HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下面没有名为"FFIX32",值为"C:\WINDOWS\system32\Dractx.exe"的字键,就添加一个进去。
我试图找到是哪一个程序在进行这个操作,现在可以监视到程序对注册表的修改,但不知道如何得到程序的程序名。请高手指点。最好能有代码。另外,有哪位知道那个dractx.exe是什么程序吗?请赐教。
类似的问题,假设有一程序打开了一个文件(尚未关闭),那么如何通过文件名得到程序名?反过来,又如何通过程序名得到文件名?
先谢了。
6 个解决方案
#1
两个工具:FileMon,RegMon.
#2
这个问题似乎比较难。。帮你UP
#3
http://www.codeguru.com/Cpp/W-P/system/processesmodules/article.php/c2827/
看看他的whouses例子。
看看他的whouses例子。
#4
NtQueryInformationFile/NtQueryObject
#5
可能是病毒哦
#6
RegMon
#1
两个工具:FileMon,RegMon.
#2
这个问题似乎比较难。。帮你UP
#3
http://www.codeguru.com/Cpp/W-P/system/processesmodules/article.php/c2827/
看看他的whouses例子。
看看他的whouses例子。
#4
NtQueryInformationFile/NtQueryObject
#5
可能是病毒哦
#6
RegMon