注冊表是Windows系統用來存儲配置信息的幾個“數據庫”,硬件設備的調整、應用程序的增刪、系統運行狀態的修改等內容都保存在注冊表數據庫中。現在木馬和病毒這麼多,有的殺毒工具也不能完全檢測和清除病毒,那我們能通過注冊表監視工具直接掌控系統的工作情況嗎?筆者推薦了一款很靓的工具——Regmon(Registry Monitor),它是一個出色的綠色注冊表數據庫監視軟件,自動將系統對注冊表數據庫的讀取、修改等操作逐筆記錄下來,此後我們就可以憑借它所作的記錄從事有關系統維護操作了。www.sq120.com推薦文章
一、如何判斷程序寫入注冊表是否正常
下面我們以使用《超級兔子》為例,看看怎樣用Regmon來了解《超級兔子》的“魔法設置”是如何對注冊表修改數據的。
首先運行Regmon,一個很標准的Windows程序界面。點擊“選項→過濾器/高亮”命令,然後在彈出的“Regmon過濾”窗口設置所需的過濾條件。在“包含”欄中輸入《超級兔子》“魔法設置”的進程名稱“srms.exe”(如圖1),並選中“日志寫入”和“日志成功”,其他的監視選項都取消,這樣可以大大減少無用的監視數據信息,提高用戶對信息的分析效率。
設置完成後單擊“應用”按鈕,Regmon會提示用戶“要應用更新的過濾設置到當前輸出嗎?”,點擊“是”按鈕返回主界面,然後點擊工具欄中的“清除”按鈕清除當前窗口中已經顯示的全部監視數據。tW.WingWit.cOM
下面運行《超級兔子》的“魔法設置”功能,選中“系統”,在“系統選項”標簽中勾選“關機時自動清除文檔菜單”並“應用”。切換到Regmon的操作界面,你會發現窗口中顯示有363條相關記錄。
那怎樣才能判斷出究竟哪個才是對應的數據呢?用戶只須再次取消勾選“關機時自動清除文檔菜單”並“應用”,這時在Regmon的操作界面中就會又出現363條記錄。下面對這兩次的記錄進行對比,發現程序修改的注冊表鍵值都是相同的,即HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit。由此我們得知,該鍵值為“1”表示自動清除文件記錄,鍵值為“0”表示保留文件記錄。
二、哪些是注冊表高危鍵值
如何防止木馬、病毒、流氓軟件等眾多惡意程序修改注冊表?我們只須在安裝軟件之前先行啟動Regmon,將該軟件在安裝過程中對注冊表數據庫的修改全部記錄下來,由於惡意程序很多都是開機就運行的,所以用戶如果發現了開機就運行的可疑程序,那麼就需要注意了。
下面是惡意程序最常見的在注冊表中駐扎的啟動項:
1.注冊表啟動項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
阿萌小提示:
我們如何分辨這些啟動項目到底是正常的還是惡意的呢?每個啟動項目都分為名稱、類型、數據三部分。
正確的方法是直接在“數據”部分查看該啟動項所對應的文件目錄,比如殺毒軟件卡巴斯基的啟動名稱為“kav”,數據的內容為“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”,接著根據目錄所指找到相應的文件,然後點擊右鍵查看它的“屬性”。正規文件的“屬性”窗口都可以看到常規、版本、兼容性等幾個標簽,從“版本”標簽我們就可以輕易的查看到該文件的“公司名稱”、“文件描述”等信息(如圖2)。如果該文件的“屬性”窗口沒有“版本”標簽的信息,那麼這個文件就一定有問題,應當及早進行刪除。
2.系統服務啟動
在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下,就可以查看到系統全部的服務,包括木馬安裝的可疑服務主鍵。如果發現有程序向這裡添加鍵值,用戶就應該引起注意了。在右邊窗格中找到二進制值“Start”,修改它的數值,“2”表示自動,“3”表示手動,而“4”表示已禁用,當然最好直接刪除整個主鍵。
3.開始菜單啟動組
“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”,鍵名為“StartUp”,就是該項目在注冊表的位置。
一旦在注冊表以上位置發現含有奇怪的程序路徑的話,首先我們選中該鍵值,接著點擊Regmon操作界面中的“注冊表跳轉”命令,然後用戶就可以對其進行操作了。從上面的介紹中可以看出,充分利用Regmon的注冊表數據庫監視功能有助於簡化我們對系統的維護操作,提高系統運行效率,更何況它還是一個免費軟件。
From:http://tw.wingwit.com/Article/Software/201309/742.html