Appearance
Skip to content
WINREG
WINREG 是 Microsoft Windows Remote Registry Service 的 DCE/RPC 协议接口,用于让 CIFS 主机通过网络访问 Windows 注册表。这个页面适合在抓包中看到 winreg、\PIPE\winreg、IPC$ 或远程注册表访问时,快速判断它的协议依赖、过滤方式和常见函数名称。
易混点:WINREG 不是普通文件共享流量本身,而是基于 DCE/RPC 的远程注册表服务;它常经由 SMB/CIFS 的 IPC$ 命名管道访问,也可能通过动态分配的 TCP 端口访问。原页说明 dissector “部分可用但尚不完整”,这一状态属于历史信息,当前支持情况应以现行 Wireshark 版本为准。
历史边界
此协议最早出现在 Windows NT4 中,用于通过网络访问注册表。Wireshark 的 WINREG dissector 由 IDL 文件描述,并由 Pidl 编译器自动生成。
协议依赖与访问路径
| 项目 | 说明 |
|---|---|
| 下层协议 | DCE/RPC。 |
| 常见访问路径 | IPC$ 上的 \PIPE\winreg 命名管道。 |
| 其他访问方式 | 可通过动态分配的 TCP 端口访问。 |
| 依赖服务 | 使用 TCP 作为传输访问时,需要 EPM Endpoint Mapper 服务支持。 |
Wireshark 使用线索
| 任务 | 说明 |
|---|---|
| 查看 WINREG 流量 | 使用显示过滤器 winreg。 |
| 捕获过滤 | 捕获时无法直接按 WINREG 协议过滤;通常需要先按主机、端口、SMB/DCE-RPC 相关条件缩小范围,再用显示过滤器分析。 |
| 首选项 | 原页记录没有特定于 WINREG 协议的 preference setting。 |
| 示例流量 | 原页未提供实际示例捕获文件,仅保留了占位说明。 |
text
winreg协议函数导航
| 类别 | 函数 |
|---|---|
| 打开根键 | winreg_OpenHKCR、winreg_OpenHKCU、winreg_OpenHKLM、winreg_OpenHKPD、winreg_OpenHKU、winreg_OpenHKCC、winreg_OpenHKDD、winreg_OpenHKPT、winreg_OpenHKPN |
| 键操作 | winreg_OpenKey、winreg_CloseKey、winreg_CreateKey、winreg_DeleteKey、winreg_EnumKey、winreg_QueryInfoKey、winreg_FlushKey |
| 值操作 | winreg_QueryValue、winreg_SetValue、winreg_DeleteValue、winreg_EnumValue、winreg_QueryMultipleValues、winreg_QueryMultipleValues2 |
| 安全与加载 | winreg_GetKeySecurity、winreg_SetKeySecurity、winreg_LoadKey、winreg_UnLoadKey、winreg_SaveKey、winreg_SaveKeyEx、winreg_RestoreKey、winreg_ReplaceKey |
| 通知与系统 | winreg_NotifyChangeKeyValue、winreg_InitiateSystemShutdown、winreg_InitiateSystemShutdownEx、winreg_AbortSystemShutdown、winreg_GetVersion |
外部资料入口
| 资料 | 说明 |
|---|---|
| Samba WINREG IDL 定义 | 原页给出 Samba 源码库中的 winreg.idl 作为 WINREG 接口定义参考。 |
| Wireshark 显示过滤器参考 | WINREG 显示过滤器字段完整列表应在当前显示过滤器参考中查询。 |
导入自 https://wiki.wireshark.org/WINREG,时间为 2020-08-11 23:27:29 UTC
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- DCE/RPCDCE/RPC · 全量归档
- EPMEPM · 全量归档
- PidlPidl · 全量归档
- SampleCapturesSampleCaptures · 入门与使用
- TCPTCP · 协议参考