Wintermals Administrator's Pak

Категория реферата: Рефераты по информатике, программированию
Теги реферата: курсовик, игра реферат
Добавил(а) на сайт: Винокуров.

WindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, чтобы автоматически стартовать при загрузке ОС. Иногда это может приводить к краху системы. В таком случае удалить ненужные ключи реестра поможет вам ERD Regedit.

Из рисунка видно, что в ERD Regedit вам доступны всего два куста реестра - HKEY_LOCAL_MACHINE и HKEY_CLASSES_ROOT. Кусты HKEY_CURRENT_CONFIG, а также HKEY_CURRENT_USER вам недоступны, и этому есть весьма простое объяснение. Эти кусты реестра создаются в момент загрузки Windows и уничтожаются при выключении компьютера.

Зато с помощью ERD Regedit вы сможете пробраться в святая святых Windows - Security Accounts Manager (SAM) - специальную централизованную базу данных, в которой хранится вся информация об учетных записях и группах (включая пароли). В базе данных SAM каждый пользователь и каждая группа, а также каждый компьютер идентифицируется уникальным идентификатором безопасности SID (Security Identifier). Используя путь HKEY_LOCAL_MACHINESAM, можно получить доступ к информации о локальных учетных записях и группах (например, паролях, определениях групп и сопоставлениях с доменами), используя же путь HKEY_LOCAL_MACHINESECURITY, вы получите доступ к данным, которые относятся к общесистемным политикам безопасности, а также к сведениям о правах, назначенных пользователям.

Средства мониторинга

Первое - это утилита TCPView, она позволяет в режиме реального времени следить за передаваемыми хостом (или хосту) пакетами TCP/IP или дейтаграммами UDP. Весьма удобная утилита, позволяющая контролировать сетевую активность ЛЮБОГО компьютера в сети (необходимо только установить на этот компьютер серверную компоненту TCPView). При этом отмечается не только сам факт приема или передачи пакетов, но также можно посмотреть, какой конкретно процесс установил соединение, в каком состоянии находится сокет (прослушивание, соединен), адреса отправителя и получателя, количество переданных данных. Если у вас нет фаервола, то с помощью этой программки можно проверять, не завелся ли в чреве любимого ПК вредоносный вирус; еще более полезной она окажется для сетевых программистов, ведущих отладку своих приложений.

Еще две утилиты - Regmon и Filemon - позволяют, соответственно, следить за обращениями процессов к реестру и файловой системе. Обе весьма практичны в использовании, и если вам захотелось, например, проследить, к каким файлам обращается программа или как она работает с реестром, это не составит труда сделать. Также как и TCPView, эти утилиты позволяют вести мониторинг удаленных компьютеров через сеть. Так же у всех есть удобные фильтры, с помощью которых несложно управлять выборкой данных. Зачем нужны эти фильтры, становится понятным, если запустить какой-нибудь из мониторов. На среднестатистическом ПК за пять-десять минут работы происходит несколько десятков тысяч обращений к реестру и почти столько же - к файловой системе.

Понятно, что разобраться в таких логах без их предварительной фильтрации будет практически невозможно. Принцип фильтрации очень прост: программа-монитор может автоматически включать (Include), исключать (Exclude) или подсвечивать (Highlight) в логах те запросы, которые удовлетворяют указанным условиям. Условиями могут быть встречающиеся в логах строки (например, open) или их сочетания с простейшими регулярными выражениями. Вот пример фильтра, который оставляет все запросы на открытие файлов и подсвечивает те, которые были открыты в каталоге с:temp

Include open

Exclude (ничего не пишем)

Highlight c:temp*

Поделитесь этой записью или добавьте в закладки