Windows的注冊表就像一個地下迷宮，每當(dāng)我們感覺對它了解一些的時候，卻發(fā)現(xiàn)它還包含著一個新的迷宮……我們擁有很多修改注冊表的工具，但它們總是在注冊表被軟件修改之后才能用得到，怎么才能在注冊表被改動的第一時間就發(fā)現(xiàn)呢？很多殺毒軟件都忽視了對注冊表的保護(hù)，而這往往是木馬病毒滋生的溫床！

注冊表是一個龐大的數(shù)據(jù)庫，我們對它只有一個靜態(tài)的了解。其實(shí)，了解注冊表動態(tài)數(shù)據(jù)變化更有意義，因?yàn)閹缀跛�有軟件在安裝和運(yùn)行過程中，都會修改注冊表數(shù)據(jù)，而這些注冊表數(shù)據(jù)的變化很可能是有害的，例如木馬程序添加的自啟動數(shù)據(jù)。通過對注冊表進(jìn)行監(jiān)視，你就能觀察到這些數(shù)據(jù)的變化，同時，通過對注冊表數(shù)據(jù)動態(tài)變化的分析，你還可以了解到更多關(guān)于注冊表的秘密。下面就通過三個監(jiān)視注冊表的實(shí)例，來了解系統(tǒng)的秘密。

超級兔子的秘密

許多朋友很喜歡用超級兔子來修改一些系統(tǒng)選項(xiàng)，用起來確實(shí)方便。不過，對于一些喜歡凡事問個究竟的朋友來說，可能心里一直有一個疑問：超級兔子究竟是修改了注冊表中的哪些數(shù)據(jù)呢？軟件作者怎么發(fā)現(xiàn)它們的？這些都屬于超級兔子的秘密，一般來說，我們是很難得知的，不過通過Regmon軟件對注冊表的監(jiān)視，你就能發(fā)現(xiàn)它其實(shí)很簡單。

Regmon 小檔案

軟件版本：6.06 軟件大小：82KB

軟件性質(zhì)：免費(fèi)軟件 適用平臺：Windows 9x/2000/XP

第一步：運(yùn)行Regmon，單擊菜單“選項(xiàng)→過濾器→高亮”，在這里需要設(shè)置過濾條件，讓Regmon只顯示超級兔子對注冊表修改的數(shù)據(jù)。在“包含”欄中輸入超級兔子魔法設(shè)置的進(jìn)程文件名“srms.exe”（見圖1），并在下面只選中“記錄寫入”、“記錄成功”兩個選項(xiàng)，其他要監(jiān)視的選項(xiàng)全部取消，這樣可以大大減少無用監(jiān)視數(shù)據(jù)，提高分析效率。

第二步：單擊“確定”按鈕，這時Regmon會提示你“要應(yīng)用更新的過濾設(shè)置到當(dāng)前輸出嗎？”，點(diǎn)擊“是”按鈕返回主界面，然后按“Ctrl+X”快捷鍵清除當(dāng)前窗口中已經(jīng)顯示的監(jiān)視數(shù)據(jù)。

第三步：運(yùn)行超級兔子，打開“桌面與圖標(biāo)→圖標(biāo)選項(xiàng)”。

實(shí)例：透視“禁止使用縮略圖加速”

這里來分析一下“禁止使用縮略圖加速”技巧究竟是如何修改注冊表的。首先選中該選項(xiàng)，單擊“應(yīng)用”按鈕，切換到Regmon，你會發(fā)現(xiàn)窗口中顯示有13個記錄，這是超級兔子的設(shè)計(jì)問題，即使只修改了這個頁面中的一個選項(xiàng)，它也會把該頁面中所有選項(xiàng)對應(yīng)的注冊表數(shù)據(jù)重寫一下，所以就會產(chǎn)生很多數(shù)據(jù)。

那怎樣才能判斷出究竟哪個才是對應(yīng)的數(shù)據(jù)呢？只需再次取消“禁止使用縮略圖加速”選項(xiàng)，并點(diǎn)擊一次“應(yīng)用”按鈕，返回Regmon，你會發(fā)現(xiàn)窗口中又出現(xiàn)了13個記錄，現(xiàn)在仔細(xì)對比“其他”列中前13個記錄與后13個記錄的數(shù)據(jù)，會發(fā)現(xiàn)只有兩個記錄的數(shù)據(jù)是不同的（見圖2）。

圖二

　　這兩個記錄對應(yīng)的“路徑”列指向的注冊表鍵值都是相同的，即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced主鍵下的“DisableThumbnailCache”鍵值。由此我們可以分析得出結(jié)論，該鍵值為“1”表示禁止使用縮略圖加速，鍵值為“0”表示允許使用縮略圖加速功能。

　　小提示

　　利用Regmon的注冊表動態(tài)監(jiān)視功能，還可以對一些有使用天數(shù)限制的共享軟件進(jìn)行監(jiān)視，找出記錄使用時間的注冊表鍵值，修改該鍵值數(shù)據(jù)就能延長使用期限。

　　它們都干了些什么

　　注冊表體積與系統(tǒng)速度關(guān)系密切，所以大家都不希望軟件在安裝時向注冊表中寫入數(shù)據(jù)。那么，如何才能知道一個軟件究竟對注冊表做了什么修改呢？你可以通過以下兩種方法進(jìn)行偵查。

　　1.FC命令

　　安裝新軟件前，打開注冊表編輯器，選擇“注冊表→導(dǎo)出注冊表文件”，利用“全部”選項(xiàng)，將結(jié)果文件保存為Before.txt（不要使用REG擴(kuò)展名）。安裝新軟件或進(jìn)行用戶想跟蹤的其他任何更改后，打開注冊表編輯器，再導(dǎo)出整個注冊表，這一次將導(dǎo)出的文件命名為After.txt文件。接著打開MS-DOS命令窗口，轉(zhuǎn)換到有那兩個文本文件的目錄中，然后執(zhí)行以下命令：

