RegistryValueSet

一组注册表值(仅限 Windows)。

标记属性

相对于完整性监控规则所监控的实体的属性,以下属性是标记本身的 XML 属性。

属性 描述 必需 缺省值 允许值
base 设置 RegistryValueSet 的基本项。该标记中的所有其他内容都与此项有关。基本项必须以下列注册表分支名称之一开头:
HKEY_CLASSES_ROOT(或 HKCR)、
HKEY_LOCAL_MACHINE(或 HKLM)、
HKEY_USERS(或 HKU)、
HKEY_CURRENT_CONFIG(或 HKCC)
N/A 解析为语法上有效的注册表项的字符串值

实体集属性

以下为可由完整性监控规则监控的实体的属性:

  • Size
  • Type
  • Sha1
  • Sha256
  • Md5

速记属性

"Key" 的含义

注册表值是存储在注册表项下的名称/值对。存储注册表值的项可能会存储在其他项下,与文件系统中的文件和目录非常相似。就该语言而言,某值的“项路径”可理解为相当于文件的路径。例如,客户端的 InstallationFolder 值的“项路径”为:

HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\趋势科技服务器深度安全防护系统 Agent\InstallationFolder

RegistryValueSet 的包含和排除 "key" 值与项路径匹配。这是一种层次结构模式,其中由 "/" 分隔的模式部分与由 "\" 分隔的项路径部分相匹配

缺省值

每个注册表项都具有未命名值或缺省值。

可通过在特征码中使用尾随的 "/" 明确为包含和排除指定此值。例如,"**/" 将匹配所有下级未命名值,"*Agent/**/" 将匹配与 "*Agent" 匹配的项下的所有未命名值。

注册表值名称可包含任意可打印字符,包括引号、反斜线和 "@" 符号等。

客户端将实体项名称中的反斜线作为转义符,但仅转义反斜线本身。这样,客户端即可区分包含反斜线的值名称和作为注册表路径一部分出现的反斜线之间的差异。这表示,以反斜线字符结尾的值名称将与旨在匹配缺省或未命名值的规则相匹配。

有关示例注册表值名称和生成的实体项,请参阅下表。

转义格式 示例
Hello Hello HKLM\Software\Sample\Hello
"Quotes" "Quotes" HKLM\Software\Sample\"Quotes"
back\slash back\\slash HKLM\Software\Sample\back\\slash
trailing\ trailing\\ HKLM\Software\Sample\trailing\\
HKLM\Software\Sample\
@ @ HKLM\Software\Sample\@

子元素

  • Include
  • Exclude

有关包括和排除及其允许属性和子元素的一般描述,请参阅完整性监控规则语言