9,513
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
wangxinyes 2003-06-08
- 打赏
- 举报
不是正常的系统进程,好自为之。
404page 2003-06-08
- 打赏
- 举报
这是注册表监视软件Regmon(Registry Monitor)的日志文件
通过它对方可以监视远程系统注册表的每个动作
它具有如下的功能,可以用作系统修改和维护,也可以作为入侵的手段之一。
Regmon(Registry Monitor)可以将与注册表数据库相关的一切操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。Regmon的使用非常简单,我们只需运行该程序即可启动它的系统监视功能,自动将系统对注册表数据库的读取、修改等操作逐笔记录下来,此后我们就可以凭借它所做的记录从事有关系统维护操作了。具体来说,Regmon所做的记录非常全面,我们可利用它完成许多系统设置工作。如,Windows 98在开始菜单上新增了一个名为“收藏夹”的子菜单,它主要针对网络用户,对未上网的用户而言没有多大实用价值,因此这部分用户就希望能取消开始菜单中的“收藏夹”子菜单。为此,我们可事先启动Regmon,激活其注册表数据库的监视功能,然后启动TweakUI等软件,利用它们的设置功能取消Windows 9X的“收藏夹”子菜单。切换回Regmon之后,我们就可以从它所做的记录中,发现TweakUI是通过将注册表数据库“HKEY_CURRENT_USER\Software \Microsoft \Windows \CurrentVersion \Policies \Explorer”主键下的“NoFavoritesMenu”的“dword”值由0改为1来达到取消“收藏夹”子菜单的目的。再如,当我们在安装某些不具备自动卸载功能的应用软件并手工将其删除之后,该程序就会在注册表数据库中留下一些残余信息,从而影响系统的安全运行,手工修改也比较困难,而利用Regmon则可轻易解决这一问题。我们只需在安装有关软件之前先行启动Regmon程序,将该软件在安装过程中对注册表数据库的修改全部记录下来,然后在卸载该程序时再手工清除注册表数据库中的残余信息即可,从而满足了用户的需要,提高了系统的安全性。
需要说明的是,缺省情况下Regmon会同时对注册表数据库的读取、修改、错误信息等内容进行监视,其中后两项的监视当然是非常必要的,但对读取功能的监视却值得商讨。其实我们可采取平常不对读取操作进行监视,以加快系统运行速度,而在某些特殊情况下再临时打开读取监视功能,以充分发挥Regmon监视作用的变通方法。为此,我们只需执行“Events”菜单的“Filter”命令,打开“Regmon Filter”设置框,然后取消“Log reads”选项即可。另外,我们还可以利用“Regmon Filter”设置框对监视过程、路径范围、监视的级别层次等选项加以设置,以便更好地满足日常操作的需要。
通过它对方可以监视远程系统注册表的每个动作
它具有如下的功能,可以用作系统修改和维护,也可以作为入侵的手段之一。
Regmon(Registry Monitor)可以将与注册表数据库相关的一切操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。Regmon的使用非常简单,我们只需运行该程序即可启动它的系统监视功能,自动将系统对注册表数据库的读取、修改等操作逐笔记录下来,此后我们就可以凭借它所做的记录从事有关系统维护操作了。具体来说,Regmon所做的记录非常全面,我们可利用它完成许多系统设置工作。如,Windows 98在开始菜单上新增了一个名为“收藏夹”的子菜单,它主要针对网络用户,对未上网的用户而言没有多大实用价值,因此这部分用户就希望能取消开始菜单中的“收藏夹”子菜单。为此,我们可事先启动Regmon,激活其注册表数据库的监视功能,然后启动TweakUI等软件,利用它们的设置功能取消Windows 9X的“收藏夹”子菜单。切换回Regmon之后,我们就可以从它所做的记录中,发现TweakUI是通过将注册表数据库“HKEY_CURRENT_USER\Software \Microsoft \Windows \CurrentVersion \Policies \Explorer”主键下的“NoFavoritesMenu”的“dword”值由0改为1来达到取消“收藏夹”子菜单的目的。再如,当我们在安装某些不具备自动卸载功能的应用软件并手工将其删除之后,该程序就会在注册表数据库中留下一些残余信息,从而影响系统的安全运行,手工修改也比较困难,而利用Regmon则可轻易解决这一问题。我们只需在安装有关软件之前先行启动Regmon程序,将该软件在安装过程中对注册表数据库的修改全部记录下来,然后在卸载该程序时再手工清除注册表数据库中的残余信息即可,从而满足了用户的需要,提高了系统的安全性。
需要说明的是,缺省情况下Regmon会同时对注册表数据库的读取、修改、错误信息等内容进行监视,其中后两项的监视当然是非常必要的,但对读取功能的监视却值得商讨。其实我们可采取平常不对读取操作进行监视,以加快系统运行速度,而在某些特殊情况下再临时打开读取监视功能,以充分发挥Regmon监视作用的变通方法。为此,我们只需执行“Events”菜单的“Filter”命令,打开“Regmon Filter”设置框,然后取消“Log reads”选项即可。另外,我们还可以利用“Regmon Filter”设置框对监视过程、路径范围、监视的级别层次等选项加以设置,以便更好地满足日常操作的需要。
二进制空间安全 2003-06-07
- 打赏
- 举报
没有见过!感觉好像是木马程序!
用木马克星或者最新版杀毒软件查查看!!!!
用木马克星或者最新版杀毒软件查查看!!!!
wyf712200 2003-06-07
- 打赏
- 举报
从你找到的东西看那是一个木马在向外发送数据、改变你的网络设置。本人查了一下,它绝对不是win系统的东西,建议找到删除,并下载一个“中国黑客”专杀工具杀一下。
spark_li 2003-06-07
- 打赏
- 举报
有点想偷密码(系统的密码)
你在看看他向外发数据包否,
看都写了那些文件呢?
你在看看他向外发数据包否,
看都写了那些文件呢?
qunzihoney 2003-06-07
- 打赏
- 举报
90 10.30958851 nutsrv4.exe:1112 OpenKey HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters SUCCESS Key: 0xE33C1FE0
91 10.30961365 nutsrv4.exe:1112 QueryValue HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\ExpectedDialupDelay NOTFOUND
92 10.30964550 nutsrv4.exe:1112 CloseKey HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters SUCCESS Key: 0xE33C1FE0
93 10.30970975 nutsrv4.exe:1112 OpenKey HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName SUCCESS Key: 0xE33C1FE0
94 10.30973378 nutsrv4.exe:1112 QueryValue HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerName SUCCESS "WOYRTNBAYROI"
95 10.30975920 nutsrv4.exe:1112 CloseKey HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName SUCCESS Key: 0xE33C1FE0
96 10.30983212 nutsrv4.exe:1112 OpenKey HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters SUCCESS Key: 0xE33C1FE0
我找到这个,大家看看是什么
91 10.30961365 nutsrv4.exe:1112 QueryValue HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\ExpectedDialupDelay NOTFOUND
92 10.30964550 nutsrv4.exe:1112 CloseKey HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters SUCCESS Key: 0xE33C1FE0
93 10.30970975 nutsrv4.exe:1112 OpenKey HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName SUCCESS Key: 0xE33C1FE0
94 10.30973378 nutsrv4.exe:1112 QueryValue HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerName SUCCESS "WOYRTNBAYROI"
95 10.30975920 nutsrv4.exe:1112 CloseKey HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName SUCCESS Key: 0xE33C1FE0
96 10.30983212 nutsrv4.exe:1112 OpenKey HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters SUCCESS Key: 0xE33C1FE0
我找到这个,大家看看是什么
