program, ktory pokaze: CO "trzyma"/chroni/blokuje klucz rejestru

[covo]

sa programy, ktore latwo pokazuja CO trzyma/blokuje konkretny plik.

Czy jest program, ktory pokaze: CO trzyma/chroni/blokuje konkretny klucz rejestru?

[Groszexxx]

Process Explorer, zakładka Handle.

[covo]

całkowicie losowy, przykładowy klucz:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

- nie widzę w proc. expl. możliwości wpisania go w jakieś okno (?) i wylistowania wszelkich procesów, do poziomu nawet sterowników kernelowych, etc., które odwołują się do tego akurat klucza. (co innego, gdy jest proces zadany, nie klucz)

[Miszel03]

Jako moderator muszę zwrócić na to uwagę: proszę poprawić wszystkie posty zgodnie z zasadami pisowni języka polskiego.

[covo]

łatwiutko procmon jednym filtrem pokazuje wszystko (?), co związane jest z konkretnym kluczem. Co nie znaczy, że proc. expl. nie zrobi tego.

 

Jest pytanie:

czy procmon pokazuje absolutnie wszystko, co z systemu "dociera" do klucza i np. może być hakiem na kluczu, powodem jego zablokowania?

[covo]

jednak procmon pokaże tylko stan obecny odwołań do (np.) klucza, a mogą istnieć odwołania/trzymanie wykonane przed uruchomieniem  procmoma (np. w czasie boot).

czyli jednak wspomniany wyżej p. explorer: 

i jeśli chodzi o konkretny klucz, to klawisz find; a jeśli w ogóle o rejestr, to klik w SYSTEM górny panel i oglądanie w dolnym panelu type -> key, ale nie jest jasne, czy w ten sposób podejrzy się całościowa działalność (np. kernela) w sprawie konkretnego klucza, czyli to, o co najbardziej chodzi.

to chwilowo tyle dla porządku i potomności.