微点交流论坛 - 微点软件使用交流 - 关于微点系统日志的改进建议。

tanlimo
新手上路

积分 30
发帖 30
注册 2007-2-24

#1 关于微点系统日志的改进建议。

系统日志中的进程启动、程序生成、注册表修改的日志记录功能非常好，通过这个日志功能可以实时的掌握系统中的各种变化，但是微点的日志记录是乎还不够全面，进程启动日志没有指出启用进程的父进程、程序生成日志中只有创建没有修改和删除记录、注册表修改记录也只是对启动项和几个重点键值进行记录，希望将来能够加以改进，记录得能够尽量全面一些否则就成鸡肋功能了，最好能够由用户自定义记录方式和内容那是最好不过了。

[ Last edited by tanlimo on 2008-1-5 at 15:35 ]

※ ※ ※ 本文纯属【tanlimo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-5 15:33

y0365
版主

使用与技巧版主

积分 1603
发帖 1571
注册 2007-1-27

#2

“进程启动日志”是记录启用进程的父进程：通过查看后面的ppid(父进程号）对应查找相应的进程。
关于程序生成日志中记录删除日志我觉得没有必要。
注册表修改日志可以记录系统中所有程序的注册表变更日志的，楼主如何测试出微点只记录几个关键键值呢？

[ Last edited by y0365 on 2008-1-5 at 15:51 ]

※ ※ ※ 本文纯属【y0365】个人意见，与【微点交流论坛】立场无关※ ※ ※

乱我心者必杀之

2008-1-5 15:48

tanlimo
新手上路

积分 30
发帖 30
注册 2007-2-24

#3

1、那太麻烦了，而且ppid号也不会总是那个程序专有吧，每个程序在运行后pid号都是绝对固定的？你通过ppid就一定能分辨出它是什么进程吗？

2、某些病毒会破坏系统，删除文件也是有可能的，而且某些正常程序在卸载后可能会带走某些文件，记录删除可以更加全面的了解系统的变化。

3、
请修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"将AlternateShell的值随意改，看微点是否有记录？

请任意在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面添加键值，看微点是否有记录？

请删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved下面的任意键值，看微点是否有记录？

还有很多，我就不一一例举了。

我希望注册表监控最好能做到全局监控，至少也可以由用户自已设定监控范围。

[ Last edited by tanlimo on 2008-1-5 at 17:28 ]

※ ※ ※ 本文纯属【tanlimo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-5 17:03

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#4

为了便于用户使用，微点允许用户自行手工修改所有的注册表键值，同时自动保护系统关键键值不被病毒破坏，欢迎楼主深入测试并多提宝贵意见。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2008-1-5 17:25

tanlimo
新手上路

积分 30
发帖 30
注册 2007-2-24

#5

版主，您好

可能您没有看懂我要表达的意思，我说的是系统监控日志记录不够全面的问题，并不是注册表保护是否全面的问题。

[ Last edited by tanlimo on 2008-1-5 at 17:33 ]

※ ※ ※ 本文纯属【tanlimo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-5 17:32

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号