监视注册表变化 - Registry Auditing

tiandyoin

已于 2023-01-05 23:18:38 修改

阅读量3.2k

点赞数 1

文章标签： windows 注册表策略审核注册表 Auditing

于 2023-01-05 23:14:48 首次发布

本文链接：https://blog.csdn.net/tiandyoin/article/details/128571779

版权

1. 在管理员模式下运行CMD，输入以下命令

auditpol /set /subcategory:"{0CCE921E-69AE-11D9-BED3-505054503030}" /success:enable

:: 或 auditpol /set /subcategory:"Registry" /success:enable

:: 列出所有子类别
:: auditpol /list /subcategory:* /r

2. 找到我们想要监控的键值(项、值或数据)，右键选择该键值，权限 - 高级 - 切换到审核选项卡，添加一个用户或者一个组，设置权限完全控制。

3. 完成后，我们就可以在事件查看器 - Windows日志 - 安全中，查看该注册表项的变化。

4.先试试修改默认值为 1，然后按3步骤在安全窗口的右边窗口"查找" - 输入 "修改"，定位到注册表修改事件一项。

5.可以在四个主要注册表项设置审核用户，安装程序后，导出所有审核日志，在日志中查找所有修改项。这样就可以查看安装软件时修改的注册表项了。

6.另外推荐一个实用工具：RegFromApp

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tiandyoin

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
监视注册表变化 - Registry Auditing

Registry Auditing监视注册表变化审核策略
复制链接

扫一扫

如何才能监控查看出注册表更改情况，本地组策略设置更改了哪些注册表对应值？

玩人工智能的辣条哥的博客

03-02

3649

Win11 专业版HP480G7。

kafka-schema-registry-client-6.2.2.jar

04-25

mvn install:install-file -DgroupId=io.confluent -DartifactId=kafka-schema-registry-client -Dversion=6.2.2 -Dfile=/root/kafka-schema-registry-client-6.2.2.jar -Dpackaging=jar 官网下载地址 packages....

参与评论您还未登录，请先登录后发表或查看评论

11-03

05-30

357

这个库的32位版本可以从微软官网上免费下载，而且有相关商业开发的限制，具体可以看微软的说明，64位版的，只能付费得到。优点：平台兼容性好，98以后的系统基本都适用，与RegSaveKey、RegRestoreKey进行关联使用，实现注册表指定项的恢复。此种方法的缺点：注册表事件的跟踪直到windows server 2008和vista版本才具有，在其他低版本中，这种方式不起作用。此种方法的缺点：可以直接获取的注册表改变信息少之又少，如果是要获取比如修改项、修改时间、修改方式等，要通过其他方式来获取。

ProcessMonitor实现进程文件和注册表监控

weixin_38526093的博客

05-14

6838

对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程，那么就需要指定PID了。

【window系统】日志与注册表

sunriver2000的专栏

02-02

4395

环境系统：win10x64 描述 windows系统发生故障，无法正常启动时，一般需要从故障机中提取信息，用来分析或编辑以恢复系统正常运行。这些信息包括：windows系统日志、注册表信息等等。下文简要介绍如何从故障机中提取此类信息。 windows系统日志 windows系统日志存放位置，以下evtx文件可以用windows事件查看器（eventvwr.msc）分析。 %SystemRoot%\System32\Winevt\Logs\Application.evtx %Sys

注册表处理之注册表监控

Huaerge的专栏

05-30

3471

需求： 监控指定的注册表项包括其子项和键项的变化，当变化发生时根据策略进行处理（添加/删除/修改子项，添加/删除/修改键值） 思路： 1）程序启动，存储需要监控的注册表项包括其子项和键项的值 2）监控注册表，当变化发生时再次去取注册表项包括其子项和键项的值，将前后两次进行比较，找出不同，根据用户的策略进行处理 知识点： 监控注册表

C++监控注册表信息

MusicMan

02-28

1908

首先，监控注册表信息的作用在于防止他人篡改数据，因为多数木马程序都是通过修改注册表信息来对电脑进行攻击，在WindowsAPI中，系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。 RegNotifyChangeKeyValue ( __in HKEY hKey, __in BOOL bWatchSubtree, __i...

micrometer-registry-prometheus-1.8.2-API文档-中文版.zip

03-30

赠送jar包：micrometer-registry-prometheus-1.8.2.jar 赠送原API文档：micrometer-registry-prometheus-1.8.2-javadoc.jar 赠送源代码：micrometer-registry-prometheus-1.8.2-sources.jar 包含翻译后的API文档...

vc-extension-registry:注册表

05-31

可验证凭据状态计划注册表该存储库包含可验证凭证状态方案注册表，它是所有已知状态方案及其当前成熟度的列表。我们鼓励符合的。虽然我们更喜欢在 GitHub 存储库中创建问题和拉取请求，但讨论也经常发生在邮件列表...

实现注册表监控的软件

08-21

压缩包打包了目前常用的注册表监控类软件，如Regmon_fix7.03、regsnap7.0、regshot（包含源代码），能实时监控任意进程对注册表的任意操作，也能制作注册表的多次快照实现对比，能方便大家进行程序调试或软件行为跟踪、分析。个人感觉前两种好用一些，希望能对大家有所帮助。

注册表监视器注册表监视器

06-02

监视注册表的好工具注册表监视注册表监视器器

注册表检测可以检测你的注册表是否被黑客或某些程序更改过

05-14

注册表检测可以检测你的注册表是否被黑客或某些程序更改过 注册表检测可以检测你的注册表是否被黑客或某些程序更改过

ld-cryptosuite-registry:注册表

05-31

链接数据加密套件注册表 该存储库包含关联数据加密套件注册表，它是所有已知关联数据加密套件及其当前成熟度的列表。我们鼓励符合的。虽然我们更喜欢在 GitHub 存储库中创建问题和拉取请求，但讨论也经常发生在...

docker-registry的web搭建.txt

02-17

该文档为docker-registry的搭建步骤，由于原生的docker-registry没有提供web界面，需要安装docker-registry-web。本文档包含了所有安装步骤。原创

驱动开发：内核注册表增删改查

Gefangenes的博客

07-11

142

注册表是Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息，注册表是一个巨大的树形结构，无论在应用层还是内核层操作注册表都有独立的API函数可以使用，而在内核中读写注册表则需要使用内核装用API函数，如下将依次介绍并封装一些案例，实现对注册表的创建，删除，更新，查询等操作。同时，需要仔细考虑键的名称和路径等信息，确保要列举值的键是正确的，并且不会对系统造成不良影响。同时，需要仔细考虑键的名称和路径等信息，确保要写入值的键是正确的，并且不会对系统造成不良影响。

fetch-registry

09-25

fetch-registry 是 Docker CLI 中的一个命令，用于从 Docker Registry 获取镜像列表。Docker Registry 是一个开源的镜像仓库，用于存储、管理和分发 Docker 镜像。fetch-registry 命令可以帮助开发者在本地查看可用的镜像列表，并且可以通过指定不同的 Registry URL 来获取来自不同 Registry 的镜像列表。命令的基本语法如下： ``` docker fetch-registry [OPTIONS] [REGISTRY_URL] ``` 其中，OPTIONS 是一些可选参数，REGISTRY_URL 指定了 Registry 的 URL。默认情况下，如果没有指定 REGISTRY_URL，fetch-registry 命令会从 Docker Hub 获取镜像列表。