监视注册表变化 - Registry Auditing

已于 2023-01-05 23:18:38 修改
阅读量4.1k 收藏 3
点赞数 1
文章标签: windows 注册表 策略审核 注册表 Auditing
于 2023-01-05 23:14:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiandyoin/article/details/128571779
版权
本文介绍了在Windows系统中进行注册表策略审核的方法。在管理员模式下运行CMD,找到要监控的键值设置权限,之后可在事件查看器中查看注册表项变化。还可通过修改默认值定位修改事件,在主要注册表项设置审核用户查看软件安装时的修改项,最后推荐了工具RegFromApp。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 在管理员模式下运行CMD,输入以下命令

auditpol /set /subcategory:"{0CCE921E-69AE-11D9-BED3-505054503030}" /success:enable

:: 或 auditpol /set /subcategory:"Registry" /success:enable

:: 列出所有子类别
:: auditpol /list /subcategory:* /r

2. 找到我们想要监控的键值(项、值或数据),右键选择该键值,权限 - 高级 - 切换到审核选项卡,添加一个用户或者一个组,设置权限完全控制。

3. 完成后,我们就可以在事件查看器 - Windows日志 - 安全中,查看该注册表项的变化。

4.先试试修改默认值为 1, 然后按3步骤在安全窗口的右边窗口"查找" - 输入 "修改", 定位到注册表修改事件一项。

5.可以在四个主要注册表项设置审核用户,安装程序后,导出所有审核日志,在日志中查找所有修改项。这样就可以查看安装软件时修改的注册表项了。

6.另外推荐一个实用工具:RegFromApp

tiandyoin
关注
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-02 4544
Win11 专业版HP480G7。
windows终端事件日志监控指南
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
如何监控注册表所做的修改
weixin_34362875的博客
01-13 999
服务器出现问题,最终检查出是注册表被修改造成?有什么方法可以对注册表进行监控呢?告诉大家一个很简单的方法——注册表审计功能: 1. 以管理员身份登陆计算机2. 运行gpedit.msc3. 在本地组策略编辑器中,找到计算机配置-〉Windows设定-〉安全设定-〉本地策略-〉审计策略,启用“审计对象存取”4. 在本地组策略编辑器中,找到计算机配置-〉Windows设定-〉安...
实时监控注册表变化的实践指南
最新发布
weixin_42181686的博客
03-14 836
注册表Windows操作系统中一个不可或缺的数据库,它用于存储系统的配置信息,包括硬件配置、软件安装信息、系统策略以及用户偏好设置等。理解注册表的基本组成是进行系统优化、故障排除以及安全管理等工作的基础。注册表监控工具种类繁多,它们在功能、易用性、可靠性等方面各有千秋。下面将讨论如何根据不同的标准选择工具,并展示如何安装与配置这些工具。
注册表监视的4种方式
yupei881027的专栏
06-08 9699
注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出: 1.使用RegNotifyChangeKeyValue 这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。 此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。 优点:平台兼容性好,98以后的系统基本都适用,与RegS
注册表快照-如何使用RegSnap监视注册表变化
05-29 731
如何使用RegSnap监视
注册表监控 -- WIN9X
weixin_34413065的博客
01-14 180
一、WINDOWS9X 部分         目前有关注册表监控的例子大多需要VTOOLSD的支持,在没有VTOOLSD的 情况下,编此类程序就需要一点汇编知识了,本文就没有使用VTOOLSD,本人也不太 喜欢使用它。         监控注册表实际上就是拦截如下几个系统服务:(具体参数见DDK DOCUMENTS)。 Begin_Hook_table:         RegOpen...
可以监控注册表的任何修改
12-18
可以监控注册表的任何修改,通常我们在安装程序的时候,注册表经常被修改,该工具可以监控
攻击防范六(整理)
热门推荐
民兵的家园
06-20 2万+
八种扫描器说明八种扫描器说明⑴NSS(网络安全扫描器) NSS由Perl语言编成,它最根本的价值在于它的速度,它运行速度非常快,它可以执行下列常规检查: ■Sendmail ■匿名FTP ■NFS出口 ■TFTP ■Hosts.equiv ■Xhost 注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。 利用NSS,用户可以增加更强大的功能,其中包括: ■AppleTalk扫描
网络空间安全——总结
LinYuan
09-10 1万+
1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全 无线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间安全和信息安全概...
C++监控注册表信息
MusicMan
02-28 2105
首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。 RegNotifyChangeKeyValue ( __in HKEY hKey, __in BOOL bWatchSubtree, __i...
注册表 监视监视注册表变化
12-11
注册表 监视注册表变化...................
注册表实时监视器 (绿色版)
11-03
注册表实时监视器 (绿色版)
注册表检测 可以检测你的注册表是否被黑客或某些程序更改过
05-14
注册表检测 可以检测你的注册表是否被黑客或某些程序更改过 注册表检测 可以检测你的注册表是否被黑客或某些程序更改过
注册表监控
10-11
RegSnap 是一个可以帮助你分析 Windows 注册表的更改的工具. 使用它, 你可以比较已保存的快照, 了解哪个键被修改,删除或者增加,操作简单快捷
注册表监控PRegMonitor4中文版绿色无毒软件
06-08
注册表监控PRegMonitor4中文版绿色无毒软件,csdn不能上图,不然可以截个图大家就可以看的更加清晰了
注册表处理之注册表监控
Huaerge的专栏
05-30 3592
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键值)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的值<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的值,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
监控注册表
qq_41071646的博客
01-16 909
也是经过微软的函数 然后直接调用的  设置回调即可~~~~~~~~~~~~~ #include &lt;ntddk.h&gt; #include &lt;ntimage.h&gt; #include &lt;windef.h&gt; #include &lt;stdlib.h&gt; #include &lt;ntimage.h&gt; #define REGISTRY_POOL_TAG 'p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值