|
<br>
<br>
<br>
我们经常会遇到一些情况,就是木马可能会修改了我们的注册表,然后偷偷进来干坏事,但是我们往往没法知道究竟是不是被改过。对于特别关键的注册表项目,比如杀毒软件本身的一些配置,当无法确认注册表由于什么情况被更改的时候,其实可以通过确认开启系统审核来确认。<br>
下面的内容原始出自趋势科技的网络安全知识库,在其基础上,我做了一些通俗解释,算是抛砖引玉吧。<br>
1. 点选”开始”-“运行”,输入secpol.msc <br>
2. 点选Local-Policies(本地策略), Audit Policy(审核策略)和Audit object access(审核对象访问) <br>
3. 勾选Success(成功)和Failure(失败),点确定后关闭 <br>
——上面3步是为了允许系统记录注册表操作<br>
4. 点选”开始”-“运行”,输入regedit <br>
5. 进入相关的键值,比如:<br>
<br>
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc. <br>
——就是你要监督的注册表内容<br>
6. 鼠标右键点选Misc.,选择Permissions(中文是许可)<br>
<br>
<br>
点选Advanced(高级) <br>
7. <br>
<br>
<br>
选择Auditing-Add(审核-添加),输入需要auditing(审核)的帐号后,点选Check Names,(检查名称)并且点选OK<br>
8. <br>
——选择所有人,就是检查全部帐号的操作。<br>
选择需要Auditing(审核)的动作<br>
<br>
|
狗仔卡
发表于 2006-1-2 10:55:54
收藏
分享
淘帖
支持
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