查询注册表

攻击者可以与 Windows 注册表交互以收集有关系统，配置和已安装软件的信息。

注册表包含有关操作系统，配置，软件和安全性的大量信息。 一些信息可能有助于攻击者在网络中的进一步行动。

缓解

识别可能用于获取注册表信息的不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单工具（如 AppLocker、或软件限制策略)审计和/或拦截它们。

检测

由于攻击者了解环境，系统和网络披露技术通常发生在整个操作过程中。
不应孤立地看待数据和事件，而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分，例如横向移动。
可以使用 Reg 等实用程序通过命令行与 Windows 注册表的交互，也可以通过恶意软件来交互，这些恶意软件可能通过 API 与注册表进行交互。可以通过监控进程和命令行来检测命令行调用的用于查询注册表的实用程序。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。也可以通过 Windows 系统管理工具获取信息，如 Windows 管理规范 和 PowerShell 。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn