[已解决]如何读取Runonce下随机生成的值到txt然后读取txt删除C盘随机生成的同名文...
本帖最后由 令狐大虾 于 2023-7-30 00:56 编辑大伙应该都知道这是天空驱动部署后在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下生成一个随机值里面加载VBS并且在C盘生成一个和这个值同名的文件夹。可以通过注册表屏蔽,但是我不想在PE下释放完wim后自动离线注入驱动再去C盘手动删除这个随机文件夹
通过下面代码可以读取到这个注册表值项的名称和值,你要自己写判断文件是否存在和删除的代码
Local $RegPath = 'HKEY_CURRENT_USER\SOFTWARE', $i = 1, $sVar, $sVal
While 1
$sVar = RegEnumVal($RegPath, $i)
If @error Then ExitLoop
$sVal = RegRead($RegPath, $sVar)
ConsoleWrite('EnumVal:' & $sVar & ', Val:' & $sVal & @CRLF)
$i += 1
WEnd
直接删掉对应的注册表值就可以了吧,或者遍历C盘的文件夹,下面如果有vbs就删掉。
#include <File.au3>
Local $DirList = _FileListToArray('c:\', '*', 2)
For $i = 1 To $DirList
Local $FileList = _FileListToArray('c:\' & $DirList[$i], '*.vbs', 1)
If Not @error Then DirRemove('c:\' & $DirList[$i],1)
Next haijie1223 发表于 2023-7-29 17:57
论坛最近不正常啊,谢谢 学习学习,感谢感谢。
页:
[1]