Program, który pokaże: CO "trzyma"/chroni/blokuje klucz rejestru


(covo) #1

sa programy, ktore latwo pokazuja CO trzyma/blokuje konkretny plik.
Czy jest program, ktory pokaze: CO trzyma/chroni/blokuje konkretny klucz rejestru?


(covo) #3

znam ten link na pamiec, “you know” :slight_smile:
Ale czy ja o to pytalem? Nie pytalem, jak usunac oporny wpis w rejestrze.


(covo) #5

nadal sadze, ze nie do konca rozumiesz, o co mi chodzi…
zalozmy, ze przykladowy (tylko przykladowy) klucz:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account
Jak wykonac detekcje (jakim programem) procesow, programow, sterownikow, etc., ktore do klucza odwoluja sie, a dokladniej: caly czas “trzymaja” go. Chce wpisac ten na przyklad klucz w okno jakiegos programu i dostac wylistowanie tego, o co mi chodzi.
Oczywiscie warto taka detekcje wykonywac tak w trybie normalnym,jak i w safe mode. Nie mowimy w ogole o tym, czy ja chce ten klucz usunac. Chce wiedziec, CO go trzyma, blokuje. Tylko tyle.
Tak nawiasem:
FRST… Akurat teraz siedze w dokumentacji i jakos nie widze opcji, dyrektywy, ktora pozwoli na wyplucie przez FRST tego o co mi chodzi po podaniu FRST-owi konkretnego klucza.


(bobbi) #6

Odwołania do kluczy rejestru sprawdzisz np. tym https://www.dobreprogramy.pl/Process-Monitor,Program,Windows,14839.html


(covo) #7

mając jeden progr/proces, albo parę - to wiadomo, że można zobaczyć w procmonie do czego (na przykład) w rejestrze odwołują sie --> https://s13.postimg.org/430xq80qf/screen.png, ale pytanie dotyczy sytuacji odwrotnej: jest dany konkretny i jeden klucz - teraz trzeba znaleźć wszystkie procesy,programy, które do niego odwołują się/trzymają go/blokują.
jasniej nie wytłumaczę.
ja nie widzę możliwości w procmonie zobaczenia CO w systemie odwołuje sie do jednego, konkretnego,arbitralnie wybranego klucza (jeśli jest taka możliwość - pokaż)

edit
filtr --> architekture --> 32 bit i potem w listowaniu --> find dla konkretnego klucza?


(covo) #8

ok, chyba juz jasne:
w procmonie reset filtrow ==> pokaze wszystko co dziala w systemie, nastepnie jeden filtr typu “PATH” i wpisac nazwe klucza.
chyba tak.
zdaje sie, że: DZIĘKI.

btw:
z tym, że procmon chyba nie pokazuje np. sterowników kernelowych, które moga “trzymać” klucz… Ale tego nie wiem.


(covo) #9

jednak procmon pokaże tylko stan obecny odwołań do (np.) klucza, a mogą istnieć odwołania/trzymanie wykonane przed uruchomieniem procmoma (np. w czasie boot).

czyli jednak process explorer:
i jeśli chodzi o konkretny klucz, to klawisz find; a jeśli w ogóle o rejestr, to klik w SYSTEM górny panel i oglądanie w dolnym panelu type -> key, ale nie jest jasne, czy w ten sposób podejrzy się całościowa działalność (np. kernela) w sprawie konkretnego klucza, czyli to, o co najbardziej chodzi.