Windows的注冊表就像一個地下迷宮，每當(dāng)我們感覺對它了解一些的時候，卻發(fā)現(xiàn)它還包含著一個新的迷宮……我們擁有很多修改注冊表的工具，但它們總是在注冊表被軟件修改之后才能用得到，怎么才能在注冊表被改動的第一時間就發(fā)現(xiàn)呢？很多殺毒軟件都忽視了對注冊表的保護，而這往往是木馬病毒滋生的溫床！

    注冊表是一個龐大的數(shù)據(jù)庫，我們對它只有一個靜態(tài)的了解。其實，了解注冊表動態(tài)數(shù)據(jù)變化更有意義，因為幾乎所有軟件在安裝和運行過程中，都會修改注冊表數(shù)據(jù)，而這些注冊表數(shù)據(jù)的變化很可能是有害的，例如木馬程序添加的自啟動數(shù)據(jù)。通過對注冊表進行監(jiān)視，你就能觀察到這些數(shù)據(jù)的變化，同時，通過對注冊表數(shù)據(jù)動態(tài)變化的分析，你還可以了解到更多關(guān)于注冊表的秘密。下面就通過三個監(jiān)視注冊表的實例，來了解系統(tǒng)的秘密。

    超級兔子的秘密

    許多朋友很喜歡用超級兔子來修改一些系統(tǒng)選項，用起來確實方便。不過，對于一些喜歡凡事問個究竟的朋友來說，可能心里一直有一個疑問：超級兔子究竟是修改了注冊表中的哪些數(shù)據(jù)呢？軟件作者怎么發(fā)現(xiàn)它們的？這些都屬于超級兔子的秘密，一般來說，我們是很難得知的，不過通過Regmon軟件對注冊表的監(jiān)視，你就能發(fā)現(xiàn)它其實很簡單。

    Regmon

    第一步：運行Regmon，單擊菜單“選項→過濾器→高亮”，在這里需要設(shè)置過濾條件，讓Regmon只顯示超級兔子對注冊表修改的數(shù)據(jù)。在“包含”欄中輸入超級兔子魔法設(shè)置的進程文件名“srms.exe”（見圖1），并在下面只選中“記錄寫入”、“記錄成功”兩個選項，其他要監(jiān)視的選項全部取消，這樣可以大大減少無用監(jiān)視數(shù)據(jù)，提高分析效率。

    第二步：單擊“確定”按鈕，這時Regmon會提示你“要應(yīng)用更新的過濾設(shè)置到當(dāng)前輸出嗎？”，點擊“是”按鈕返回主界面，然后按“Ctrl+X”快捷鍵清除當(dāng)前窗口中已經(jīng)顯示的監(jiān)視數(shù)據(jù)。

    第三步：運行超級兔子，打開“桌面與圖標(biāo)→圖標(biāo)選項”。

    實例：透 視“禁止使用縮略圖加速”

    這里來分析一下“禁止使用縮略圖加速”技巧究竟是如何修改注冊表的。首先選中該選項，單擊“應(yīng)用”按鈕，切換到Regmon，你會發(fā)現(xiàn)窗口中顯示有13個記錄，這是超級兔子的設(shè)計問題，即使只修改了這個頁面中的一個選項，它也會把該頁面中所有選項對應(yīng)的注冊表數(shù)據(jù)重寫一下，所以就會產(chǎn)生很多數(shù)據(jù)。

    那怎樣才能判斷出究竟哪個才是對應(yīng)的數(shù)據(jù)呢？只需再次取消“禁止使用縮略圖加速”選項，并點擊一次“應(yīng)用”按鈕，返回Regmon，你會發(fā)現(xiàn)窗口中又出現(xiàn)了13個記錄，現(xiàn)在仔細對比“其他”列中前13個記錄與后13個記錄的數(shù)據(jù)，會發(fā)現(xiàn)只有兩個記錄的數(shù)據(jù)是不同的（見圖2）。

    這兩個記錄對應(yīng)的“路徑”列指向的注冊表鍵值都是相同的，即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced主鍵下的“DisableThumbnailCache”鍵值。由此我們可以分析得出結(jié)論，該鍵值為“1”表示禁止使用縮略圖加速，鍵值為“0”表示允許使用縮略圖加速功能。

    小提示

    利用Regmon的注冊表動態(tài)監(jiān)視功能，還可以對一些有使用天數(shù)限制的共享軟件進行監(jiān)視，找出記錄使用時間的注冊表鍵值，修改該鍵值數(shù)據(jù)就能延長使用期限。

    它們都干了些什么

    注冊表體積與系統(tǒng)速度關(guān)系密切，所以大家都不希望軟件在安裝時向注冊表中寫入數(shù)據(jù)。那么，如何才能知道一個軟件究竟對注冊表做了什么修改呢？你可以通過以下兩種方法進行偵查。

    1.FC命令

    安裝新軟件前，打開注冊表編輯器，選擇“注冊表→導(dǎo)出注冊表文件”，利用“全部”選項，將結(jié)果文件保存為Before.txt（不要使用REG擴展名）。安裝新軟件或進行用戶想跟蹤的其他任何更改后，打開注冊表編輯器，再導(dǎo)出整個注冊表，這一次將導(dǎo)出的文件命名為After.txt文件。接著打開MS-DOS命令窗口，轉(zhuǎn)換到有那兩個文本文件的目錄中，然后執(zhí)行以下命令：

