Windows的注冊表就像一個地下迷宮，每當我們感覺對它了解一些的時候，卻發現它還包含著一個新的迷宮……我們擁有很多修改注冊表的工具，但它們總是在注冊表被軟件修改之后才能用得到，怎么才能在注冊表被改動的第一時間就發現呢？很多殺毒軟件都忽視了對注冊表的保護，而這往往是木馬病毒滋生的溫床！

注冊表是一個龐大的數據庫，我們對它只有一個靜態的了解。其實，了解注冊表動態數據變化更有意義，因為幾乎所有軟件在安裝和運行過程中，都會修改注冊表數據，而這些注冊表數據的變化很可能是有害的，例如木馬程序添加的自啟動數據。通過對注冊表進行監視，你就能觀察到這些數據的變化，同時，通過對注冊表數據動態變化的分析，你還可以了解到更多關于注冊表的秘密。下面就通過三個監視注冊表的實例，來了解系統的秘密。

超級兔子的秘密

許多朋友很喜歡用超級兔子來修改一些系統選項，用起來確實方便。不過，對于一些喜歡凡事問個究竟的朋友來說，可能心里一直有一個疑問：超級兔子究竟是修改了注冊表中的哪些數據呢？軟件作者怎么發現它們的？這些都屬于超級兔子的秘密，一般來說，我們是很難得知的，不過通過Regmon軟件對注冊表的監視，你就能發現它其實很簡單。

Regmon 小檔案

軟件版本：6.06 軟件大小：82KB

軟件性質：免費軟件 適用平臺：Windows 9x/2000/XP

第一步：運行Regmon，單擊菜單“選項→過濾器→高亮”，在這里需要設置過濾條件，讓Regmon只顯示超級兔子對注冊表修改的數據。在“包含”欄中輸入超級兔子魔法設置的進程文件名“srms.exe”（見圖1），并在下面只選中“記錄寫入”、“記錄成功”兩個選項，其他要監視的選項全部取消，這樣可以大大減少無用監視數據，提高分析效率。

第二步：單擊“確定”按鈕，這時Regmon會提示你“要應用更新的過濾設置到當前輸出嗎？”，點擊“是”按鈕返回主界面，然后按“Ctrl+X”快捷鍵清除當前窗口中已經顯示的監視數據。

第三步：運行超級兔子，打開“桌面與圖標→圖標選項”。

實例：透視“禁止使用縮略圖加速”

這里來分析一下“禁止使用縮略圖加速”技巧究竟是如何修改注冊表的。首先選中該選項，單擊“應用”按鈕，切換到Regmon，你會發現窗口中顯示有13個記錄，這是超級兔子的設計問題，即使只修改了這個頁面中的一個選項，它也會把該頁面中所有選項對應的注冊表數據重寫一下，所以就會產生很多數據。

那怎樣才能判斷出究竟哪個才是對應的數據呢？只需再次取消“禁止使用縮略圖加速”選項，并點擊一次“應用”按鈕，返回Regmon，你會發現窗口中又出現了13個記錄，現在仔細對比“其他”列中前13個記錄與后13個記錄的數據，會發現只有兩個記錄的數據是不同的（見圖2）。

圖二

　　這兩個記錄對應的“路徑”列指向的注冊表鍵值都是相同的，即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced主鍵下的“DisableThumbnailCache”鍵值。由此我們可以分析得出結論，該鍵值為“1”表示禁止使用縮略圖加速，鍵值為“0”表示允許使用縮略圖加速功能。

　　小提示

　　利用Regmon的注冊表動態監視功能，還可以對一些有使用天數限制的共享軟件進行監視，找出記錄使用時間的注冊表鍵值，修改該鍵值數據就能延長使用期限。

　　它們都干了些什么

　　注冊表體積與系統速度關系密切，所以大家都不希望軟件在安裝時向注冊表中寫入數據。那么，如何才能知道一個軟件究竟對注冊表做了什么修改呢？你可以通過以下兩種方法進行偵查。

　　1.FC命令

　　安裝新軟件前，打開注冊表編輯器，選擇“注冊表→導出注冊表文件”，利用“全部”選項，將結果文件保存為Before.txt（不要使用REG擴展名）。安裝新軟件或進行用戶想跟蹤的其他任何更改后，打開注冊表編輯器，再導出整個注冊表，這一次將導出的文件命名為After.txt文件。接著打開MS-DOS命令窗口，轉換到有那兩個文本文件的目錄中，然后執行以下命令：