　　FC Before.txt After.txt > Diff.txt

　　關(guān)閉DOS窗口，在“記事本”中打開Diff.txt文件，這里會顯示在注冊表所發(fā)現(xiàn)的所有不同之處。

　　2.RegShot

　　Regshot可以幫你了解到這些信息，它可以在軟件安裝前后為注冊表建立兩個快照。通過分析快照文件，找出有變化的注冊表數(shù)據(jù)，并把比較結(jié)果輸出為易讀的報告文件。

　　Regshot 小檔案

　　軟件版本：1.72 軟件大小：28KB
　　軟件性質(zhì)：免費(fèi)軟件 適用平臺：Windows 9x/2000/XP
　　
　　軟件備注：Regshot是一款多國語言版軟件，運(yùn)行后在右下角的語言下拉框中選擇“中文GB”即可切換為簡體中文界面。

　　實(shí)例1：全面捕捉UltraISO對注冊表做了什么

圖三

　　第二步：安裝要分析的軟件，例如UltraISO，安裝完畢后，切換到Regshot窗口單擊第二個“攝取”按鈕，選擇“攝取”做第二個注冊表快照。當(dāng)快照掃描完畢后，單擊“比較”按鈕，Regshot會對兩個快照進(jìn)行比較，并自動打開生成的結(jié)果報告文件。

　　第三步：從報告文件中可以看到UltraISO安裝時對注冊表數(shù)據(jù)所做的修改，如增加的主鍵、增加的鍵值以及修改的鍵值等，非常直觀。

　　小提示

　　一些軟件自帶的卸載程序并不能從注冊表中徹底清除所有添加的數(shù)據(jù)，這時就可以根據(jù)Regshot生成的報告文件來手工清除這些無用的注冊表數(shù)據(jù)，為注冊表“減負(fù)”。

　　捉住注冊表中的“內(nèi)鬼”

　　一些軟件安裝后會自動添加自啟動程序而不提示用戶，更有一些木馬程序則會偷偷地在系統(tǒng)中植入木馬自啟動程序，這些“動作”很難直觀地看到。不過筆者發(fā)現(xiàn)在著名的木馬檢測程序The Cleaner中有一個單獨(dú)的注冊表實(shí)時監(jiān)視工具—TCMonitor，有了它，就能保障注冊表不被非法修改了。

　　TCMonitor 小檔案

　　軟件版本：2.0 軟件大小：330KB
　　軟件性質(zhì)：免費(fèi)軟件 適用平臺：Windows 9x/2000/XP

　　軟件備注：以上提供的是The Cleaner的下載地址，該軟件是一款共享軟件，但其組件TCMonitor卻是完全免費(fèi)的，不過需要手工提取該組件，方法是把C:\Program Files\The Cleaner目錄中的“tcm.exe”和“siren.wav”兩個文件單獨(dú)復(fù)制出來即可。

　　第一步：現(xiàn)在開始運(yùn)行“tcm.exe”，首先它會彈出提示框，詢問是否修復(fù)關(guān)聯(lián)數(shù)據(jù)和禁止腳本執(zhí)行，一般應(yīng)選中這兩個選項(xiàng)，并選擇“Please do not ask me again”選項(xiàng)，讓它下次不再提示，然后直接單擊“OK”按鈕，這時TCMonitor會自動縮小在系統(tǒng)托盤中后臺工作。

　　第二步：雙擊托盤圖標(biāo)打開軟件主界面，在列表中顯示的就是TCMonitor正在監(jiān)視的注冊表主鍵，這些都是系統(tǒng)中非常重要的數(shù)據(jù)，也是病毒木馬最容易入侵修改的地方，大概了解這些信息后，關(guān)閉這個界面讓它繼續(xù)后臺工作。

　　第三步：當(dāng)有軟件或者病毒木馬修改被監(jiān)視的鍵值時，TCMonitor會馬上發(fā)出聲音報警提示，同時彈出提示對話框顯示被修改的主鍵（見圖4），如果確認(rèn)這個修改是無害的，可直接單擊“Ignore this alarm and accept the changes”按鈕忽略警報并接受修改。

圖四

　　如果不能確認(rèn)，則可以單擊“Examine or edit the changed data”按鈕，這時TCMonitor會在新窗口中顯示出修改前（Expected data）和修改后（Actual data）注冊表數(shù)據(jù)的變化情況（見圖5），你可以很容易地判斷出為個變化是否屬于正常修改。在這里單擊“Reset Alarm”按鈕可以取消警報，單擊“Launch Editor”則會直接調(diào)用注冊表編輯器打開被修改的主鍵，你可以手工修正被非法修改的數(shù)據(jù)。

圖五

　　小提示

　　在TCMonitor中可以手工編輯要監(jiān)視的注冊表數(shù)據(jù)列表，利用這個功能，只需要添加IE相關(guān)數(shù)據(jù)，就能隨時提醒惡意網(wǎng)頁對IE的修改。在TCMonitor主界面中單擊菜單“Edit→Edit Watch Data”，選中“Registry Watch”選項(xiàng)，在右邊選擇要監(jiān)視的根鍵“HKLM”，并填寫好主鍵“\SOFTWARE\Microsoft\Internet Explorer\Main”，單擊“Add”按鈕添加到列表，并單擊“Save”存盤即可。而且TCMonitor還可以對文件和文件夾進(jìn)行監(jiān)視，這些功能就不再細(xì)說了。