讓卡巴斯基 6.0.0.299監控所有註冊表的改動
在卡巴斯基 6.0.0.299的【Settings】-【Proactive Defense】-【Registry Guard】中勾選【Enable Registry Guard】,並增加一條規則
【Settings...】-【Add...】
【Group name:】名稱隨意,比如叫「ALL Keys」
【Keys】-【Add...】
【Key path】HKEY_CLASSES_ROOT 【類型】* 【Include subkeys】√
【Key path】HKEY_CURRENT_USER 【類型】* 【Include subkeys】√
【Key path】HKEY_LOCAL_MACHINE 【類型】* 【Include subkeys】√
【Key path】HKEY_USERS 【類型】* 【Include subkeys】√
【Key path】HKEY_CURRENT_CONFIG 【類型】* 【Include subkeys】√
【Rules】-【New】
【Application】*
【Read】Allow + do not log
【Modify】Prompt for action + log
【Delete】Prompt for action + log
這條「ALL Keys」規則在【Registry key groups】中必須是最後一條規則,這樣設定後,任何程序要修改、移除註冊表中的任何內容都會有提示,但有時系統會當機,要在「ALL Keys」規則的【Rules】中增加一條規則
【Application】winlogon.exe文件所在目錄\winlogon.exe
【Read】Allow
【Modify】Allow
【Delete】Allow
【Application】winlogon.exe規則位置必須在【Application】*規則的上方
這樣設定後,每次關機、重啟時系統會假當,要在【Registry key groups】中「ALL Keys」規則的上方增加一條「explorer.exe」規則
【Group name:】explorer.exe
【Keys】-【Add...】
【Key path】HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT 【類型】* 【Include subkeys】√
【Rules】-【New】
【Application】explorer.exe文件所在目錄\explorer.exe
【Read】Allow
【Modify】Allow
【Delete】Allow
這樣設定後,檢視【控制台】-【顯示】-【設定】-【進階】時系統還會假當,要在【Registry key groups】中「ALL Keys」規則的上方增加一條「rundll32.exe」規則
【Group name:】rundll32.exe
【Keys】-【Add...】
【Key path】HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class 【類型】* 【Include subkeys】√
【Key path】HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Video 【類型】* 【Include subkeys】√
【Rules】-【New】
【Application】rundll32.exe文件所在目錄\rundll32.exe
【Read】Allow
【Modify】Allow
【Delete】Allow
|