1634Racine <mnjfmr@j.cbqebml> napisał(a):
faktycznie; COS systemowego zlapie za klucz, trzyma np. *statycznie* i
procmon nie zobaczy, zero ruchu...
Trzymanie jest statyczne. Klucz będzie otwarty dopóki aplikacja go nie
zamknie lub nie zostanie ubita. Tak samo z plikami. Ewentualnym ruchem będą
zapisy i odczyty wartości.
skoro mowimy o kluczu:
rozumiem, ze p.explorer zobaczy *kazde* trzymanie, hak na dowolnym
kluczu w wykonaniu np. systemu, a co moglo byc zalozone przez system
juz przy uruchamianiu syst.
find --> find handle or dll --> wpisac nazwe klucza, o to pewnie chodzi.
Pokaże każde albo prawie aktualne trzymanie. Process Explorer pokazuje
sytuację bieżącą.
Piszę prawie, bo nie jestem pewien czy jądro też jest w całości
monitorowane. Częściowo na pewno, bo można kliknąć SYSTEM i widać uchwyty.
Jeśli następuje zapis lub odczyt wartości z klucza, to można go również
monitorować systemowym mechanizmem inspekcji. Nie trzeba się wtedy czaić z
programami bo Windows sam będzie logował zdarzenia na kluczu.
--
Grzegorz Niemirowski
http://www.grzegorz.net/
|