SRS
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Давайте поделимся лучшими ключами в реестре для Windows 2000/XP. Мое первые ключи: Как узнать, какой SID, какому пользователю соответствует? Откройте редактор реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList Выберите SID и посмотрите ProfileImagePath. В конце строки найдете имя пользователя Если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE (из Resource Kit Supplement 2). Формат использования: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath" Например: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath" Будет показан ProfileImagePath и Вы сможете увидеть искомое имя. ----------------------------------------------------------------------------------- Потенциальные места расположения троянских программ: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ) HKLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ) HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ) В первом и втором случае указанные в ключах приложения запускаются в контексте текущего пользователя, в третьем -- от имени системы (System). Имеет смысл регулярно проверять эти разделы Реестра на наличие троянцев. -------------------------------------------------------------------------------------------- Очистка файла подкачки при перезагрузке: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и пароли, будет очищаться при каждой перезагрузке, если параметру присвоено значение 1 (REG_DWORD). |