:][path] [/F] [/A]
   /F   显示每个文件夹中文件的名称。
   /A   使用 ASCII 字符，而不使用扩展字符。

在Windows的命令行下通过Regedit工具并配合运行参数可以灵活地导入、导出指定的注册表键值。

Reg工具实现添加、更改和显示注册表项中的注册表子项信息和值。

这两个工具的详细使用方法如下：

一、REGEDIT
导出：regedit /e c:\test.reg HKEY_LOCAL_MACHINE\SAM\SAM
安静模式导入：regedit /s c:\test.reg

详细情况下：
regedit虽是gui下使用的东东 但其实是有未公开的参数的 可以在cmd下使用

regedit的运行参数
REGEDIT [/L:system] [/R:user] filename1
REGEDIT [/L:system] [/R:user] /C filename2
REGEDIT [/L:system] [/R:user] /E filename3 [regpath]
/L:system Specifies the location of the SYSTEM.DAT file.
/R:user Specifies the location of the USER.DAT file.
filename1 Specifies the file(s) to import into the regist
/C filename2 Specifies the file to create the registry from.
/E filename3 Specifies the file to export the registry to.
regpath Specifies the starting registry key to export from.
(Defaults to exporting the entire registry).
/S (Windows) Silent – no message on completion.

二、REG
可以 WindowsXP提供的reg命令行就可以做到。
Reg添加、更改和显示注册表项中的注册表子项信息和值。

若要查看该命令语法，请单击以下命令：

reg add

将新的子项或项添加到注册表中。

语法
reg add KeyName [/v EntryName|/ve] [/t DataType] [/s separator] [/d value] [/f]

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
/v EntryName
指定要添加到指定子项下的项名称。
/ve
指定添加到注册表中的项为空值。
/t DataType
指定项值的数据类型。DataType 可以是以下几种类型：

REG_SZ
REG_MULTI_SZ
REG_DWORD_BIG_ENDIAN
REG_DWORD
REG_BINARY
REG_DWORD_LITTLE_ENDIAN
REG_LINK
REG_FULL_RESOURCE_DESCRIPTOR
REG_EXPAND_SZ

/s separator
指定用于分隔多个数据实例的字符。当 REG_MULTI_SZ 指定为数据类型且需要列出多个项时，请使用该参数。如果没有指定，将使用默认分隔符为 \。
/d value
指定新注册表项的值。
/f
不用询问信息而直接添加子项或项。
/?
在命令提示符显示帮助。
注释
该操作不能添加子树。该版本的 Reg 在添加子项时无需请求确认。
下表列出了 reg add 操作的返回值。 值 说明
0 成功
1 失败

范例
下列范例说明了如何使用 reg add 命令：

reg add \hklm\software\myco /v data /t reg_binary /d fe340ead
reg add "hkcu\software\microsoft\winmine" /v Name3 /t reg_sz /d Anonymous
reg add "hkcu\software\microsoft\winmine" /v Time3 /t reg_dword /d 5

reg compare

比较指定的注册表子项或项。

语法
reg compare KeyName1 KeyName2 [/v EntryName | /ve] {[/oa]|[/od]|[/os]|[on]} [/s]

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。如果指定远程计算机，则只可使用 HKLM 和 HKU 子目录树。
/v EntryName
比较子项下的特定项。
/ve
指定只可以比较没有值的项。
{[/oa]|[/od]|[/os]|[on]}
指定不同点和匹配点的显示方式。默认设置是 /od。 值 说明
/oa 指定显示所有不同点和匹配点。默认情况下，仅列出不同点。
/od 指定仅显示不同点。这是默认操作。
/os 指定仅显示匹配点。默认情况下，仅列出不同点。
/on 指定不显示任何内容。默认情况下，仅列出不同点。

/s Separator
比较所有子项和项。
/?
在命令提示符显示帮助。
注释
下表列出了 reg compare 操作的返回值。 值 说明
0 比较成功且结果相同。
1 比较失败。
2 比较成功并找到不同点。

范例
下面的范例说明了如何使用 reg compare 命令：

reg compare "hkcu\software\microsoft\winmine" "hkcu\software\microsoft\winmine" /od /s
reg copy

将一个注册表项复制到本地或远程计算机的指定位置。

语法
reg copy KeyName1 KeyName2 [/s] [/f]

参数
KeyName1
指定要复制子项的完整路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。如果指定远程计算机，则只可使用 HKLM 和 HKU 子目录树。
KeyName2
指定子项目的地的完整路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。如果指定远程计算机，则只可使用 HKLM 和 HKU 子目录树。
/s
复制指定子项下的所有子项和项。
/f
无需请求确认而直接复制子项。
/?
在命令提示符显示帮助。
注释
该版本的 Reg 在复制子项时无须请求确认。
下表列出了 reg copy 操作的返回值。 值 说明
0 成功
1 失败

