关于一个注册表项有没有意义的讨论

幽冥の龙

注册表中有一项  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing

网上搜索了下这个项的作用是 表示你想要启用文件跟踪的组件

我对比了下自己的虚拟机（左） 和 实机（右）




差距好大……虚拟机因为是测试的随便搞的…… 实机我是用规则的，看起来干净多了……
并且我在虚拟机尝试过把 Tracing 整个删了，暂时没发现有什么影响……

那么这个注册表项到底有什么意义呢？让软件跟踪电脑？

而目前我发现的一个作用是可以一定程度防毒！
因为最近在研究粘虫和敲竹杠，发现其实很多恶意程序 都会先在这个注册表下创建自己的项……（并不是所有都这样），是为了跟踪吗？

比如说我试了几个敲竹杠样本，全部都有这行为，并且这时候选择结束进程，敲竹杠就被灭了，啥都还没干呢。





不止是敲竹杠，好多恶意程序都有这样的行为，不过部分正常程序也会有这样的行为，所以用这个规则的话难免误报会较多，比如看我的虚拟机里的……什么360啊QQ啊都有创建……
但目前也并没发现即使不让他们创建有什么影响……毕竟我实机里有用QQ，360曾经用过卫士，现在只用了个压缩和急速浏览器。并没发现有什么不对劲的地方……

所以说大家觉得这个规则有没有意义？个人觉得对于经常下乱七八糟的软件的人还是很管用的，万一报警拦截了，马上点“结束进程”然后用其他手段确认下程序是否安全。

1094947421

其实，我更想知道，如果选“阻止操作”会怎么样。

幽冥の龙

1094947421 发表于 2014-12-20 02:00
其实，我更想知道，如果选“阻止操作”会怎么样。

因为这个注册表看起来没什么用，所以阻止或允许都不影响程序运行，对于敲竹杠来说，阻止后只是阻止了它建立这个注册表，密码照样改，当然我也写了防改密码的规则了

1094947421

可能，也许，不确定跟踪的目的只是为了记录日志？你自己看看吧http://technet.microsoft.com/en-us/library/cc957864.aspx

幽冥の龙

1094947421 发表于 2014-12-20 04:26
可能，也许，不确定跟踪的目的只是为了记录日志？你自己看看吧http://technet.microsoft.com/en-us/library ...

有这个可能，我看了下自己的360极速目录下的log文件有一部分是空的，不确定是不是这个的影响
不过，病毒木马没有记录日志的必要吧……

至少目前能确定的是这个注册表大多数情况下可有可无……

b573684723

注册表好像还是有些用的，好像是对应了程序的某些设置