registry - 检测注册表更改

Question

最近我发现一个木马程序在我的系统中运行，它将一些随机名称的 exe 复制到我的驱动器（C: 除外），并将随机名称的 exe 复制到 temp 并反过来询问防火墙网络连接请求（由此我认为它是木马） ..它还更改了隐藏文件的注册表值....

主要问题是我在任务管理器中找不到它...甚至检查了所有 svchosts 进程位置...我卡住了！

那么有什么方法可以监视特定的注册表项并知道哪个程序正在修改它...？谢谢！！

Answer 1

看看 RegMon：
http ://technet.microsoft.com/en-us/sysinternals/bb896652