[已解决]如何读取Runonce下随机生成的值到txt然后读取txt删除C盘随机生成的同名文...

令狐大虾

大伙应该都知道这是天空驱动部署后在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下生成一个随机值里面加载VBS并且在C盘生成一个和这个值同名的文件夹。可以通过注册表屏蔽，但是我不想在PE下释放完wim后自动离线注入驱动再去C盘手动删除这个随机文件夹

3131210

通过下面代码可以读取到这个注册表值项的名称和值，你要自己写判断文件是否存在和删除的代码

Local $RegPath = 'HKEY_CURRENT_USER\SOFTWARE', $i = 1, $sVar, $sVal
While 1
        $sVar = RegEnumVal($RegPath, $i)
        If @error Then ExitLoop
        $sVal = RegRead($RegPath, $sVar)
        ConsoleWrite('EnumVal：' & $sVar & ', Val:' & $sVal & @CRLF)
        $i += 1
WEnd

haijie1223

直接删掉对应的注册表值就可以了吧，或者遍历C盘的文件夹，下面如果有vbs就删掉。

haijie1223

#include <File.au3> 
Local $DirList = _FileListToArray('c:\', '*', 2) 
For $i = 1 To $DirList[0]
        Local $FileList = _FileListToArray('c:\' & $DirList[$i], '*.vbs', 1)
        If Not @error Then DirRemove('c:\' & $DirList[$i],1)
Next

令狐大虾

haijie1223 发表于 2023-7-29 17:57

论坛最近不正常啊，谢谢

ak47gglllk

学习学习，感谢感谢。