marfi w news:5a5738d6$0$15192$65785112@news.neostrada.pl
Użytkownik "1634Racine" <mnjfmr@j.cbqebml> napisał w wiadomości
news:5a56a901$0$657$65785112@news.neostrada.pl...
czy ktos w grupie dobrze zna sie na procmonie i w sprawach
*systemowych* , ktore procmon pokazuje?
Nie znam się ale niekiedy używam :)
to jedziemy :)
1.
uruchmiamy procmon
2.
filter > reset filter - resetujemy filtry
3.
zakladamy wlasny filtr:
bierzemy calkowicie losowa nazwe klucza (bo to tylko przyklad) -->
HKLM\System\CurrentControlSet\Control\WMI\Security
przy zakladaniu filtra wybieramy *Path* *is* =
HKLM\System\CurrentControlSet\Control\WMI\Security , *include*
4.
kazemy pokazywac procmonowi tylko odwolania do rejestru, pozostale klawisze
wylaczamy
ja otrzymuje cos takiego: https://s13.postimg.org/3zqvexlk7/screen.png
PYTANIE:
czy w zakreslonym polu znajduja sie rzeczywiscie *wszystkie* istniejace
odwolania do tego klucza? czy jest mozliwe, ze istnieja jakies trzymania,
"haki", blokowania (typu "sterowniki z poziomu kernela"), ktore pochodza z
systemu, ale ich tutaj nie widac?
(pytanie jest w oczywisty sposob zwiazane z problemem, ktorego tutaj nie
omawiamy: czy jesli jest klucz rejestru i nie mozna go usunac w trybie
normalnym, ani w safe mode, ani w zaden inny sposob - a jest ich troche (w
ostatecznosci jakas sensowana cd live, np kaspersky), to w procmonie mozna
przynajmniej zobaczyc, CO trzyma/blokuje ten klucz?)
|
