Sistema Daquan te enseña a analizar los registros del sistema de Windows

Primero, la protección de los archivos de registro de Windows

El archivo de registro es muy importante para nosotros, por lo que no podemos ignorar su protección y evitar que algunos "contrabandistas" limpien los archivos de registro.

1. Modificar el directorio de almacenamiento del archivo de registro

La ruta de acceso predeterminada del archivo de registro de Windows es "% systemroot% system32config ", podemos modificar el registro para cambiar su directorio de almacenamiento para mejorar la protección del registro.

Haga clic en " Inicio → Ejecutar ", ingrese " Regedit " en el cuadro de diálogo, presione Entrar para abrir el Editor del Registro y luego expanda “HKEY_LOCAL_MACHINE /SYSTEM /CurrentControlSet /Services /Eventlog " Los siguientes subelementos de Aplicación, Seguridad y Sistema corresponden al registro de aplicación, al registro de seguridad y al registro del sistema.

El autor toma el registro de la aplicación como ejemplo y lo transfiere al directorio de "d: \\ cce". Seleccione el subelemento de la aplicación (como se muestra) y busque la clave del archivo en la columna derecha. El valor de la clave es la ruta del archivo de registro de la aplicación <;% SystemRoot% system32configAppEvent.Evt ", modifíquelo a " d: cceAppEvent.Evt ". Luego cree un nuevo directorio en el directorio de la unidad D "CCE", copie "AppEvent.Evt" en el directorio, reinicie el sistema y complete la modificación del directorio de almacenamiento del archivo de registro de la aplicación. Otros tipos de métodos de modificación de la ruta del archivo de registro son los mismos, pero operan bajo diferentes subelementos o crean una serie de directorios profundos para almacenar nuevos archivos de registro, como D: \\ 01 \\ 02 \\ 03 \\ 04 \\ 05 \\ 06 \\ 07, llamado El principio es "mirar menos, mejor".

2. Configure los permisos de acceso al archivo

Después de modificar el directorio de almacenamiento del archivo de registro, el registro aún se puede vaciar. Lo siguiente es evitar que esto suceda modificando los derechos de acceso del archivo de registro. La premisa es que el sistema de Windows debe adoptar el formato del sistema de archivos NTFS. .

Haga clic con el botón derecho en el directorio CCE de la unidad D y seleccione "Propiedades" para cambiar a la página de la pestaña "Seguridad". Primero, cancele "Permitir que los permisos heredados del padre se propaguen al objeto". Opción de verificación. Luego, seleccione la cuenta " Todos y " en el cuadro de lista de la cuenta, y déle el permiso "Leer", luego haga clic en el botón "Agregar" para agregar la cuenta "Sistema" al cuadro de lista de la cuenta, dando la excepción a &" Control total " y " modifica todos los permisos excepto " y finalmente haga clic en el botón " OK ". Aparecerá un cuadro de diálogo de error cuando el usuario borre el registro de Windows.

En segundo lugar, el análisis de la instancia de registro de Windows

En el registro de Windows se registran una gran cantidad de eventos operativos. Para la conveniencia de los usuarios de administrarlos, cada tipo de evento recibe un número único. Es la identificación del evento.

1. Ver el historial normal de conmutadores

En los sistemas Windows, podemos ver los registros de apertura y apagado de la computadora a través del registro del sistema del visor de eventos, ya que el servicio de registro se inicia o se apaga con la computadora y está en el registro. Deja un registro. Aquí vamos a presentar dos ID de eventos: l6; 6006 y 6005 y ". 6005 indica que se ha iniciado el servicio de registro de eventos. Si se encuentra un número de ID de evento de 6005 en el visor de eventos, indica que el sistema de Windows se inicia normalmente en este día. 6006 indica que el servicio de registro de eventos se ha detenido. Si el número de ID de evento de 6006 no se encuentra en el visor de eventos, significa que la computadora no se apagó normalmente en este día. Esto puede deberse a motivos del sistema o la alimentación se corta directamente. Operación de apagado.

2. Ver mensajes de advertencia de configuración DHCP

En una red grande, el servidor DHCP se utiliza para configurar la información de la dirección IP del cliente. Si el cliente no puede encontrar el servidor DHCP, utilizará automáticamente una configuración de dirección IP interna. El cliente genera un evento con el número de ID de evento 1007 en el registro de Windows. Si el usuario encuentra el evento del número en el registro, lo que indica que la máquina no puede obtener información del servidor DHCP, es necesario verificar si la máquina está defectuosa o si el servidor DHCP está defectuoso.