作者VitaminY (維他命Y)
看板AntiVirus
標題[問題] The Avenger使用方法
時間Tue Jul 29 14:02:08 2008
http://swandog46.geekstogo.com/avenger2/example.html
上面是官網的教學範例。
其中的兩行:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ntbase"="c:\\windows\\ntbase.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ntbase"="c:\\windows\\ntbase.exe"
用這兩種解法:
Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | ntbase
Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
我搞不太懂registry values跟registry keys的使用時機,
可以幫忙解說一下嗎?
還有Registry values to replace with dummy這指令,有哪些values是不能刪
而要用replace with dummy的?該用replace沒用而用到delete的,
是否有可能會造成無法挽救的錯誤?
例如範例中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="C:\\WINDOWS\\System32\\expl0rer.exe"
如果把system給delete掉,會發生嚴重的後果嗎?
謝謝指教!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.8.147.185
1F:推 olliekr:簡單來說 regedit打開 左邊的都是key 右邊都是value 07/29 15:39
2F:→ olliekr:有點像資料夾跟資料的概念 把資料夾(key)刪除 底下所有的 07/29 15:39
3F:→ olliekr:資料(value)也會一併移除 07/29 15:40
4F:→ VitaminY:如何得知第二行要刪整個key而不是只刪ntbase這value就好 07/29 16:11
5F:→ VitaminY:是看正常電腦沒有explorer\run這一段所以要刪掉整個key嗎 07/29 16:13
※ 編輯: VitaminY 來自: 124.8.150.68 (07/29 18:03)
6F:推 olliekr:建議是刪除value不要刪除key...我是跟自己電腦比對 07/29 19:42
7F:→ olliekr:如果想測試可能要用影子/沙盤...之類的軟體吧 07/29 19:43
8F:→ VitaminY:了解,謝謝! 07/29 20:57