如何判断什么正在改变 Windows 环境变量
我有一个 (win8) 系统,每次重新启动时,都会修改 HOME 环境变量。
这导致了问题,我想追踪修改它的内容。
有什么方法可以告诉什么正在修改该环境变量?
我们需要做的是:
-
Run Code Online (Sandbox Code Playgroud)Run the following command from Command Prompt: auditpol /set /subcategory:"Registry" /success:enable
注意:如果操作系统具有不同的语言包,名称Registry可能会有所不同。例如,在德语 Windows 上,名称是Registrierung. 要查看子类别的名称,您可以运行:
auditpol /list /subcategory:*
-
Run Code Online (Sandbox Code Playgroud)Open Registry Editor and navigate to the key which we want to audit
- 用户变量:
HKEY_CURRENT_USER\Environment - 系统变量(
PATH是系统变量):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\
-
Run Code Online (Sandbox Code Playgroud)Right-click on the key and choose `Permissions…`
-
Run Code Online (Sandbox Code Playgroud)Click `Advanced` and switch to the `Auditing` tab
-
Run Code Online (Sandbox Code Playgroud)Add a user or group and select Access: Set Value -
Run Code Online (Sandbox Code Playgroud)Apply settings
现在注册表更改在事件查看器中可见Windows Logs\Security:
| 归档时间: |
|
| 查看次数: |
4808 次 |
| 最近记录: |