如何清理注冊表

　　注冊表是Windows系統用來存儲配置信息的幾個“數據庫”，硬件設備的調整、應用程序的增刪、系統運行狀態的修改等內容都保存在注冊表數據庫中。現在木馬和病毒這麼多，有的殺毒工具也不能完全檢測和清除病毒，那我們能通過注冊表監視工具直接掌控系統的工作情況嗎？筆者推薦了一款很靓的工具——Regmon（Registry Monitor），它是一個出色的綠色注冊表數據庫監視軟件，自動將系統對注冊表數據庫的讀取、修改等操作逐筆記錄下來，此後我們就可以憑借它所作的記錄從事有關系統維護操作了。www.sq120.com推薦文章
一、如何判斷程序寫入注冊表是否正常
　　下面我們以使用《超級兔子》為例，看看怎樣用Regmon來了解《超級兔子》的“魔法設置”是如何對注冊表修改數據的。
　　首先運行Regmon，一個很標准的Windows程序界面。點擊“選項→過濾器/高亮”命令，然後在彈出的“Regmon過濾”窗口設置所需的過濾條件。在“包含”欄中輸入《超級兔子》“魔法設置”的進程名稱“srms.exe”（如圖1），並選中“日志寫入”和“日志成功”，其他的監視選項都取消，這樣可以大大減少無用的監視數據信息，提高用戶對信息的分析效率。
　　設置完成後單擊“應用”按鈕，Regmon會提示用戶“要應用更新的過濾設置到當前輸出嗎？”，點擊“是”按鈕返回主界面，然後點擊工具欄中的“清除”按鈕清除當前窗口中已經顯示的全部監視數據。tW.WingWit.cOM
　　下面運行《超級兔子》的“魔法設置”功能，選中“系統”，在“系統選項”標簽中勾選“關機時自動清除文檔菜單”並“應用”。切換到Regmon的操作界面，你會發現窗口中顯示有363條相關記錄。
　　那怎樣才能判斷出究竟哪個才是對應的數據呢？用戶只須再次取消勾選“關機時自動清除文檔菜單”並“應用”，這時在Regmon的操作界面中就會又出現363條記錄。下面對這兩次的記錄進行對比，發現程序修改的注冊表鍵值都是相同的，即HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit。由此我們得知，該鍵值為“1”表示自動清除文件記錄，鍵值為“0”表示保留文件記錄。
二、哪些是注冊表高危鍵值
　　如何防止木馬、病毒、流氓軟件等眾多惡意程序修改注冊表？我們只須在安裝軟件之前先行啟動Regmon，將該軟件在安裝過程中對注冊表數據庫的修改全部記錄下來，由於惡意程序很多都是開機就運行的，所以用戶如果發現了開機就運行的可疑程序，那麼就需要注意了。
　　下面是惡意程序最常見的在注冊表中駐扎的啟動項：
1.注冊表啟動項
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
　　阿萌小提示：
　　我們如何分辨這些啟動項目到底是正常的還是惡意的呢？每個啟動項目都分為名稱、類型、數據三部分。
　　正確的方法是直接在“數據”部分查看該啟動項所對應的文件目錄，比如殺毒軟件卡巴斯基的啟動名稱為“kav”，數據的內容為“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”，接著根據目錄所指找到相應的文件，然後點擊右鍵查看它的“屬性”。正規文件的“屬性”窗口都可以看到常規、版本、兼容性等幾個標簽，從“版本”標簽我們就可以輕易的查看到該文件的“公司名稱”、“文件描述”等信息(如圖2)。如果該文件的“屬性”窗口沒有“版本”標簽的信息，那麼這個文件就一定有問題，應當及早進行刪除。
2.系統服務啟動
　　在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下，就可以查看到系統全部的服務，包括木馬安裝的可疑服務主鍵。如果發現有程序向這裡添加鍵值，用戶就應該引起注意了。在右邊窗格中找到二進制值“Start”，修改它的數值，“2”表示自動，“3”表示手動，而“4”表示已禁用，當然最好直接刪除整個主鍵。
3.開始菜單啟動組
　　“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”，鍵名為“StartUp”，就是該項目在注冊表的位置。
　　一旦在注冊表以上位置發現含有奇怪的程序路徑的話，首先我們選中該鍵值，接著點擊Regmon操作界面中的“注冊表跳轉”命令，然後用戶就可以對其進行操作了。從上面的介紹中可以看出，充分利用Regmon的注冊表數據庫監視功能有助於簡化我們對系統的維護操作，提高系統運行效率，更何況它還是一個免費軟件。

 
From:http://tw.wingwit.com/Article/Software/201309/742.html