现已知,注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 中保存了”运行”框中历史的运行命令,测试目的在删除上述注册表内容后,是否可以在其他注册表项中追溯到历史连接的共享
测试条件
使用 WIN10\WIN SER 2K8 虚拟机进行测试
使用regshot对下述条件中的注册表变化键值进行比对:
- 未连接共享时的注册表快照(1.hive)
- 连接共享(3个)后的注册表快照(2.hive)
上述连接的共享IP为:
| 192.168.169.116 | 未开启共享,连接失败 |
| 192.168.169.254 | 仅连接,不登陆 |
| 192.168.169.107 | 连接并登录 |