如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?

已于 2023-03-02 16:40:06 修改
阅读量3.6k 收藏 4
点赞数 1
分类专栏: 疑难杂症专题 文章标签: windows microsoft 注册表
于 2023-03-02 16:21:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42672685/article/details/129301070
版权

环境:

Win11 专业版

HP480G7

Windows Sysinternals Suite

问题描述:

如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
在这里插入图片描述
在这里插入图片描述

解决方案:

1.下载Windows Sysinternals Suite,解压找到ProcessMonitor 打开

在这里插入图片描述

2.先按ctrl+e capture 进行捕获监控
在这里插入图片描述

3.按ctrl+L 筛选一下,利用filter过滤器还可以筛选自己所要查看的对应的操作,这边是本地组策略配置

了解本专栏 订阅专栏 解锁全文 超级会员免费看
玩人工智能的辣条哥
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
注册表实时监视器 (绿色版)
11-03
注册表实时监视器 (绿色版)
Python实现对Windows注册表的增删改查
qq_43496409的博客
11-29 914
首先我们需要安装winreg库。
注册表监视的4种方式
最新发布
05-30 356
这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3240
Registry Auditing 监视注册表变化 审核策略
【window系统】日志与注册表
sunriver2000的专栏
02-02 4395
环境 系统:win10x64 描述 windows系统发生故障,无法正常启动时,一般需要从故障机中提取信息,用来分析或编辑以恢复系统正常运行。这些信息包括:windows系统日志、注册表信息等等。 下文简要介绍如何从故障机中提取此类信息。 windows系统日志 windows系统日志存放位置,以下evtx文件可以用windows事件查看器(eventvwr.msc)分析。 %SystemRoot%\System32\Winevt\Logs\Application.evtx %Sys
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 6836
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
查看组策略对应注册表的位置的方法
babytiger的专栏
01-11 1111
有这样一个需求,当用户修改组策略某一项时,其对应注册表会发生变化,但是两者是如何对应的,就比较难找了,有人总结了一下。于是我使用火绒软件中的“火绒剑”,由于运行gpedit.msc 实际是 mmc.exe打开gpedit.msc。禁止安装未由其他策略设置描述的设备 这个项的,找了好久没找到。组策略\计算机配置\管理模板\系统\设备安装\设备安装限制中。但是组策略有很多项,上面总结的也不全,比如我想读取的是。于是增加了一个mmc.exe的过滤,就找到来了。
使用regsnap查看注册表和文件改动情况
编程爱好者
08-31 4821
  除了杀毒软件的主动防御或实时监控功能外,还有哪些软件能让我们查看注册表更改情况呢?RegSnap可以详细地向你报告注册表及其他与系统有关项目的修改变化情况。RegSnap 对系统的比较报告非常具体,对注册表可报告修改了哪些键,修改前、后的各是多少;增加和删除了哪些键以及这些键的。报告结果既可以以纯文本的方式,也可以 html 网页的方式显示,非常便于查看。除系统注册表以外,R
计算机活动监控系统注册表文件
05-15
监控注册表的主要目标是识别不寻常的修改。当一个程序尝试更改注册表时,监控系统会记录这一事件,并根据预设规则判断是否允许修改。如果一个未知程序试图修改敏感键,比如启动项或者系统服务配置,监控系统可以...
注册表命令
12-14
`gpedit.msc`是用于查看和管理组策略设置的工具,可以对系统进行深入的定制和控制。 **应用场景:** - 安全性加强:限制用户权限或禁用某些功能以提高安全性。 - 统一配置:确保所有工作站保持一致的设置。 #### ...
注册表,常用网络DOS命令 ,批处理文件
01-10
2. **rsop.msc**:RSOP(Resultant Set of Policy)是一个策略结果集工具,它可以帮助管理员查看应用于计算机或用户的所有组策略设置的结果。此工具主要用于分析和调试组策略问题。 3. **regedt32**:这是一个更老...
组策略对照注册表查询工具v1.02.0312.chm
06-18
由于本人封装系统和写优化工具时经常会跟组策略注册表打交道,积累了一些组策略注册表的知识。遂,整理这个查询工具。方便自己,也方便大家在封装系统优化系统或写优化工具时查询使用,提高工作效率。
组策略对照注册表查询工具v1.02.0239,组策略注册表,C#
09-10
由于本人封装系统和写优化工具时经常会跟组策略注册表打交道,积累了一些组策略注册表的知识。遂,整理这个查询工具。方便自己,也方便大家在封装系统优化系统或写优化工具时查询使用,提高工作效率。对于工具的使用体验有任何意见和建议
RegMonitor注册表监视精灵v4.0免费绿色版
08-07
RegMonitor (注册表监视精灵)使用HOOK API技术,让您了解被监控的软件在系统背后做了些什么,记录修改注册表的详细日志。 软件介绍 监控软件对系统注册表相关的一切操作(如读取、修改、错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。 软件特色 注册表监视精灵纯绿色,不用安装,直接运行;内含SDK 二次
组策略对照注册表查询工具v1.02.0239,组策略注册表,C#源码.zip
10-15
组策略对照注册表查询工具v1.02.0239,组策略注册表,C#源码
C#注册表\C#操作注册表.doc
12-22
标题和描述均提到了"C#操作注册表"的主题,这涉及到使用C#编程语言来读取、写入和管理Windows操作系统中的注册表设置注册表Windows系统中用于存储配置设置和选项的一个核心数据库,包括应用程序设置、硬件配置...
利用注册表设计软件注册程序
12-12
此外,还可以监控注册表更改,一旦检测到非法修改则触发警告或阻止程序运行。 8. **备份与恢复**:考虑到注册表修改可能导致系统不稳定,建议在操作前备份注册表。如果现问题,可以通过还原备份来修复。 9. **多...
使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具)
热门推荐
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动,并给对应监测范例。
python通过修改注册表来修改本地组策略
10-03
Python可以通过使用`winreg`模块来修改Windows注册表中的本地组策略注册表Windows操作系统中存储配置信息的地方,而本地组策略是用于管理和控制计算机上的用户和计算机设置的工具。 要通过Python修改注册表来修改本地组策略,首先需要导入`winreg`模块。然后,通过调用`winreg.OpenKey()`函数来打开指定的注册表键。需要注意的是,修改注册表需要管理员权限。 接下来,可以使用`winreg.SetValueEx()`函数来修改注册表键的。这个函数接受四个参数,分别是注册表键的句柄、要修改的的名称、的类型和新的。例如,可以使用`winreg.REG_DWORD`类型来设置一个DWORD(双字)类型的。 最后,需要使用`winreg.CloseKey()`来关闭注册表键的句柄。 下面是一个示例代码,用于通过修改注册表来修改本地组策略中的一个设置项: ```python import winreg def modify_local_policy(): key_path = r"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" setting_name = "DisableTaskMgr" # 打开注册表键 key = winreg.OpenKey(winreg.HKEY_CURRENT_USER, key_path, 0, winreg.KEY_ALL_ACCESS) # 修改注册表 winreg.SetValueEx(key, setting_name, 0, winreg.REG_DWORD, 1) # 关闭注册表键 winreg.CloseKey(key) modify_local_policy() ``` 上述示例代码中,通过修改`DisableTaskMgr`设置项的为1来禁用任务管理器。实际使用时,可以根据需求修改`key_path`和`setting_name`来修改其他本地组策略设置项。 需要注意的是,修改注册表可能会对系统造成意外的影响,请谨慎操作,并在进行此类操作之前备份注册表以防万一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玩人工智能的辣条哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值