Как узнать, какой SID, какому пользователю соответствует?
Откройте редактор реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Выберите SID и посмотрите ProfileImagePath. В конце строки найдете имя пользователя
Если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE (из Resource Kit Supplement 2). Формат использования:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath"
Например: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath"
Будет показан ProfileImagePath и Вы сможете увидеть искомое имя.
Потенциальные места расположения троянских программ:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ)
В первом и втором случае указанные в ключах приложения запускаются в контексте
текущего пользователя, в третьем -- от имени системы (System). Имеет смысл
регулярно проверять эти разделы Реестра на наличие троянцев.
Очистка файла подкачки при перезагрузке:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown
Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и
пароли, будет очищаться при каждой перезагрузке, если параметру присвоено
значение 1 (REG_DWORD).
Разгон NTFS
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000001
"NtfsDisableLastAccessUpdate"=dword:00000001
Отключение административных шаров
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\para meters]
"AutoShareWks"=dword:00000000
Очистить корзину в контекстном меню всех файлов
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]
__________________
Ну у вас и запросы! - сказала база данных и повисла
Последний раз редактировалось oia; 17.10.2004 в 05:30.
|