Comments 1
RegFlushKey, начиная с 8.1 эта функция не работает, её замена недокументированная - ZwSetSystemInformation
Это не так. Flush — это запись в файл транзакции, все.
В Windows 10-11 принудительный “flush” запустить не удалось ни с одной из этих функций
NtFreezeRegistry. Или создание теневой копии, под капотом там такой же вызов.
Более подробную спецификация формата можно найти здесь.
https://github.com/msuhanov/regf/blob/master/Windows registry file format specification.md
Sign up to leave a comment.
О чём не молчит Windows. Погружение в Windows Registry Forensic. Часть вторая