marfi w news:5a578d2c$0$644$65785112@news.neostrada.pl
Użytkownik "1634Racine" <mnjfmr@j.cbqebml> napisał w wiadomości
news:5a5787de$0$5162$65785112@news.neostrada.pl...
...
PYTANIE:
czy w zakreslonym polu znajduja sie rzeczywiscie *wszystkie* istniejace
odwolania do tego klucza? czy jest mozliwe, ze istnieja jakies trzymania,
"haki", blokowania (typu "sterowniki z poziomu kernela"), ktore
pochodza z systemu, ale ich tutaj nie widac?
Mogą istnieć wywołania wykonane przed uruchomieniem programu procmon.
faktycznie; COS systemowego zlapie za klucz, trzyma np. *statycznie* i
procmon nie zobaczy, zero ruchu...
(pytanie jest w oczywisty sposob zwiazane z problemem, ktorego tutaj nie
omawiamy: czy jesli jest klucz rejestru i nie mozna go usunac w trybie
normalnym, ani w safe mode, ani w zaden inny sposob - a jest ich
troche (w ostatecznosci jakas sensowana cd live, np kaspersky), to w
procmonie mozna przynajmniej zobaczyc, CO trzyma/blokuje ten klucz?)
Bieżący stan można zobaczyć w programie Process Explorer.
skoro mowimy o kluczu:
rozumiem, ze p.explorer zobaczy *kazde* trzymanie, hak na dowolnym kluczu w
wykonaniu np. systemu, a co moglo byc zalozone przez system juz przy
uruchamianiu syst.
find --> find handle or dll --> wpisac nazwe klucza, o to pewnie chodzi.
|