标题: 获取系统信息并操作。 [打印本页]

---

作者: bluewing009     时间: 2009-12-23 18:57    标题: 获取系统信息并操作。

我还没有思路，请大家帮忙...................  .


1.注册表  比如用reg add添加一个表项后，发现该项被某一exe删除了  求如何知道是哪个程序删除的

2.某一进程，有一个或多个互相守护的进程（关闭任何一个可相互复活），求关闭这种进程的方式（已知主进程名，守护进程数量，名称未知）


要求 ：使用bat，尽量不使用第三方程序（可以使用辅助命令行程序，但是不要使用像冰刃之类的）

---

作者: Hanyeguxing     时间: 2009-12-24 07:55
对于1，需要使用实时监控，开启这个是很耗资源的。可以使用第三方的注册表监控工具，也可以使用系统审核功能。
对于2：直接使用镜像劫持或路径规则这些进程，然后结束这些进程。

---

作者: bluewing009     时间: 2009-12-24 08:54
IEFO在劫持时，如果是以random+释放的形式呢？
即，当进程结束时，守护进程任意名称释放一个，难道我要每次都去修改注册表？？

---

作者: pdanniel66     时间: 2009-12-25 04:30
学习了，谢谢

---

作者: bluewing009     时间: 2009-12-28 14:58
自己顶一下哦

---

作者: luckboy45     时间: 2009-12-28 20:50
呵呵，很大胆的设想，不过，我可以告诉你，用P处理实现，是不现实的。。。

可以考虑用SSM实现。

---

作者: bluewing009     时间: 2009-12-28 22:01
说白了就是用P模拟HIPS的功能