作者:自由风数码?徐海斌 Windows的注册表就像一个地下迷宫,每当我们感觉对它了解一些的时候,却发现它还包含着一个新的迷宫……我们拥有很多修改注册表的工具,但它们总是在注册表被软件修改之后才能用得到,怎么才能在注册表被改动的第一时间就发现呢?很多杀毒软件都忽视了对注册表的保护,而这往往是木马病毒滋生的温床! 注册表是一个庞大的数据库,我们对它只有一个静态的了解。其实,了解注册表动态数据变化更有意义,因为几乎所有软件在安装和运行过程中,都会修改注册表数据,而这些注册表数据的变化很可能是有害的,例如木马程序添加的自启动数据。通过对注册表进行监视,你就能观察到这些数据的变化,同时,通过对注册表数据动态变化的分析,你还可以了解到更多关于注册表的秘密。下面就通过三个监视注册表的实例,来了解系统的秘密。
超级兔仔的秘密
许多朋友很喜欢用超级兔子来修改一些系统选项,用起来确实方便。不过,对于一些喜欢凡事问个究竟的朋友来说,可能心里一直有一个疑问:超级兔子究竟是修改了注册表中的哪些数据呢?软件作者怎么发现它们的?这些都属于超级兔子的秘密,一般来说,我们是很难得知的,不过通过Regmon软件对注册表的监视,你就能发现它其实很简单。
Regmon 小档案
软件版本:6.06 软件大小:82KB
软件性质:免费软件 适用平台:Windows 9x/2000/XP
下载地址:http://www.hanzify.org/index.php?Go=Show::List&ID=4231&Down=1&L=cn 第一步:运行Regmon,单击菜单“选项→过滤器→高亮”,在这里需要设置过滤条件,让Regmon只显示超级兔子对注册表修改的数据。在“包含”栏中输入超级兔子魔法设置的进程文件名“srms.exe”(见图1),并在下面只选中“记录写入”、“记录成功”两个选项,其他要监视的选项全部取消,这样可以大大减少无用监视数据,提高分析效率。 
第二步:单击“确定”按钮,这时Regmon会提示你“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后按“Ctrl+X”快捷键清除当前窗口中已经显示的监视数据。
第三步:运行超级兔子,打开“桌面与图标→图标选项”。
|
当前位置: