首页 新闻 论坛 群组 Blog 文档 下载 读书 Tag 网摘 搜索 .NET Java 游戏 视频 人才 外包 培训 数据库 书店 程序员
中国软件网
欢迎您:游客 | 登录 注册 帮助
    • 杀毒软件或360之类的注册表监控软件一般监视哪些位置呢? [已结贴,结贴人:cVinson]
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 10:07:46 楼主

    感觉360之类的注册表并不会监视这个注册表,一个是监视哪些位置呢?

    本人想用Hook做一个注册表监视的小工具,挂钩几个ZwCreateKey等几个API
    但感觉全部记录下来没有意义(当然这样的做法肯定会漏过很多的,暂时不考虑这个问题)
    因此想了解以下一般的杀毒软件和360之类提供的注册表监控软件到底监视哪些具体的位置呢?

    谢谢%…
    50  修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 10:11:101楼 得分:0
    google
    程序自启动的11个场所
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 10:26:572楼 得分:50
    360监视的注册表路径
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

    其实360可以用文件配置监视的位置
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 10:36:183楼 得分:0
    用一下Autoruns就知道了。
    http://technet.microsoft.com/zh-cn/sysinternals/bb963902(en-us).aspx
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 11:23:294楼 得分:0
    你可以装上杀毒软件,到注册表监控那项去查下看的。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 17:20:125楼 得分:0
    看看卡巴的设置就知道了
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • gyk120
    • 等级:
    发表于:2008-06-20 23:19:166楼 得分:0
    自己下载一个regmon
    或者上网找找
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • gyk120
    • 等级:
    发表于:2008-06-20 23:37:457楼 得分:0
    或者用process explorer,这个东西的功能比较强大
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-20 23:48:178楼 得分:0
    引用 1 楼 ouyh12345 的回复:
    google
    程序自启动的11个场所
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-24 16:31:579楼 得分:0
    好像我用google、baidu尝试了搜索“程序自启动的11个场所”并没有我想要的东西…
    是我搜索的有问题还是你的关键字错了?

    引用 1 楼 ouyh12345 的回复:
    google
    程序自启动的11个场所
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-24 16:33:3710楼 得分:0
    非常感谢你提供的这么具体的信息…
    请问你是如何得到这些信息的呢?

    引用 2 楼 zzz3265 的回复:
    360监视的注册表路径
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\…
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-28 14:29:1311楼 得分:0
    引用 10 楼 cVinson 的回复:
    非常感谢你提供的这么具体的信息…
    请问你是如何得到这些信息的呢?

    引用 2 楼 zzz3265 的回复:
    360监视的注册表路径
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_CURRENT_USER\SOFTWA…


    我分析过360的监控, 配置文件解密后就是这些
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-06-29 00:48:4412楼 得分:0
    楼上的牛
    叫MJ0011来,呵呵
    修改 删除 举报 引用 回复
    网站简介广告服务网站地图帮助联系方式诚聘英才English 问题报告
    北京创新乐知广告有限公司 版权所有 京 ICP 证 070598 号
    世纪乐知(北京)网络技术有限公司 提供技术支持
    Copyright © 2000-2008, CSDN.NET, All Rights Reserved