Показать сообщение отдельно
Старый 19.09.2004, 06:03     # 26
oia
Full Member
 
Аватар для oia
 
Регистрация: 03.11.2002
Адрес: Украина ! Киев!
Пол: Male
Сообщения: 2 037

oia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуруoia Отец (мать) всех Гуру
Exclamation

Как узнать, какой SID, какому пользователю соответствует?

Откройте редактор реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Выберите SID и посмотрите ProfileImagePath. В конце строки найдете имя пользователя
Если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE (из Resource Kit Supplement 2). Формат использования:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath"
Например: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath"

Будет показан ProfileImagePath и Вы сможете увидеть искомое имя.

Потенциальные места расположения троянских программ:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ)

В первом и втором случае указанные в ключах приложения запускаются в контексте
текущего пользователя, в третьем -- от имени системы (System). Имеет смысл
регулярно проверять эти разделы Реестра на наличие троянцев.

Очистка файла подкачки при перезагрузке:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown
Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и
пароли, будет очищаться при каждой перезагрузке, если параметру присвоено
значение 1 (REG_DWORD).

Разгон NTFS
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000001
"NtfsDisableLastAccessUpdate"=dword:00000001

Отключение административных шаров
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\para meters]
"AutoShareWks"=dword:00000000

Очистить корзину в контекстном меню всех файлов
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]
__________________
Ну у вас и запросы! - сказала база данных и повисла

Последний раз редактировалось oia; 17.10.2004 в 05:30.
oia вне форума