历史:我的 C 盘从 Win7 上的“计算机”中消失了。几天前通过更改注册表项修复了这个问题后,我今天发现我的 C 盘又消失了。(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrivres)
我怀疑存在零日漏洞或组策略,因为我的 AV 和 malwarebyte 没有发现任何东西。我正在寻找一种方法来监控修改此特定注册表项的内容,这可能吗?怎么做?
干杯,Florian
答案1
通过安全事件日志,如果您启用了审核,则可以识别谁试图访问特定的注册表项。阅读更多相关信息这里。
答案2
Microsoft 网站 sysinternals.com 有一个名为 regmon 的实用程序(显然现在与 processmonitor 结合使用),它将实时跟踪注册表的更改。警告,有很多东西会更改注册表,因此请做好输出非常长的准备。
然而,事后却没有任何东西可以提供给您这些信息。