Реестровый ключ CapabilityAccessManager
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 19.12.24 09:19
Оценка:
У кого Win 10/11, посмотрите, пожалуйста, есть ли в {HKLM|HKCU}\Software\Microsoft\Windows\CurrentVersion подключ CapabilityAccessManager, и напишите, какая у вас версия (10.x.y.z).

Пытался найти способ определить по дистрибутиву, какие ключи в Software гарантированно создаются при установке, а каких может не быть, но не преуспел.
Re: Реестровый ключ CapabilityAccessManager
От: Stanislaw K СССР  
Дата: 20.12.24 07:26
Оценка: 14 (1) +1
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>У кого Win 10/11, посмотрите, пожалуйста, есть ли в {HKLM|HKCU}\Software\Microsoft\Windows\CurrentVersion подключ CapabilityAccessManager, и напишите, какая у вас версия (10.x.y.z).

Version 10.0.19045.5247



ЕМ>Пытался найти способ определить по дистрибутиву, какие ключи в Software гарантированно создаются при установке, а каких может не быть, но не преуспел.


А какая цель? 
Все проблемы от жадности и глупости
Re[2]: Реестровый ключ CapabilityAccessManager
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 20.12.24 08:45
Оценка:
Здравствуйте, Stanislaw K, Вы писали:

SK>А какая цель?

Понять, имеет ли смысл вешать на него уведомления (RegNotifyChangeKeyValue), или тупо поллить нужные мне ключи более низкого уровня в ожидании изменения значений.
Re: Реестровый ключ CapabilityAccessManager
От: akasoft Россия  
Дата: 20.12.24 10:15
Оценка: 14 (1) :)
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>У кого Win 10/11, посмотрите, пожалуйста, есть ли в {HKLM|HKCU}\Software\Microsoft\Windows\CurrentVersion подключ CapabilityAccessManager, и напишите, какая у вас версия (10.x.y.z).
1) HKLM — есть, HKCU — есть. 10.0.19043.1526
2) HKLM — есть, HKCU — есть. 10.0.19045.3208
3) HKLM — есть, HKCU — есть. 10.0.19045.5131
4) HKLM — есть, HKCU — есть. 10.0.19045.5247
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Re[2]: батник
От: akasoft Россия  
Дата: 20.12.24 12:40
Оценка: -1 :)
Здравствуйте, akasoft, Вы писали:

Батник (check_key.bat):
@echo off
call :a
::call :a >>result_c.txt 2>&1
goto :eof

:a
ver>>result.txt
call :r HKLM\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager
call :r HKCU\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager
::call :r HKLM\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager2
goto :eof

:r
set _=-
reg query %1 /ve
if %errorlevel%==0 set _=+
echo %_%%1>>result.txt
goto :eof


Результат (result.txt)


Microsoft Windows [Version 10.0.19045.3208]
+HKLM\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager
+HKCU\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager
-HKLM\Software\Microsoft\Windows\CurrentVersion\CapabilityAccessManager2


CapabilityAccessManager2 просто чтобы показать вывод для отсутствующего ключа.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Re: Реестровый ключ CapabilityAccessManager
От: Pavel Dvorkin Россия  
Дата: 20.12.24 12:58
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

Посмотри вот это

https://medium.com/@cyber.sundae.dfir/capability-access-manager-forensics-in-windows-11-f586ef8aac79

Впечатление такое, что с этим ключом MS экспериментирует, а значит, в дальнейшем могут произойти еще изменения.
With best regards
Pavel Dvorkin
Re[2]: Реестровый ключ CapabilityAccessManager
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 20.12.24 13:09
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Впечатление такое, что с этим ключом MS экспериментирует

О чем и речь. Судя по всему, у них уже давно забили на единообразие, и каждая группа городит, кто во что горазд.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.