　　FC Before.txt After.txt > Diff.txt

　　關閉DOS窗口，在“記事本”中打開Diff.txt文件，這里會顯示在注冊表所發現的所有不同之處。

　　2.RegShot

　　Regshot可以幫你了解到這些信息，它可以在軟件安裝前后為注冊表建立兩個快照。通過分析快照文件，找出有變化的注冊表數據，并把比較結果輸出為易讀的報告文件。

　　Regshot 小檔案

　　軟件版本：1.72 軟件大小：28KB
　　軟件性質：免費軟件 適用平臺：Windows 9x/2000/XP
　　
　　軟件備注：Regshot是一款多國語言版軟件，運行后在右下角的語言下拉框中選擇“中文GB”即可切換為簡體中文界面。

　　實例1：全面捕捉UltraISO對注冊表做了什么

圖三

　　第二步：安裝要分析的軟件，例如UltraISO，安裝完畢后，切換到Regshot窗口單擊第二個“攝取”按鈕，選擇“攝取”做第二個注冊表快照。當快照掃描完畢后，單擊“比較”按鈕，Regshot會對兩個快照進行比較，并自動打開生成的結果報告文件。

　　第三步：從報告文件中可以看到UltraISO安裝時對注冊表數據所做的修改，如增加的主鍵、增加的鍵值以及修改的鍵值等，非常直觀。

　　小提示

　　一些軟件自帶的卸載程序并不能從注冊表中徹底清除所有添加的數據，這時就可以根據Regshot生成的報告文件來手工清除這些無用的注冊表數據，為注冊表“減負”。

　　捉住注冊表中的“內鬼”

　　一些軟件安裝后會自動添加自啟動程序而不提示用戶，更有一些木馬程序則會偷偷地在系統中植入木馬自啟動程序，這些“動作”很難直觀地看到。不過筆者發現在著名的木馬檢測程序The Cleaner中有一個單獨的注冊表實時監視工具—TCMonitor，有了它，就能保障注冊表不被非法修改了。

　　TCMonitor 小檔案

　　軟件版本：2.0 軟件大小：330KB
　　軟件性質：免費軟件 適用平臺：Windows 9x/2000/XP

　　軟件備注：以上提供的是The Cleaner的下載地址，該軟件是一款共享軟件，但其組件TCMonitor卻是完全免費的，不過需要手工提取該組件，方法是把C:\Program Files\The Cleaner目錄中的“tcm.exe”和“siren.wav”兩個文件單獨復制出來即可。

　　第一步：現在開始運行“tcm.exe”，首先它會彈出提示框，詢問是否修復關聯數據和禁止腳本執行，一般應選中這兩個選項，并選擇“Please do not ask me again”選項，讓它下次不再提示，然后直接單擊“OK”按鈕，這時TCMonitor會自動縮小在系統托盤中后臺工作。

　　第二步：雙擊托盤圖標打開軟件主界面，在列表中顯示的就是TCMonitor正在監視的注冊表主鍵，這些都是系統中非常重要的數據，也是病毒木馬最容易入侵修改的地方，大概了解這些信息后，關閉這個界面讓它繼續后臺工作。

　　第三步：當有軟件或者病毒木馬修改被監視的鍵值時，TCMonitor會馬上發出聲音報警提示，同時彈出提示對話框顯示被修改的主鍵（見圖4），如果確認這個修改是無害的，可直接單擊“Ignore this alarm and accept the changes”按鈕忽略警報并接受修改。

圖四

　　如果不能確認，則可以單擊“Examine or edit the changed data”按鈕，這時TCMonitor會在新窗口中顯示出修改前（Expected data）和修改后（Actual data）注冊表數據的變化情況（見圖5），你可以很容易地判斷出為個變化是否屬于正常修改。在這里單擊“Reset Alarm”按鈕可以取消警報，單擊“Launch Editor”則會直接調用注冊表編輯器打開被修改的主鍵，你可以手工修正被非法修改的數據。

圖五

　　小提示

　　在TCMonitor中可以手工編輯要監視的注冊表數據列表，利用這個功能，只需要添加IE相關數據，就能隨時提醒惡意網頁對IE的修改。在TCMonitor主界面中單擊菜單“Edit→Edit Watch Data”，選中“Registry Watch”選項，在右邊選擇要監視的根鍵“HKLM”，并填寫好主鍵“\SOFTWARE\Microsoft\Internet Explorer\Main”，單擊“Add”按鈕添加到列表，并單擊“Save”存盤即可。而且TCMonitor還可以對文件和文件夾進行監視，這些功能就不再細說了。