Comments 10
Сторонние программы, работающие с неактивным реестром, в подавляющем большинстве случаев игнорируют файл (файлы) журналаА какие не игнорируют?
Кхм…
Всем известно винда каждую секунду что-то читает/записывает.
Все данные постоянно (с определённой частотой) изменяются.
Понятие «неактивный реестр» слишком самоуверенно.
Так как система перезапишет ваш т.н. «неактивный реестр» и все попрятанные ключи пойдут прахом.
Лучший способ спрятать свой ключ — это использовать системные ключи или серию ключей при суммировании (или другие вычисления) которых будет извлекаться нужное значение.
Всем известно винда каждую секунду что-то читает/записывает.
Все данные постоянно (с определённой частотой) изменяются.
Понятие «неактивный реестр» слишком самоуверенно.
Так как система перезапишет ваш т.н. «неактивный реестр» и все попрятанные ключи пойдут прахом.
Лучший способ спрятать свой ключ — это использовать системные ключи или серию ключей при суммировании (или другие вычисления) которых будет извлекаться нужное значение.
Что система перезапишет в файле, который к ней даже не подключен?
Ок, а кто полностью распоряжается такими файлами?
Правильно, система.
Винда сама решает что и куда писать. И Вы уже не сможете приказать не изменять оффлайн-реестр.
Разве что делать бэкап этого файла. Так ведь и система делает бекапы реестра.
Кто дает 100% гарантию того что система через секунду не подключит или после перезагрузки?
Правильно, система.
Винда сама решает что и куда писать. И Вы уже не сможете приказать не изменять оффлайн-реестр.
Разве что делать бэкап этого файла. Так ведь и система делает бекапы реестра.
Кто дает 100% гарантию того что система через секунду не подключит или после перезагрузки?
Как уже сказали ниже, то, что для системы этот файл — не реестр, а просто файл непонятно с чем.
просто файл непонятно с чем — точнее ЛОГ-файл.
С какой частотой система делает ротацию таких логов и в какой директории?
Ведь для юзера отдельные логи тоже ведутся.
И которые при активной системе невозможно открыть или скопировать.
С какой частотой система делает ротацию таких логов и в какой директории?
Ведь для юзера отдельные логи тоже ведутся.
И которые при активной системе невозможно открыть или скопировать.
Речь идет об использовании специальных программ, использующихся при криминалистической экспертизе. Программы читают реестр на заблокированном для записи носителе (изъятом, например, из исследуемого компьютера). Читают довольно посредственно, игнорируя при этом log hive. Вот и все.
Что касается «ротации», то там не ротация, а, скорее, восстановление, происходящее при подключении куста. Если мне не изменяет память, загрузчик при старте проверит достоверность основного куста и восстановит его из журнала. Надеюсь, msuhanov меня поправит, если вру.
Что касается «ротации», то там не ротация, а, скорее, восстановление, происходящее при подключении куста. Если мне не изменяет память, загрузчик при старте проверит достоверность основного куста и восстановит его из журнала. Надеюсь, msuhanov меня поправит, если вру.
Неактивный реестр – это тот, который не был смонтирован, то есть отключенный реестр. Вы, видимо, не совсем поняли суть.
Sign up to leave a comment.
Недокументированные возможности Windows: скрываем изменения в реестре от программ, работающих с неактивным реестром