我在办公室编写了一些.VBS代码,允许在 Windows7x32 系统上下载某些文件扩展名而不出现警告对话框。
我编写本文的系统位于分段子网中的实验室中。所有 Web 访问均通过代理服务器进行。访问我的机器的唯一方式是通过互联网或从实验室的 AD 域内进行。
在编写和测试代码时,我发现了一条消息。刷新注册表以验证我的代码是否更改了dword,结果却出现了消息 HELLO,并且在dword调用该值的 regedit 中可见。
我截屏并继续编辑代码。上次我在另一台内部服务器上编写注册表代码时也出现了同样的奇怪行为。
我知道 Windows 系统存在远程注册表访问。我一回到办公室就会立即阻止它。
我想知道的是,我能否追踪到是谁建立了此连接?我该怎么做?
我怀疑造成这种情况的原因是我在工作中遇到的其他“奇怪”行为的原因,例如,我超过一小时无法控制输入控制器主控,并且未更改的代码突然因没有逻辑区域而失败。
每当我准备演示我的测试代码时,这些故障就会发生。我知道这听起来很疯狂,但是对注册表组件的了解使这种说法变得可信。一旦注册表可以被访问,整个系统就会受到威胁。
这是在测试网络上进行的,其中每个人都是域管理员,因此该组中的任何人都可以启用远程注册表访问。可以秘密启用远程协助吗?
任何帮助或健全性检查都将受到赞赏。
答案1
我猜测这可能与编程相关...但你最好在它关闭之前快速发布一些代码。
每当我正要演示我的测试代码时,这些失败就会在奇怪的时刻发生。
说实话,这可能是偏执狂、糟糕的编码和糟糕的环境设置造成的。坏人怎么知道你即将进行演示?
刷新注册表以验证我的代码是否更改了 dword,而是在 regedit 中写入并显示消息 HELLO,其中需要 dword 值。
发布你的代码。我也很难相信坏人知道你要写哪个注册表项.....而且你不能把字符串放入 DWORD 类型的注册表项中...这意味着你要么看错了键,要么你的代码中有错误。
答案2
远程注册表访问需要登录,这会在安全事件日志中记录事件。由于这是 Win7,因此实际上在默认情况下,Win7 中不是这种情况。浏览安全日志以查找您不认识的访问。您可能会看到一些“匿名”尝试,这些在 Windows 网络上相当正常。