作者VitaminY (维他命Y)
看板AntiVirus
标题[问题] The Avenger使用方法
时间Tue Jul 29 14:02:08 2008
http://swandog46.geekstogo.com/avenger2/example.html
上面是官网的教学范例。
其中的两行:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ntbase"="c:\\windows\\ntbase.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ntbase"="c:\\windows\\ntbase.exe"
用这两种解法:
Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | ntbase
Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
我搞不太懂registry values跟registry keys的使用时机,
可以帮忙解说一下吗?
还有Registry values to replace with dummy这指令,有哪些values是不能删
而要用replace with dummy的?该用replace没用而用到delete的,
是否有可能会造成无法挽救的错误?
例如范例中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="C:\\WINDOWS\\System32\\expl0rer.exe"
如果把system给delete掉,会发生严重的後果吗?
谢谢指教!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.8.147.185
1F:推 olliekr:简单来说 regedit打开 左边的都是key 右边都是value 07/29 15:39
2F:→ olliekr:有点像资料夹跟资料的概念 把资料夹(key)删除 底下所有的 07/29 15:39
3F:→ olliekr:资料(value)也会一并移除 07/29 15:40
4F:→ VitaminY:如何得知第二行要删整个key而不是只删ntbase这value就好 07/29 16:11
5F:→ VitaminY:是看正常电脑没有explorer\run这一段所以要删掉整个key吗 07/29 16:13
※ 编辑: VitaminY 来自: 124.8.150.68 (07/29 18:03)
6F:推 olliekr:建议是删除value不要删除key...我是跟自己电脑比对 07/29 19:42
7F:→ olliekr:如果想测试可能要用影子/沙盘...之类的软体吧 07/29 19:43
8F:→ VitaminY:了解,谢谢! 07/29 20:57