注册表是Windows系统用来存储配置信息的几个“数据库”,硬件设备的调整、应用程序的增删、系统运行状态的修改等内容都保存在注册表数据库中。现在木马和病毒这么多,有的杀毒工具也不能完全检测和清除病毒,那我们能通过注册表监视工具直接掌控系统的工作情况吗?笔者推荐了一款很靓的工具——Regmon(Registry Monitor),它是一个出色的绿色注册表数据库监视软件,自动将系统对注册表数据库的读取、修改等操作逐笔记录下来,此后我们就可以凭借它所作的记录从事有关系统维护操作了。我们的推荐文章 一、如何判断程序写入注册表是否正常 下面我们以使用《超级兔子》为例,看看怎样用Regmon来了解《超级兔子》的“魔法设置”是如何对注册表修改数据的。 首先运行Regmon,一个很标准的Windows程序界面。点击“选项→过滤器/高亮”命令,然后在弹出的“Regmon过滤”窗口设置所需的过滤条件。在“包含”栏中输入《超级兔子》“魔法设置”的进程名称“srms.exe”(如图1),并选中“日志写入”和“日志成功”,其他的监视选项都取消,这样可以大大减少无用的监视数据信息,提高用户对信息的分析效率。 设置完成后单击“应用”按钮,Regmon会提示用户“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后点击工具栏中的“清除”按钮清除当前窗口中已经显示的全部监视数据。tW.WingWit.cOM 下面运行《超级兔子》的“魔法设置”功能,选中“系统”,在“系统选项”标签中勾选“关机时自动清除文档菜单”并“应用”。切换到Regmon的操作界面,你会发现窗口中显示有363条相关记录。 那怎样才能判断出究竟哪个才是对应的数据呢?用户只须再次取消勾选“关机时自动清除文档菜单”并“应用”,这时在Regmon的操作界面中就会又出现363条记录。下面对这两次的记录进行对比,发现程序修改的注册表键值都是相同的,即HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit。由此我们得知,该键值为“1”表示自动清除文件记录,键值为“0”表示保留文件记录。 二、哪些是注册表高危键值 如何防止木马、病毒、流氓软件等众多恶意程序修改注册表?我们只须在安装软件之前先行启动Regmon,将该软件在安装过程中对注册表数据库的修改全部记录下来,由于恶意程序很多都是开机就运行的,所以用户如果发现了开机就运行的可疑程序,那么就需要注意了。 下面是恶意程序最常见的在注册表中驻扎的启动项: 1.注册表启动项 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run] 阿萌小提示: 我们如何分辨这些启动项目到底是正常的还是恶意的呢?每个启动项目都分为名称、类型、数据三部分。 正确的方法是直接在“数据”部分查看该启动项所对应的文件目录,比如杀毒软件卡巴斯基的启动名称为“kav”,数据的内容为“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”,接着根据目录所指找到相应的文件,然后点击右键查看它的“属性”。正规文件的“属性”窗口都可以看到常规、版本、兼容性等几个标签,从“版本”标签我们就可以轻易的查看到该文件的“公司名称”、“文件描述”等信息(如图2)。如果该文件的“属性”窗口没有“版本”标签的信息,那么这个文件就一定有问题,应当及早进行删除。 2.系统服务启动 在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下,就可以查看到系统全部的服务,包括木马安装的可疑服务主键。如果发现有程序向这里添加键值,用户就应该引起注意了。在右边窗格中找到二进制值“Start”,修改它的数值,“2”表示自动,“3”表示手动,而“4”表示已禁用,当然最好直接删除整个主键。 3.开始菜单启动组 “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”,键名为“StartUp”,就是该项目在注册表的位置。 一旦在注册表以上位置发现含有奇怪的程序路径的话,首先我们选中该键值,接着点击Regmon操作界面中的“注册表跳转”命令,然后用户就可以对其进行操作了。从上面的介绍中可以看出,充分利用Regmon的注册表数据库监视功能有助于简化我们对系统的维护操作,提高系统运行效率,更何况它还是一个免费软件。 |