    FC Before.txt After.txt > Diff.txt

    關(guān)閉DOS窗口，在“記事本”中打開Diff.txt文件，這里會顯示在注冊表所發(fā)現(xiàn)的所有不同之處。

    2.RegShot

    Regshot可以幫你了解到這些信息，它可以在軟件安裝前后為注冊表建立兩個快照。通過分析快照文件，找出有變化的注冊表數(shù)據(jù)，并把比較結(jié)果輸出為易讀的報告文件。

    軟件備注：Regshot是一款多國語言版軟件，運行后在右下角的語言下拉框中選擇“中文GB”即可切換為簡體中文界面。

    實例1：全面捕捉UltraISO對注冊表做了什么

    第一步：運行Regshot，設(shè)置好報告文件輸出格式和輸出路徑，軟件提供有“TXT文檔”和“HTML文檔”兩種方式可以選擇。單擊第一個“攝取”按鈕，彈出下拉菜單，選擇“攝取”，這時Regshot會自動對系統(tǒng)注冊表做一個快照（見圖3），當(dāng)快照掃描完畢時，第一個“攝取”按鈕變灰。

    第二步：安裝要分析的軟件，例如UltraISO，安裝完畢后，切換到Regshot窗口單擊第二個“攝取”按鈕，選擇“攝取”做第二個注冊表快照。當(dāng)快照掃描完畢后，單擊“比較”按鈕，Regshot會對兩個快照進行比較，并自動打開生成的結(jié)果報告文件。

    第三步：從報告文件中可以看到UltraISO安裝時對注冊表數(shù)據(jù)所做的修改，如增加的主鍵、增加的鍵值以及修改的鍵值等，非常直觀。

    小提示

    一些軟件自帶的卸載程序并不能從注冊表中徹底清除所有添加的數(shù)據(jù)，這時就可以根據(jù)Regshot生成的報告文件來手工清除這些無用的注冊表數(shù)據(jù)，為注冊表“減負”。

    捉住注冊表中的“內(nèi)鬼”

    一些軟件安裝后會自動添加自啟動程序而不提示用戶，更有一些木馬程序則會偷偷地在系統(tǒng)中植入木馬自啟動程序，這些“動作”很難直觀地看到。不過筆者發(fā)現(xiàn)在著名的木馬檢測程序The Cleaner中有一個單獨的注冊表實時監(jiān)視工具—TCMonitor，有了它，就能保障注冊表不被非法修改了。

    TCMonitor

    軟件備注：以上提供的是The Cleaner的下載地址，該軟件是一款共享軟件，但其組件TCMonitor卻是完全免費的，不過需要手工提取該組件，方法是把C:\Program Files\The Cleaner目錄中的“tcm.exe”和“siren.wav”兩個文件單獨復(fù)制出來即可。

    第一步：現(xiàn)在開始運行“tcm.exe”，首先它會彈出提示框，詢問是否修復(fù)關(guān)聯(lián)數(shù)據(jù)和禁止腳本執(zhí)行，一般應(yīng)選中這兩個選項，并選擇“Please do not ask me again”選項，讓它下次不再提示，然后直接單擊“OK”按鈕，這時TCMonitor會自動縮小在系統(tǒng)托盤中后臺工作。

    第二步：雙擊托盤圖標(biāo)打開軟件主界面，在列表中顯示的就是TCMonitor正在監(jiān)視的注冊表主鍵，這些都是系統(tǒng)中非常重要的數(shù)據(jù)，也是病毒木馬最容易入侵修改的地方，大概了解這些信息后，關(guān)閉這個界面讓它繼續(xù)后臺工作。

    第三步：當(dāng)有軟件或者病毒木馬修改被監(jiān)視的鍵值時，TCMonitor會馬上發(fā)出聲音報警提示，同時彈出提示對話框顯示被修改的主鍵（見圖4），如果確認(rèn)這個修改是無害的，可直接單擊“Ignore this alarm and accept the changes”按鈕忽略警報并接受修改。

    如果不能確認(rèn)，則可以單擊“Examine or edit the changed data”按鈕，這時TCMonitor會在新窗口中顯示出修改前（Expected data）和修改后（Actual data）注冊表數(shù)據(jù)的變化情況（見圖5），你可以很容易地判斷出為個變化是否屬于正常修改。在這里單擊“Reset Alarm”按鈕可以取消警報，單擊“Launch Editor”則會直接調(diào)用注冊表編輯器打開被修改的主鍵，你可以手工修正被非法修改的數(shù)據(jù)。

   小提示

    在TCMonitor中可以手工編輯要監(jiān)視的注冊表數(shù)據(jù)列表，利用這個功能，只需要添加IE相關(guān)數(shù)據(jù)，就能隨時提醒惡意網(wǎng)頁對IE的修改。在TCMonitor主界面中單擊菜單“Edit→Edit Watch Data”，選中“Registry Watch”選項，在右邊選擇要監(jiān)視的根鍵“HKLM”，并填寫好主鍵“\SOFTWARE\Microsoft\Internet Explorer\Main”，單擊“Add”按鈕添加到列表，并單擊“Save”存盤即可。而且TCMonitor還可以對文件和文件夾進行監(jiān)視，這些功能就不再細說了。

最新評論