我需要監視 HKCU 中的特定登錄機碼是否發生變更。最重要的是,我需要知道它何時改變、誰改變了它(流程)以及它改變了什麼。
我知道這可以透過 Proc Mon 完成,但是情況的複雜性意味著我無法在需要監控的機器上安裝新的外部軟體。此外,該程式的命令列使用不適合我的需要。
不過,我可以實現 VBS 或小型 C# / VB 應用程序,只要它靜默運行即可。
是否有一種簡單的方法來監視密鑰並在其發生更改時記錄更改?同樣,這裡最重要的是哪個過程改變了它。
對於如何做到這一點的任何想法表示讚賞。
答案1
您可以使用 MS Windows 內建審核功能透過安全性事件日誌監控變更。
透過群組或本機安全性原則啟用「審核對象存取」。安全設定/本機原則/審核原則/審核對象存取(成功、失敗)。
開啟註冊表並調整 HKCU(或特定子項目)的權限。權限/高級/審核。新增“Everyone”用戶並選擇您要監控的存取類型。
所有登錄機碼新增、刪除、編輯等都將記錄在安全事件日誌中。根據需要過濾。