Днес ще ви покажем как да използвате един от любимите ни инструменти, Proc Mon, за да видите кои ключове в регистъра се редактират, когато промените настройката за групови правила на вашия компютър.
Първото нещо, което ще искате да направите, е да си направите копие на Proc Mon от уеб сайта на Sys Internals.
След това ще трябва да извлечете папката и да стартирате файла Procmon.exe.
Когато се отвори Proc Mon, ще трябва да добавите условие, както следва:
Името на процеса е mmc.exe след това включва
След това кликнете върху бутона за добавяне.
За да получите само променените ключове в системния регистър, трябва да добавите още една:
Операцията е RegSetValue, след това включва
След това отново кликнете върху бутона за добавяне.
След като двете правила бъдат добавени, можете да продължите и да кликнете върху OK.
Сега отворете настройката за групови правила, която искате да редактирате.
Преди да промените настройката, превключете отново на Proc Mon и изчистете дневника.
След това отидете и променете GPO и щракнете върху apply.
Ако превключите на Proc Mon, ще видите, че имате ключ (и) в системния регистър там. Кликнете с десния бутон върху него и изберете опцията Прескачане към ... от контекстното меню.
Това ще задейства Regedit и ще ви отведе до точния ключ, който бе променен
Това е всичко, което има за него момчета.
