none
注册表项被异常篡改,如何监控并找出原因? RRS feed

  • 问题

  • 您好!

    之前由于激活状态异常问题发现了注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sppsvc\TriggerInfo键值异常,将正常键值导入后激活问题修复。

    现在发现设备在待机一晚或关机一晚后再次启动,激活状态异常,检查发现注册表键值被篡改,请问如何audit registry?是否有方法可以监控到是什么process修改了注册表?



    Guannan Shi

    2018年9月11日 2:28

答案

  • 您好:

    很高兴再次帮你处理问题。

    关于监视注册表行为,Windows本身就有相应的手段,名字叫做Registry Auditing,这点您想的没错。

    我们需要做的也很简单:

    1.在管理员模式下运行CMD,输入:

    auditpol /set /subcategory:"Registry" /success:enable

    2.命令执行成功后,打开注册表编辑器,找到我们想要监控的键值Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sppsvc\TriggerInfo

    3.右键选择该键值,权限,高级,切换到审核选项卡,添加一个用户或者一个组,设置权限完全控制或者设置值,确定。

    4.完成后,我们就可以在事件查看器,Windows日志,安全中,查看该注册表键值的变化。

    微软官方博客

    Monitoring when registry keys are modified

    https://blogs.msdn.microsoft.com/cobold/2011/11/29/monitoring-when-registry-keys-are-modified/

    此外,还有一款免费的注册表监视软件,名字叫做RegFromApp,可以监视程序对注册表的更改,如果您确定了一个目标,可以用该工具对指定程序进行检测,RegFromApp 只针对单一进程进行扫描。

    此致


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 sxxxm 2018年9月12日 6:16
    2018年9月12日 2:51

全部回复

  • 您好:

    很高兴再次帮你处理问题。

    关于监视注册表行为,Windows本身就有相应的手段,名字叫做Registry Auditing,这点您想的没错。

    我们需要做的也很简单:

    1.在管理员模式下运行CMD,输入:

    auditpol /set /subcategory:"Registry" /success:enable

    2.命令执行成功后,打开注册表编辑器,找到我们想要监控的键值Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sppsvc\TriggerInfo

    3.右键选择该键值,权限,高级,切换到审核选项卡,添加一个用户或者一个组,设置权限完全控制或者设置值,确定。

    4.完成后,我们就可以在事件查看器,Windows日志,安全中,查看该注册表键值的变化。

    微软官方博客

    Monitoring when registry keys are modified

    https://blogs.msdn.microsoft.com/cobold/2011/11/29/monitoring-when-registry-keys-are-modified/

    此外,还有一款免费的注册表监视软件,名字叫做RegFromApp,可以监视程序对注册表的更改,如果您确定了一个目标,可以用该工具对指定程序进行检测,RegFromApp 只针对单一进程进行扫描。

    此致


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 sxxxm 2018年9月12日 6:16
    2018年9月12日 2:51
  • 您好,之前按照您提供的方法, 可以成功在我自己的设备上设置reg audit,并在安全日志中看到4657的event有记录到修改注册表的动作。

    但是我在另外一台设备上进行相同的操作,却始终无法生效,在安全日志上的4657 event只有几条关于certificates的,并没有记录到修改注册表的动作。

    请问可能会有什么原因导致这个问题发生?还需要做哪些操作或者检查呢?


    Guannan Shi

    2018年12月11日 4:03