XP系统重启信息存在什么地方?-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] XP系统重启信息存在什么地方? 0.00雪花

发表于: 2013-10-12 14:35 12441

[旧帖] XP系统重启信息存在什么地方? 0.00雪花

lantozhang 活跃值

活跃值

2013-10-12 14:35

12441

注册表吗?

比如修改系统设置或安装某些程序,需要重启系统
这个"重启信息"保存在什么地方? 怎么触发的?

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

分享

最新回复 (17)
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 2 楼一般情况下是注册表. 2013-10-12 15:03 0
emmaahmoh 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	emmaahmoh 3 楼我希望，你能送点kb。系统重启，一般调用shutdown.exe，在c:\windows\system32下面。至于，shutdown的一些命令，是很容易查到的你要找的应该是shutdown -r。还有其他的开关可以自己查的。不知道这样回答能不能满意。 2013-10-12 15:18 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 4 楼程序本身自己调的函数至于为什么要重启可能是某些init函数是每次启动系统才触发 2013-10-12 18:18 0
lantozhang 雪币： 86 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	lantozhang 5 楼系统需要重时有提示,可以点稍后重启动,有些程序可以检测到系统需要重启这个信息,请问这个信息存在什么地方? 如何读取? 2013-10-14 13:25 0
xin动xing动雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xin动xing动 6 楼调用系统重启的api函数，像ExitWindowsEx（）；重启信息信息应该保存在注册表或日志文件里吧 2013-10-21 21:40 0
wuyuhan 雪币： 41 活跃值： (82) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 96 粉丝 1 关注私信	wuyuhan 7 楼基本就是注册表。为什么重启的话。。例如驱动之类的东西。需要在内核启动时加载。所以需要重启。。 2013-10-23 08:24 0
bilibili 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	bilibili 8 楼开始～控制面板～系统～管理～工具 2014-5-31 23:59 0
四叶草蓝魂雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	四叶草蓝魂 9 楼在Windows2003中，我们可以通过“事件查看器”的事件日志服务查看计算机的开、关机时间。因为事件日志服务会随计算机一起启动和关闭，并在事件日志中留下记录。在这里有必要介绍两个ID号：6006和6005。在事件查看器里ID号为6006的事件表示事件日志服务已停止，如果你没有在当天的事件查看器中发现这个ID号为6006的事件，那么就表示计算机没有正常关机，可能是因为系统原因或者直接按下了计算机电源键，没有执行正常的关机操作造成的。当你启动系统的时候，事件查看器的事件日志服务就会启动，这就是ID号为6005的事件。通过这两个ID号保存的信息，我们可以轻松查看计算机开、关机记录：打开“控制面板”，双击“管理工具”，然后打开“事件查看器”，在左边的窗口中选择“系统”选项。单击鼠标右键，在弹出的快捷菜单中选择“属性”，在打开的“系统属性”窗口中选择“筛选器”选项卡，在“事件类型”下面选中“信息”复选项，并在“事件来源”列表中选择“eventlog”选项，继续设定其他条件后，单击“确定”按钮，即可看到需要的事件记录了。双击某条记录，如果描述信息为“事件服务已启动”，那就代表计算机开机或重新启动的时间，如果描述信息是“事件服务已停止”，即代表计算机的关机时间。转载自周庆东的博客 http://blog.sina.com.cn/yipinzhoudao 2014-6-4 15:25 0
hez 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	hez 10 楼可能是引导执行。注册表路径：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager 2014-6-25 23:52 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 11 楼当然是利用API了，说注册表的那是误人子弟。绕八百个圈圈，再回家？？？ 2014-6-28 18:34 0
cvrock 雪币： 1443 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 151 粉丝 0 关注私信	cvrock 12 楼如果是重启删除或者替换文件的话是保存在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations里面（MoveFileEx传递MOVEFILE_DELAY_UNTIL_REBOOT参数），下次启动时由smss.exe来做的。如果是重启后继续安装的话，肯定还在Run里面把自己设置成自启动了。 2014-6-28 21:34 0
pengpengle 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	pengpengle 13 楼管理那里看看 2014-12-5 14:25 0
lich李雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	lich李 14 楼事件查看器吧 2015-1-7 14:05 0
weishuiren 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	weishuiren 15 楼在注册表里应该可以查到，或者是调用了一个EXE文件或者是一个BAT批处理命令，你找找，肯定有的。 2015-1-9 15:31 0
creation 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	creation 16 楼 windows采用的是消息机制,当系统需要关机(重启)时会广播一个WM_QUERYENDSESSION消息,有的应用程序需要处理这个消息(比如在关机前保存数据,关闭文件等等),就会弹出确认对话框,再根据用户选择返回处理结果决定是否调用系统关机功能(关机,重启,注销等) 2015-2-12 17:47 0
lmwxy 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lmwxy 17 楼事件查看器也就是所谓的LOG日志。如果你是问为什么会弹出那个对话框，那个对话框也就是个带有重启系统的指令集！ 2015-2-12 18:49 0
ghlee 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	ghlee 18 楼如果采纳，请给我kx，我急需。你需要注册个窗口来捕获消息。重启时，系统会向Top Level的窗口发送WM_QUERYENDSESSION消息。发送消息时，系统是有一个优先级的，先向哪些程序发送，后向哪些程序发送。几乎没有哪个应用程序关心这个优先级，所以你只需要将你的这个优先级设置高一些，以便于系统先向你的窗口发送消息。这个优先级可以由SetProcessShutdownParameters来设置。 BOOL SetProcessShutdownParameters( DWORD dwLevel, // shutdown priority DWORD dwFlags // shutdown options ); dwLevel可以取的值为 0x100 ~ 0x3ff，值越大，优先级越高。 dwFlags设置成０或SHUTDOWN_NORETRY 2015-2-13 16:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

lantozhang

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//