Мои защёщённые ключи реестра

Shaman1 · February 7, 2010, 5:21am

Вопрос по проактивной защите: какие ключи реестра можно ещё добавить в защиту ?
кроме тех что стоят по умолчанию

http://www.10pix.ru/img1/836137/790265.png

az_crc · February 7, 2010, 9:37am

Можно добавить любые, хоть весь реестр.
Какие нужно добавить вам - не знаю.

Для эксперимента можно позамораживать триалы, но такой ламерской защиты сейчас почти нет, и если прога увидит, что реестр заперт, то халява резко закончится.

zil968 · February 15, 2010, 3:54pm

Я добавил бы еще вот эти
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor*
HKEY_CURRENT_USER\Software\Microsoft\Command Processor*
А вообще интересная тема. Как то раньше не разглядел. Поддержит ли кто нибудь?
P.S. Только что глянул что SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options уже есть. Раньше добавлял вручную.

Metzger · February 18, 2010, 11:11am

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices*
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevice1*

Может и не принципиально - но всё же неприятно когда у вас внезапно отмонтирываются все разделы.

Shaman1 · February 18, 2010, 11:38am

Добавил вот такие еще…
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx]
[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce]

goodbrazer · February 18, 2010, 6:50pm

Вроде они уже в группе “автоматический запуск”:
\Software\Microsoft\Windows\CurrentVersion\Run

Наверно можно одним правилом:
\Software\Microsoft\Command Processor

Можете сказать в 2х словах, почему Command Processor* следует внести в список. Нашел кое-что на аглицком по этой теме, но… недопонял :-X

zil968 · February 18, 2010, 8:49pm

cmd /?
…
“При запуске CMD.EXE выполняется проверка значений переменных REG_SZ или REG_EXPAND_SZ
для следующих разделов системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
и/или
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
и если одна из них или обе они присутствуют, то сначала выполняются они”
т.е. это автозапуск выполняемый при старте cmd.exe.
Но *\Software\Microsoft\Command Processor\AutoRun тоже уже добавлено в стандартные настройки Comodo.

goodbrazer · February 18, 2010, 9:16pm

Спасибо, теперь ясно.