<br><br><br>
<P>Windows的注册表就像一个地下迷宫,每当我们感觉对它了解一些的时候,却发现它还包含着一个新的迷宫……我们拥有很多修改注册表的工具,但它们总是在注册表被软件修改之后才能用得到,怎么才能在注册表被改动的第一时间就发现呢?很多杀毒软件都忽视了对注册表的保护,而这往往是木马病毒滋生的温床!</P>
<P>注册表是一个庞大的数据库,我们对它只有一个静态的了解。其实,了解注册表动态数据变化更有意义,因为几乎所有软件在安装和运行过程中,都会修改注册表数据,而这些注册表数据的变化很可能是有害的,例如木马程序添加的自启动数据。通过对注册表进行监视,你就能观察到这些数据的变化,同时,通过对注册表数据动态变化的分析,你还可以了解到更多关于注册表的秘密。下面就通过三个监视注册表的实例,来了解系统的秘密。</P>
<P><STRONG>超级兔子的秘密</STRONG></P>
<P>许多朋友很喜欢用超级兔子来修改一些系统选项,用起来确实方便。不过,对于一些喜欢凡事问个究竟的朋友来说,可能心里一直有一个疑问:超级兔子究竟是修改了注册表中的哪些数据呢?软件作者怎么发现它们的?这些都属于超级兔子的秘密,一般来说,我们是很难得知的,不过通过Regmon软件对注册表的监视,你就能发现它其实很简单。</P>
<P><STRONG>Regmon 小档案</STRONG></P>
<P>软件版本:6.06 软件大小:82KB</P>
<P>软件性质:免费软件 适用平台:Windows 9x/2000/XP</P>
<P><STRONG>第一步:</STRONG>运行Regmon,单击菜单“选项→过滤器→高亮”,在这里需要设置过滤条件,让Regmon只显示超级兔子对注册表修改的数据。在“包含”栏中输入超级兔子魔法设置的进程文件名“srms.exe”(见图1),并在下面只选中“记录写入”、“记录成功”两个选项,其他要监视的选项全部取消,这样可以大大减少无用监视数据,提高分析效率。</P>
<P><img src="attachments/dvbbs/2006-2/200621623365836258.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" /><br>图1</P>
<P><STRONG>第二步:</STRONG>单击“确定”按钮,这时Regmon会提示你“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后按“Ctrl+X”快捷键清除当前窗口中已经显示的监视数据。</P>
<P><STRONG>第三步:</STRONG>运行超级兔子,打开“桌面与图标→图标选项”。</P>
<P><STRONG>实例:</STRONG>透视“禁止使用缩略图加速”</P>
<P>这里来分析一下“禁止使用缩略图加速”技巧究竟是如何修改注册表的。首先选中该选项,单击“应用”按钮,切换到Regmon,你会发现窗口中显示有13个记录,这是超级兔子的设计问题,即使只修改了这个页面中的一个选项,它也会把该页面中所有选项对应的注册表数据重写一下,所以就会产生很多数据。</P>
<P>那怎样才能判断出究竟哪个才是对应的数据呢?只需再次取消“禁止使用缩略图加速”选项,并点击一次“应用”按钮,返回Regmon,你会发现窗口中又出现了13个记录,现在仔细对比“其他”列中前13个记录与后13个记录的数据,会发现只有两个记录的数据是不同的(见图2)。 </P>
<P><img src="attachments/dvbbs/2006-2/20062162338155657.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" /><br>图2</P>
<P>这两个记录对应的“路径”列指向的注册表键值都是相同的,即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion<br> \Explorer\Advanced主键下的“DisableThumbnailCache”键值。由此我们可以分析得出结论,该键值为“1”表示禁止使用缩略图加速,键值为“0”表示允许使用缩略图加速功能。<br><br> <STRONG>小提示<br></STRONG><br> 利用Regmon的注册表动态监视功能,还可以对一些有使用天数限制的共享软件进行监视,找出记录使用时间的注册表键值,修改该键值数据就能延长使用期限。<br><br> <STRONG>它们都干了些什么<br></STRONG><br> 注册表体积与系统速度关系密切,所以大家都不希望软件在安装时向注册表中写入数据。那么,如何才能知道一个软件究竟对注册表做了什么修改呢?你可以通过以下两种方法进行侦查。<br><br> <STRONG>1.FC命令<br></STRONG><br> 安装新软件前,打开注册表编辑器,选择“注册表→导出注册表文件”,利用“全部”选项,将结果文件保存为Before.txt(不要使用REG扩展名)。安装新软件或进行用户想跟踪的其他任何更改后,打开注册表编辑器,再导出整个注册表,这一次将导出的文件命名为After.txt文件。接着打开MS-DOS命令窗口,转换到有那两个文本文件的目录中,然后执行以下命令:<br><br> FC Before.txt After.txt > Diff.txt<br><br> 关闭DOS窗口,在“记事本”中打开Diff.txt文件,这里会显示在注册表所发现的所有不同之处。<br><br> <STRONG> 2.RegShot<br></STRONG><br> Regshot可以帮你了解到这些信息,它可以在软件安装前后为注册表建立两个快照。通过分析快照文件,找出有变化的注册表数据,并把比较结果输出为易读的报告文件。<br><br> <STRONG>Regshot 小档案<br></STRONG><br> 软件版本:1.72 软件大小:28KB<br> 软件性质:免费软件 适用平台:Windows 9x/2000/XP<br> <br> <STRONG>软件备注:</STRONG>Regshot是一款多国语言版软件,运行后在右下角的语言下拉框中选择“中文GB”即可切换为简体中文界面。</P>
[此贴子已经被作者于2006-2-16 23:38:27编辑过] | 
狗仔卡
发表于 2006-1-14 23:18:00
提升卡
变色卡
抢沙发
显身卡
楼主