关于Process Monitor监控注册表的问题

流水之风 2010-03-29 04:56:51
我使用Process Monitor监控WINXP SP2的注册表,但是发现该软件不能监控“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products”下的子键,我知道这个“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”这个键会在系统启动时自动复制一份到“[HKEY_CLASSES_ROOT\Installer”键中,因此“[HKEY_CLASSES_ROOT\Installer”键实际是“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”的链接,使用Process Monitor可以监控到“[HKEY_CLASSES_ROOT\Installer”键中的操作,但是我需要监控的是“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”键中的变化,不知道有什么办法使Process Monitor可以监控到呢?奇怪的是使用RegMon却可以监控到。
...全文
250 2 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
流水之风 2010-03-29
  • 打赏
  • 举报
 回复
嗯,看来是我弄错了,的确不是复制关系,经过测试,原来是我在分析注册表的时候将“HKEY_CLASSES_ROOT\Installer”的注册表去掉了,但是保留了“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”,因为必须保留“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”里面的注册表数据,所以就在Process Monitor中查找“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”,结果没发现有记录,所以我就觉得奇怪,然后自己手动测试时发现Process Monitor的确没有记录“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer”这里的数据,然后自己在注册表实验的时候因为忘记按F5刷新了,所以以为是复制关系,现在终于知道原因了,十分感谢,帮了大忙了。
就是just4 2010-03-29
  • 打赏
  • 举报
 回复
我怎么记得好像不是复制关系,而直接就是指向同一个东西,只不过是两份入口,就像快捷方式一样

复制关系,只记得在hklm到hkcu,还有开机时硬件配置等信息存在复制问题

hkcr应该就是hklm\software\classes对应的吧,如是开机复制关系,一个地方改动,另一个地方是不会马上改动的,楼主试下就知道

另,注册表支持挂载和卸载的,多入口应相当于挂载关系的吧
Process Monitor v3.2 windows 注册表监控, 文件读写监控
线程监控, dll监控, 文件监控, 注册表监控 Introduction Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.
ProcessMonitor.zip
C:\Downloads\ProcessMonitor.C:\Downloads\ProcessMonitor.zipzip
ProcessMonitor(Win7)
ProcessMonitor, 非常好用的工具 进程监视器是一个高级的Windows监视工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变
ProcessMonitor进程监测
有了Process Monitor,使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。
2022 最新processMonitor 官方软件
2022 最新processMonitor 官方软件
一般软件使用

4,168

社区成员

38,473

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 一般软件使用
社区管理员
  • 一般软件使用社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章