[No000017F]如何监控注册表的修改
今天我们将向您展示如何使用我们最喜欢的工具之一Proc Mon,在您更改PC上的组策略设置时查看编辑的注册表项。
使用Proc Mon查看组策略对象修改的注册表设置
您要做的第一件事就是从Sys Internals网站获取Proc Mon的副本。
然后,您需要解压缩该文件夹并运行Procmon.exe文件。
当Proc Mon打开时,您需要添加如下条件:
进程名称是mmc.exe然后包含
然后单击"添加"按钮。
要仅获取更改的注册表项,我们需要添加另一个:
操作是RegSetValue然后包括
然后再次单击"添加"按钮。
添加完两个规则后,您可以继续并单击"确定"。
现在转到打开要编辑的组策略设置。
在实际更改设置之前,请切换回Proc Mon并清除日志。
然后转到并更改GPO并单击"应用"。
如果切换到Proc Mon,您将看到您有一个注册表项。右键单击它,然后从上下文菜单中选择Jump To ...选项。
这将启动Regedit并带您到修改后的确切密钥
这就是它们的全部。
How to See Which Registry Settings a Group Policy Object Modifies
Today we are going to show you how to use one of our favorite tools, Proc Mon, to see which registry keys are edited when you change a Group Policy setting on your PC.
Using Proc Mon to See Which Registry Settings a Group Policy Object Modifies
The first thing you will want to do is go and get yourself a copy of Proc Mon from the Sys Internals website.
Then you will need to extract the folder and run the Procmon.exe file.
When Proc Mon opens, you will need to add a condition as follows:
Process Name is mmc.exe then Include
Then click the add button.
To get only the registry keys that are changed, we need add another one:
Operation is RegSetValue then Include
Then again click the add button.
Once the two rules have been added, you can go ahead and click ok.
Now go and open the Group Policy setting that you wish to edit.
Before you actually change the setting, switch back over to Proc Mon and clear the log.
Then go and change the GPO and click apply.
If you switch over to Proc Mon you will see that you have a registry key(s) there. Right-click on it and select the Jump To… option from the context menu.
That will fire up Regedit and take you to the exact key which was modified
That's all there is to it guys.
转载于:https://www.cnblogs.com/Chary/p/No000017F.html
[No000017F]如何监控注册表的修改相关推荐
- Win64 驱动内核编程-15.回调监控注册表
回调监控注册表 在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK.不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 ...
- C++监控注册表信息
首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来 ...
- IE主页注册表项修改
IE主页注册表项修改 一.对IE浏览器产生破坏的网页病毒: (一).默认主页被修改 1.破坏特性:默认主页被自动改为某网站的网址. 2.表现形式:浏览器的默认主页被自动设为如********.COM的 ...
- windows 通过修改注册表来修改主机名
XP更改计算机名 2012-05-09 06:12:53 分类: WINDOWS 在运行里输入:regedit 打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont ...
- 命令编写注册表文件修改注册表项
命令编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的 ...
- 修改注册表来修改文件关联
[注册表]文件关联篇 2009-04-23 11:15 如何通过修改注册表来修改文件关联 喜欢使用Windows右键快捷菜单的朋友可能知道,当你选择了一个文件(或者是文件夹或是系统图标)再单击鼠标右键 ...
- 编写注册表文件修改注册表项
编写注册表文件修改注册表项 1.何谓REG文件 REG文件实际上是一种注册表脚本文件,双击REG文件即可将其中的数据导入到注册表中.利用REG文件我们可以直接对注册表进行任何修改操作,它对注册表的操作 ...
- Windows 2000/XP 注册表终极修改(转载)
Microsoft Windows 2000/XP 是一个强大的操作系统,为我们提供了以往Windows 9x从未有过的安全性能,可是你是否感觉某些地方的设置还不够呢,这里就对Windows 2000 ...
- CmRegisterCallback监控注册表框架
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了 ...
最新文章
- 换发型app任性扣费?苹果app订阅任性扣费?怎么办?刚成功
- CSS选择器的声明与嵌套
- linux怎么使用cal命令,Linux cal命令
- Java数组和Arrays类
- linux里用c实现cat_【案例】用T云做了什么能让企业在工业自动化控制系统行业里实现逆向增长?...
- 计算机电缆对绞节距,DJYPVP阻燃计算机电缆32/0.2芯数直径
- 通过掌握谷歌成为更好的程序员
- 针对非业务的通用框架开发,如何做需求分析和设计?
- Vue使用Mint-ui的Popup, Picker组件报错问题
- android下md5加密
- 智能优化算法:世界杯优化算法-附代码
- 微信小程序云开发教程-微信小程序的API入门-常用API
- 【python基础学习必备小手册(适合新手)详细教程】
- codeproject的文章【一】
- Flutter:视频全屏切换
- 汇编程序——根据开关状态在7段数码管上显示数字或者字符
- win10计算机管理中没有本地用户和组怎么办?
- WPS如何并排放置两张图片_动图演示如何制作XRD叠图与PDF卡线图
- L3级自动驾驶接管实验测试平台及其应用研究
- 奥特曼宇宙英雄服务器维修,奥特曼宇宙英雄1.1.7版本