註冊表是Windows系統用來存儲配置資訊的幾個“資料庫”,硬體設備的調整、應用程式的增刪、系統運行狀態的修改等內容都保存在註冊表資料庫中。現在木馬和病毒這麼多,有的殺毒工具也不能完全檢測和清除病毒,那我們能通過註冊表監視工具直接掌控系統的工作情況嗎?筆者推薦了一款很靚的工具——Regmon(Registry Monitor),它是一個出色的綠色註冊表資料庫監視軟體,自動將系統對註冊表資料庫的讀取、修改等操作逐筆記錄下來,此後我們就可以憑藉它所作的記錄從事有關系統維護操作了 一、如何判斷程式寫入註冊表是否正常
下麵我們以使用《超級兔子》為例,看看怎樣用Regmon來瞭解《超級兔子》的“魔法設置”是如何對註冊表修改數據的。
首先運行Regmon,一個很標準的Windows程式介面。點擊“選項→篩檢程式/高亮”命令,然後在彈出的“Regmon過濾”窗口設置所需的過濾條件。在“包含”欄中輸入《超級兔子》“魔法設置”的進程名稱“srms.exe”(如圖1),並選中“日誌寫入”和“日誌成功”,其他的監視選項都取消,這樣可以大大減少無用的監視數據資訊,提高用戶對資訊的分析效率。
設置完成後單擊“應用”按鈕,Regmon會提示用戶“要應用更新的過濾設置到當前輸出嗎?”,點擊“是”按鈕返回主介面,然後點擊工具欄中的“清除”按鈕清除當前窗口中已經顯示的全部監視數據。
下麵運行《超級兔子》的“魔法設置”功能,選中“系統”,在“系統選項”標籤中勾選“關機時自動清除文檔菜單”並“應用”。切換到Regmon的操作介面,你會發現窗口中顯示有363條相關記錄。
那怎樣才能判斷出究竟哪個才是對應的數據呢?用戶只須再次取消勾選“關機時自動清除文檔菜單”並“應用”,這時在Regmon的操作介面中就會又出現363條記錄。下麵對這兩次的記錄進行對比,發現程式修改的註冊表鍵值都是相同的,即HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerClearRecentDocsOnExit。由此我們得知,該鍵值為“1”表示自動清除檔記錄,鍵值為“0”表示保留檔記錄。
二、哪些是註冊表高危鍵值
如何防止木馬、病毒、流氓軟體等眾多惡意程式修改註冊表?我們只須在安裝軟體之前先行啟動Regmon,將該軟體在安裝過程中對註冊表資料庫的修改全部記錄下來,由於惡意程式很多都是開機就運行的,所以用戶如果發現了開機就運行的可疑程式,那麼就需要注意了。
下麵是惡意程式最常見的在註冊表中駐紮的啟動項:
1.註冊表啟動項
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionRun]
阿萌小提示:
我們如何分辨這些啟動專案到底是正常的還是惡意的呢?每個啟動專案都分為名稱、類型、數據三部分。
正確的方法是直接在“數據”部分查看該啟動項所對應的檔目錄,比如殺毒軟體卡巴斯基的啟動名稱為“kav”,數據的內容為“C rogram FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe”,接著根據目錄所指找到相應的檔,然後點擊右鍵查看它的“屬性”。正規檔的“屬性”窗口都可以看到常規、版本、相容性等幾個標籤,從“版本”標籤我們就可以輕易的查看到該檔的“公司名稱”、“檔描述”等資訊(如圖2)。如果該檔的“屬性”窗口沒有“版本”標籤的資訊,那麼這個檔就一定有問題,應當及早進行刪除。
2.系統服務啟動
在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下,就可以查看到系統全部的服務,包括木馬安裝的可疑服務主鍵。如果發現有程式向這裏添加鍵值,用戶就應該引起注意了。在右邊窗格中找到二進位值“Start”,修改它的數值,“2”表示自動,“3”表示手動,而“4”表示已禁用,當然最好直接刪除整個主鍵。
3.開始菜單啟動組
“HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell folders”,鍵名為“StartUp”,就是該專案在註冊表的位置。
一旦在註冊表以上位置發現含有奇怪的程式路徑的話,首先我們選中該鍵值,接著點擊Regmon操作介面中的“註冊表跳轉”命令,然後用戶就可以對其進行操作了。從上面的介紹中可以看出,充分利用Regmon的註冊表資料庫監視功能有助於簡化我們對系統的維護操作,提高系統運行效率,更何況它還是一個免費軟體。 |