范例
下列范例说明了如何使用 reg copy 命令：

reg copy "hkcu\software\microsoft\winmine" "hkcu\software\microsoft\winminebk" /s /f
reg copy "hkcu\software\microsoft\winminebk" "hkcu\software\microsoft\winmine" /s
reg delete

从注册表删除项或子项

语法
reg delete KeyName [{/v EntryName|/ve|/va}] [/f]

参数
KeyName

指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
/v EntryName
删除子项下的特定项。如果未指定项，则将删除子项下的所有项和子项。
/ve
指定只可以删除为空值的项。
/va
删除指定子项下的所有项。使用本参数不能删除指定子项下的子项。
/f
无需请求确认而删除现有的注册表子项或项。
/?
在命令提示符显示帮助。
注释
下表列出了 reg delete 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg delete 命令：

reg delete "hkcu\software\microsoft\winmine" /v Name1
reg delete "hkcu\software\microsoft\winmine" /v Time1
reg delete "hkcu\software\microsoft\winmine" /va
reg export

将指定子项、项和值的副本创建到文件中，以便将其传输到其它服务器。

语法
reg export KeyName FileName

参数
KeyName
指定子项的完全路径。Export 操作仅可在本地计算机上工作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
FileName
指定要导出文件的名称和路径。该文件必须具有 .reg 扩展名。
/?
在命令提示符显示帮助。
注释
下表列出了 reg export 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg export 命令：

reg export "hkcu\software\microsoft\winmine" c:\data\regbackups\wmbkup.reg
reg import

将包含导出的注册表子项、项和值的文件复制到本地计算机的注册表中。

语法
reg import FileName

参数
FileName
指定将复制到本地计算机注册表中的文件的名称和路径。必须预先使用 reg export 命令创建该文件。
/?
在命令提示符显示帮助。
注释
下表列出了 reg import 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg import 命令：

reg import hkcu\software\microsoft\winmine" c:\data\regbackups\wmbkup.reg
reg load

将保存的子项和项写回到注册表的不同子项中。其目的是保存到一个临时文件中，而该文件可用于注册表项的疑难解答或编辑注册表项。

语法
reg load KeyName FileName

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
FileName
指定要加载的文件的名称和路径。必须使用带 .hiv 扩展名的 reg save 操作创建该文件。
/?
在命令提示符显示帮助。
注释
下表列出了 reg load 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg load 命令：

reg load "hkcu\software\microsoft\winminebk2" wmbkup.hiv
reg query

返回注册表的子项下的项和下一层子项的列表。

语法
reg query KeyName [{/v EntryName|/ve}] [/s]

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。如果指定远程计算机，则只可使用 HKLM 和 HKU 子目录树。
/v EntryName
返回特定的项及其值。该参数只返回直接位于指定子项的下一层中的项。将会找不到当前子项下的子项中的项。如果省略 EntryName，则将返回子项下的所有项。
/ve
指定仅返回为空值的项。
/s
将返回各个层中的所有子项和项。如果不使用该参数，将只返回下一层的子项和项。
/?
在命令提示符显示帮助。
注释
下表列出了 reg query 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg query 命令：

reg query "hklm\system\currentcontrolset\control\session manager" /v maxstacktracedepth
reg query "hkcu\software\microsoft\winmine" /s
reg restore

将保存的子项和项写回到注册表。

语法
reg restore KeyName FileName

参数
KeyName
指定子项的完全路径。Restore 操作仅在本地计算机上工作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
FileName
指定将写回到注册表中的文件的名称和路径。必须使用带 .hiv 扩展名的 reg save 操作预先创建该文件。
/?
在命令提示符显示帮助。
注释
该操作用于覆盖已编辑的注册表项。编辑注册表项之前，请使用 reg save 操作保存父亲子项。如果编辑失败，则可以使用本操作恢复子项。
下表列出了 reg restore 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg restore 命令：

reg restore "hkcu\software\microsoft\winmine" wmbkup.hiv
reg save

将指定的子项、项和注册表值的副本保存到指定文件中。

语法
reg save KeyName FileName

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
FileName
指定所创建的文件的名称和路径。如果未指定路径，则使用当前路径。
/?
在命令提示符显示帮助。
注释
下表列出了 reg save 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg save 命令：

reg save "hkcu\software\microsoft\winmine" wmbkup.hiv
reg unload

使用 reg load 操作删除已加载的部分注册表。

语法
reg unload KeyName

参数
KeyName
指定子项的完全路径。对于远程计算机，请在 \\ComputerName\PathToSubkey 中的子项路径前包含计算机名称。忽略 ComputerName 会导致默认对本地计算机进行操作。以相应的子目录树开始路径。有效子目录树为 HKLM、HKCU、HKCR、HKU 以及 HKCC。
/?
在命令提示符显示帮助。
注释
下表列出了 reg unload 操作的返回值。 值 说明
0 成功
1 失败

范例
下面的范例说明了如何使用 reg unload 命令：

reg unload "hkcu\software\microsoft\winminebk2"