注册表远程攻击，Windows 7，需要帮助跟踪罪犯

Question

我在办公室写了一些.VBS代码，允许在Windows7x32系统上不带警告对话框地下载某些文件扩展名。

我写这篇文章的系统是在一个实验室里的一个分段子网上。所有的web访问都是通过代理服务器进行的。访问我的机器的唯一方法是通过互联网或从实验室的AD域访问。

在编写和测试我的代码时，我发现了一条消息。在刷新注册表以验证我的代码更改了dword时，相反，在调用dword值的regedit中写入并显示了消息HELLO。

我拍了一个屏幕截图，然后开始编辑我的代码。除了在另一个内部服务器上，上次我编写注册表代码时也发生了同样的奇怪行为。

我理解windows系统存在远程注册表访问。一旦我回到办公室，我会立即阻止这件事。

我想知道的是，我能追踪到是谁造成了这种联系吗？我该怎么做？

我怀疑造成这种情况的原因是我在工作中遇到的其他“奇怪”行为，例如失去对输入主管的控制超过一个小时，以及没有逻辑区域突然失败的代码不变。

这些失败发生在有趣的时刻，每当我要演示我的测试代码时。我知道这听起来很疯狂，然而，注册组件的知识使这是可信的。一旦可以访问注册表，整个系统就会受到危害。

这是在测试网络上，每个人都是一个域管理员，因此该组中的任何人都有能力启用远程注册表访问。远程援助可以秘密启用吗？

如有任何帮助或检查是否正常，我们将不胜感激。

Answer 1

我推测这可能与编程有关..。但是你最好在代码被关闭之前尽快发布。

这些失败发生在有趣的时刻，当我将要演示我的测试代码时。

老实说，这可能是偏执狂和糟糕的编码以及糟糕的环境设置的混合体。坏人怎么知道你要做演示呢？

刷新注册表以验证我的代码更改了一个dword，相反，在regedit中写入并可见消息HELLO，而dword值是wass所调用的。

贴上你的密码。我也很难相信坏家伙知道你要写哪个注册表项……你不能把一个字符串放入DWORD类型的注册表项中.这意味着您要么找错了键，要么代码中有错误。

Answer 2

远程注册表访问需要登录，该登录记录和事件在安全事件日志中。因为这是Win7，所以默认情况下是打开的，这在Win7中不是这样的。在安全日志中查找您不认识的访问。您可能会看到一些“匿名”尝试，这在Windows网络上是相当正常的。