送你微软原装的“系统摄像头”(4)

中华网科技 http://tech.china.com 2005-10-08 11:30:31

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　
　　实战任务3:怎么揪出注册表中的“内鬼”？

　　任务描述:一些软件在安装后在不提示用户的情况下就自动添加启动程序，更有甚者还附带木马程序！而这些可恶的行为通常是很难直观察觉的，那么怎么才能识别和揪出它们在注册表中所放置的“内鬼”呢？　　

　　战前分析:这个任务在本刊2004年第17期的《捉出注册表中的内鬼——注册表监听器》一文中有过介绍，该作者是通过许多注册表监控软件来完成的。其实用软件监视的原理就是对控制系统自启动组的注册表键值进行了监控，然后根据前后监控目标数据的变化来判断的，现在用“审核对象访问”策略完成这项任务。以安装MSN Messenger后，自动添加一个自启动项为例。

　　第一步:按同样方法，建立一个审查修改注册表中[HKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRun]键的策略。　　

　　第二步:打开事件日志查看器清空一下列表，然后安装MSN Messenger。　　

　　第三步:再次打开日志查看器，在右侧窗口中就可以找到修改自启动的事件记录(见图7)。

首页 上页 | ...1| 2 | 3 | 4 | 下页 尾页  共 4 页