【 tulaoshi.com - windows 】
Windows的注册表就像一个地下迷宫,每当我们感觉对它了解一些的时候,却发现它还包含着一个新的迷宫……我们拥有很多修改注册表的工具,但它们总是在注册表被软件修改之后才能用得到,怎么才能在注册表被改动的第一时间就发现呢?很多杀毒软件都忽视了对注册表的保护,而这往往是木马病毒滋生的温床!
注册表是一个庞大的数据库,我们对它只有一个静态的了解。其实,了解注册表动态数据变化更有意义,因为几乎所有软件在安装和运行过程中,都会修改注册表数据,而这些注册表数据的变化很可能是有害的,例如木马程序添加的自启动数据。通过对注册表进行监视,你就能观察到这些数据的变化,同时,通过对注册表数据动态变化的分析,你还可以了解到更多关于注册表的秘密。下面就通过三个监视注册表的实例,来了解系统的秘密。
超级兔子的秘密 许多朋友很喜欢用超级兔子来修改一些系统选项,用起来确实方便。不过,对于一些喜欢凡事问个究竟的朋友来说,可能心里一直有一个疑问:超级兔子究竟是修改了注册表中的哪些数据呢?软件作者怎么发现它们的?这些都属于超级兔子的秘密,一般来说,我们是很难得知的,不过通过Regmon软件对注册表的监视,你就能发现它其实很简单。
Regmon [点击下载]
第一步:运行Regmon,单击菜单“选项→过滤器→高亮”,在这里需要设置过滤条件,让Regmon只显示超级兔子对注册表修改的数据。在“包含”栏中输入超级兔子魔法设置的进程文件名“srms.exe”(见图1),并在下面只选中“记录写入”、“记录成功”两个选项,其他要监视的选项全部取消,这样可以大大减少无用监视数据,提高分析效率。
第二步:单击“确定”按钮,这时Regmon会提示你“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后按“Ctrl+X”快捷键清除当前窗口中已经显示的监视数据。
第三步:运行超级兔子,打开“桌面与图标→图标选项”。
实例:透视“禁止使用缩略图加速”
这里来分析一下“禁止使用缩略图加速”技巧究竟是如何修改注册表的。首先选中该选项,单击“应用”按钮,切换到Regmon,你会发现窗口中显示有13个记录,这是超级兔子的设计问题,即使只修改了这个页面中的一个选项,它也会把该页面中所有选项对应的注册表数据重写一下,所以就会产生很多数据。
那怎样才能判断出究竟哪个才是对应的数据呢?只需再次取消“禁止使用缩略图加速”选项,并点击一次“应用”按钮,返回Regmon,你会发现窗口中又出现了13个记录,现在仔细对比“其他”列中前13个记录与后13个记录的数据,会发现只有两个记录的数据是不同的(见图2)。
这两个记录对应的“路径”列指向的注册表键值都是相同的,即HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced主键下的“DisableThumbnailCache”键值。由此我们可以分析得出结论,该键值为“1”表示禁止使用缩略图加速,键值为“0”表示允许使用缩略图加速功能。
小提示
利用Regmon的注册表动态监视功能,还可以对一些有使用天数限制的共享软件进行监视,找出记录使用时间的注册表键值,修改该键值数据就能延长使用期限。
它们都干了些什么 注册表体积与系统速度关系密切,所以大家都不希望软件在安装时向注册表中写入数据。那么,如何才能知道一个软件究竟对注册表做了什么修改呢?你可以通过以下两种方法进行侦查。
1.FC命令 安装新软件前,打开注册表编辑器,选择“注册表→导出注册表文件”,利用“全部”选项,将结果文件保存为Before.txt(不要使用REG扩展名)。安装新软件或进行用户想跟踪的其他任何更改后,打开注册表编辑器,再导出整个注册表,这一次将导出的文件命名为After.txt文件。接着打开MS-DOS命令窗口,转换到有那两个文本文件的目录中,然后执行以下命令:[next]
FC Before.txt After.txt Diff.txt
关闭DOS窗口,在“记事本”中打开Diff.txt文件,这里会显示在注册表所发现的所有不同之处。
&