verwenden Sie PowerShell, um die Suche nach einer Zeichenkette in der registry Schlüssel und Werte

Ich möchte mit der PowerShell zu finden, die alle registry-Schlüssel und Werte in einer bestimmten Struktur, die eine Zeichenfolge enthalten foo - möglicherweise eingebettet in einen längeren string. Das finden der Tasten ist nicht schwer:

get-childitem -path hkcu:\ -recurse -ErrorAction SilentlyContinue | Where-Object {$_.Name -like "*foo*"}

Das problem ist, dass ich weiß nicht, der beste Weg, um die Werte gegeben, ich weiß nicht, die Namen der Eigenschaften vor der Zeit. Ich versuchte dies:

get-childitem -path hkcu:\ -recurse -erroraction silentlycontinue | get-itemproperty | where {$_.'(default)' -like "*foo*"}

bekam aber diese Fehlermeldung:

get-itemproperty : Specified cast is not valid.
At line:1 char:69
+ ... u:\ -recurse -erroraction silentlycontinue | get-itemproperty | where ...
+                                                  ~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Get-ItemProperty], InvalidCastException
    + FullyQualifiedErrorId : System.InvalidCastException,Microsoft.PowerShell.Commands.GetItemPropertyCommand

selbst wenn ich Hinzugefügt -ErrorAction SilentlyContinue zu den get-itemproperty.

Darüber hinaus, dass nur noch die Werte der (default) Tasten.

Außerdem ist es möglich, suchen alle Bienenstöcke in einem einzigen Befehl?

-ErrorAction SilentlyContinue? Werte aufgelistet werden können durch aufrufen von Get-ItemProperty auf eine Taste.
danke für den Vorschlag über -ErrorAction SilentlyContinue. Ich hatte aufgegeben, weil er es unterlassen hatte, zu unterdrücken Fehler mit einer früheren Befehl habe ich versucht, aber es funktioniert mit diesem, so bearbeitete ich meine Frage entsprechend. Jedoch bekomme ich eine Fehlermeldung get-itemproperty : Specified cast is not valid wenn ich diesen Befehl ausführen: get-childitem -path hkcu:\ -recurse -erroraction silentlycontinue | get-itemproperty | where {$_ -like "*foo"} . Was müsste ich anders machen?
Sie müssen den Zugang zu Eigentum, wo scriptblock. where {$_.PSParentPath -like "*foo"} zum Beispiel

InformationsquelleAutor Alan | 2017-03-22

  1. 3

    Jede Taste verfügt über eine GetValueNames(), GetValueKind(), und GetValue() Methode, lassen Sie Sie auflisten von untergeordneten Werte. Sie können auch die GetSubKeyNames() statt je Get-ChildItem -Recurse auflisten von Schlüsseln.

    Zur Beantwortung Ihrer Frage über die Suche mehrere Bienenstöcke: wenn Sie beginnen, mit Get-ChildItem Registry::\ können Sie sehen, alle Strukturen und starten Sie Ihre Suche dort. Sie werden wahrscheinlich wollen, um stick mit HKLM und HKCU (vielleicht HKU, wenn es andere user Bienenstöcke geladen).

    Hier ist ein Beispiel für die Implementierung, den ich eine Weile zurück auf die TechNet gallery:

    function Search-Registry { 
<# 
.SYNOPSIS 
Searches registry key names, value names, and value data (limited). 

.DESCRIPTION 
This function can search registry key names, value names, and value data (in a limited fashion). It outputs custom objects that contain the key and the first match type (KeyName, ValueName, or ValueData). 

.EXAMPLE 
Search-Registry -Path HKLM:\SYSTEM\CurrentControlSet\Services\* -SearchRegex "svchost" -ValueData 

.EXAMPLE 
Search-Registry -Path HKLM:\SOFTWARE\Microsoft -Recurse -ValueNameRegex "ValueName1|ValueName2" -ValueDataRegex "ValueData" -KeyNameRegex "KeyNameToFind1|KeyNameToFind2" 

#> 
    [CmdletBinding()] 
    param( 
        [Parameter(Mandatory, Position=0, ValueFromPipelineByPropertyName)] 
        [Alias("PsPath")] 
        # Registry path to search 
        [string[]] $Path, 
        # Specifies whether or not all subkeys should also be searched 
        [switch] $Recurse, 
        [Parameter(ParameterSetName="SingleSearchString", Mandatory)] 
        # A regular expression that will be checked against key names, value names, and value data (depending on the specified switches) 
        [string] $SearchRegex, 
        [Parameter(ParameterSetName="SingleSearchString")] 
        # When the -SearchRegex parameter is used, this switch means that key names will be tested (if none of the three switches are used, keys will be tested) 
        [switch] $KeyName, 
        [Parameter(ParameterSetName="SingleSearchString")] 
        # When the -SearchRegex parameter is used, this switch means that the value names will be tested (if none of the three switches are used, value names will be tested) 
        [switch] $ValueName, 
        [Parameter(ParameterSetName="SingleSearchString")] 
        # When the -SearchRegex parameter is used, this switch means that the value data will be tested (if none of the three switches are used, value data will be tested) 
        [switch] $ValueData, 
        [Parameter(ParameterSetName="MultipleSearchStrings")] 
        # Specifies a regex that will be checked against key names only 
        [string] $KeyNameRegex, 
        [Parameter(ParameterSetName="MultipleSearchStrings")] 
        # Specifies a regex that will be checked against value names only 
        [string] $ValueNameRegex, 
        [Parameter(ParameterSetName="MultipleSearchStrings")] 
        # Specifies a regex that will be checked against value data only 
        [string] $ValueDataRegex 
    ) 

    begin { 
        switch ($PSCmdlet.ParameterSetName) { 
            SingleSearchString { 
                $NoSwitchesSpecified = -not ($PSBoundParameters.ContainsKey("KeyName") -or $PSBoundParameters.ContainsKey("ValueName") -or $PSBoundParameters.ContainsKey("ValueData")) 
                if ($KeyName -or $NoSwitchesSpecified) { $KeyNameRegex = $SearchRegex } 
                if ($ValueName -or $NoSwitchesSpecified) { $ValueNameRegex = $SearchRegex } 
                if ($ValueData -or $NoSwitchesSpecified) { $ValueDataRegex = $SearchRegex } 
            } 
            MultipleSearchStrings { 
                # No extra work needed 
            } 
        } 
    } 

    process { 
        foreach ($CurrentPath in $Path) { 
            Get-ChildItem $CurrentPath -Recurse:$Recurse |  
                ForEach-Object { 
                    $Key = $_ 

                    if ($KeyNameRegex) {  
                        Write-Verbose ("{0}: Checking KeyNamesRegex" -f $Key.Name)  

                        if ($Key.PSChildName -match $KeyNameRegex) {  
                            Write-Verbose "  -> Match found!" 
                            return [PSCustomObject] @{ 
                                Key = $Key 
                                Reason = "KeyName" 
                            } 
                        }  
                    } 

                    if ($ValueNameRegex) {  
                        Write-Verbose ("{0}: Checking ValueNamesRegex" -f $Key.Name) 

                        if ($Key.GetValueNames() -match $ValueNameRegex) {  
                            Write-Verbose "  -> Match found!" 
                            return [PSCustomObject] @{ 
                                Key = $Key 
                                Reason = "ValueName" 
                            } 
                        }  
                    } 

                    if ($ValueDataRegex) {  
                        Write-Verbose ("{0}: Checking ValueDataRegex" -f $Key.Name) 

                        if (($Key.GetValueNames() | % { $Key.GetValue($_) }) -match $ValueDataRegex) {  
                            Write-Verbose "  -> Match!" 
                            return [PSCustomObject] @{ 
                                Key = $Key 
                                Reason = "ValueData" 
                            } 
                        } 
                    } 
                } 
        } 
    } 
}

    Habe ich noch nicht betrachtete ihn eine Weile, und ich kann definitiv sehen, einige der Teile, die geändert werden sollten, um es besser zu machen, aber es sollte funktionieren wie ein Ausgangspunkt für Sie.

    Das sieht nützlich, aber ich bin mir nicht sicher, ich verwende es korrekt. Ich habe versucht verschiedene versuche: search-registry.ps1 -Path HKCU:\ -recurse -SearchRegex "DispFileName" ; search-registry.ps1 -Path HKCU:\ -recurse -KeyNameRegex "DispFileName" ; und sogar einer absichtlich schlechten Ruf: search-registry.ps1 -bad ; aber ich habe nie erhalten keine Ausgabe. Was mache ich falsch?
    Dieses geschrieben wird, als eine Funktion, ein Skript. Da es scheint, du hast es als Datei zu speichern, können Sie entweder den Punkt-Quelle, z.B. . .\search-registry.ps1 sind, dann rufen Sie Search-Registry als Befehl, oder Sie können loszuwerden, die ersten und letzten Zeilen der Datei und nennen Sie es, wie Sie bereits waren (in der ersten Zeile wäre function Search-Registry {, und die Letzte Zeile wäre })
    Dies funktioniert hervorragend! Aber ich sehe immer noch Fehler, wenn ich die traverse in zwei Einträgen in der registry. Ich drehte mich auf dem -verbose flag und sah, dass Sie passiert, wenn die überprüfung ValueDataRegex für HKEY_CURRENT_USER\System\CurrentControlSet\Control\DeviceContainers\{some_guid}. Gehen, um die registry-Schlüssel in der Registry-Editor, und klicken Sie auf "Eigenschaften" gab den gleichen Fehler, es ist also nicht falsch. Ich möchte jedoch, Sie zu unterdrücken. Ich denke, putting einen try/catch-block, um etwas in der if ($ValueDataRegex) block im script würden helfen, aber ich bin mir nicht sicher wo es hin soll.
    Tatsächlich, dieses mal lief ich c:\batch\search-registry.ps1 -Path HKCU:\ -recurse -SearchRegex <search_string> -ErrorAction SilentlyContinue haben und nicht sehen, keine Fehlermeldungen, so dass ich bin in Ordnung.
    Ich fragte eine neue Frage, falls du daran interessiert bist, Sie zu beantworten: stackoverflow.com/questions/43239949/...

    InformationsquelleAutor Rohn Edwards

  2. 1

    Dies ist ein Ersatz für get-itemproperty, die dumps aus der registry auf einfache Weise. Es ist einfach zu bedienen mit where-object. Sie können auch pipe an set-itemproperty.

    function get-itemproperty2 {
  # get-childitem skips top level key, use get-item for that
  # set-alias gp2 get-itemproperty2
  param([parameter(ValueFromPipeline)]$key)
  process {
    $key.getvaluenames() | foreach-object {
      $value = $_
      [pscustomobject] @{
        Path = $Key -replace 'HKEY_CURRENT_USER',
          'HKCU:' -replace 'HKEY_LOCAL_MACHINE','HKLM:'
        Name = $Value
        Value = $Key.GetValue($Value)
        Type = $Key.GetValueKind($Value)
      }
    }
  }
}


ls -r hkcu:\key1 | get-itemproperty2 | where name -eq name

Path            Name Value  Type
----            ---- -----  ----
HKCU:\key1\key2 name     1 DWord


ls -r hkcu:\key1 | get-itemproperty2 | where name -eq name | set-itemproperty -value 0
ls -r hkcu:\key1 | get-itemproperty2 | where name -eq name

Path            Name Value  Type
----            ---- -----  ----
HKCU:\key1\key2 name     0 DWord


# pipe 2 commands to one
$(get-item hkcu:\key1; ls -r hkcu:\key1 ) | get-itemproperty2

Path                 Name  Value               Type
----                 ----  -----               ----
HKCU:\key1           multi {hi, there}  MultiString
HKCU:\key1\key2      name  0                  DWord
HKCU:\key1\key2      name2 0                 String
HKCU:\key1\key2\key3 name3 {18, 52, 80}      Binary

    InformationsquelleAutor js2010

  3. 0

    Hier ist eine super-schnelle Umsetzung einer reg-Suche per Powershell in Fall müssen Sie Scannen einen großen Teil der registry:
    https://stackoverflow.com/a/55853204

    InformationsquelleAutor Peter

Schreibe einen Kommentar