Windows的注冊(cè)表就像一個(gè)地下迷宮，每當(dāng)我們感覺對(duì)它了解一些的時(shí)候，卻發(fā)現(xiàn)它還包含著一個(gè)新的迷宮……我們擁有很多修改注冊(cè)表的工具，但它們總是在注冊(cè)表被軟件修改之后才能用得到，怎么才能在注冊(cè)表被改動(dòng)的第一時(shí)間就發(fā)現(xiàn)呢？很多殺毒軟件都忽視了對(duì)注冊(cè)表的保護(hù)，而這往往是木馬病毒滋生的溫床！

注冊(cè)表是一個(gè)龐大的數(shù)據(jù)庫(kù)，我們對(duì)它只有一個(gè)靜態(tài)的了解。其實(shí)，了解注冊(cè)表動(dòng)態(tài)數(shù)據(jù)變化更有意義，因?yàn)閹缀跛�有軟件在安裝和運(yùn)行過程中，都會(huì)修改注冊(cè)表數(shù)據(jù)，而這些注冊(cè)表數(shù)據(jù)的變化很可能是有害的，例如木馬程序添加的自啟動(dòng)數(shù)據(jù)。通過對(duì)注冊(cè)表進(jìn)行監(jiān)視，你就能觀察到這些數(shù)據(jù)的變化，同時(shí)，通過對(duì)注冊(cè)表數(shù)據(jù)動(dòng)態(tài)變化的分析，你還可以了解到更多關(guān)于注冊(cè)表的秘密。下面就通過三個(gè)監(jiān)視注冊(cè)表的實(shí)例，來了解系統(tǒng)的秘密。

超級(jí)兔子的秘密

許多朋友很喜歡用超級(jí)兔子來修改一些系統(tǒng)選項(xiàng)，用起來確實(shí)方便。不過，對(duì)于一些喜歡凡事問個(gè)究竟的朋友來說，可能心里一直有一個(gè)疑問：超級(jí)兔子究竟是修改了注冊(cè)表中的哪些數(shù)據(jù)呢？軟件作者怎么發(fā)現(xiàn)它們的？這些都屬于超級(jí)兔子的秘密，一般來說，我們是很難得知的，不過通過Regmon軟件對(duì)注冊(cè)表的監(jiān)視，你就能發(fā)現(xiàn)它其實(shí)很簡(jiǎn)單。

Regmon 小檔案

軟件版本：6.06 軟件大�。�82KB

軟件性質(zhì)：免費(fèi)軟件 適用平臺(tái)：Windows 9x/2000/XP

第一步：運(yùn)行Regmon，單擊菜單“選項(xiàng)→過濾器→高亮”，在這里需要設(shè)置過濾條件，讓Regmon只顯示超級(jí)兔子對(duì)注冊(cè)表修改的數(shù)據(jù)。在“包含”欄中輸入超級(jí)兔子魔法設(shè)置的進(jìn)程文件名“srms.exe”（見圖1），并在下面只選中“記錄寫入”、“記錄成功”兩個(gè)選項(xiàng)，其他要監(jiān)視的選項(xiàng)全部取消，這樣可以大大減少無用監(jiān)視數(shù)據(jù)，提高分析效率。

第二步：單擊“確定”按鈕，這時(shí)Regmon會(huì)提示你“要應(yīng)用更新的過濾設(shè)置到當(dāng)前輸出嗎？”，點(diǎn)擊“是”按鈕返回主界面，然后按“Ctrl+X”快捷鍵清除當(dāng)前窗口中已經(jīng)顯示的監(jiān)視數(shù)據(jù)。

第三步：運(yùn)行超級(jí)兔子，打開“桌面與圖標(biāo)→圖標(biāo)選項(xiàng)”。

實(shí)例：透視“禁止使用縮略圖加速”

這里來分析一下“禁止使用縮略圖加速”技巧究竟是如何修改注冊(cè)表的。首先選中該選項(xiàng)，單擊“應(yīng)用”按鈕，切換到Regmon，你會(huì)發(fā)現(xiàn)窗口中顯示有13個(gè)記錄，這是超級(jí)兔子的設(shè)計(jì)問題，即使只修改了這個(gè)頁面中的一個(gè)選項(xiàng)，它也會(huì)把該頁面中所有選項(xiàng)對(duì)應(yīng)的注冊(cè)表數(shù)據(jù)重寫一下，所以就會(huì)產(chǎn)生很多數(shù)據(jù)。

那怎樣才能判斷出究竟哪個(gè)才是對(duì)應(yīng)的數(shù)據(jù)呢？只需再次取消“禁止使用縮略圖加速”選項(xiàng)，并點(diǎn)擊一次“應(yīng)用”按鈕，返回Regmon，你會(huì)發(fā)現(xiàn)窗口中又出現(xiàn)了13個(gè)記錄，現(xiàn)在仔細(xì)對(duì)比“其他”列中前13個(gè)記錄與后13個(gè)記錄的數(shù)據(jù)，會(huì)發(fā)現(xiàn)只有兩個(gè)記錄的數(shù)據(jù)是不同的（見圖2）。

圖二

　　這兩個(gè)記錄對(duì)應(yīng)的“路徑”列指向的注冊(cè)表鍵值都是相同的，即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced主鍵下的“DisableThumbnailCache”鍵值。由此我們可以分析得出結(jié)論，該鍵值為“1”表示禁止使用縮略圖加速，鍵值為“0”表示允許使用縮略圖加速功能。

　　小提示

　　利用Regmon的注冊(cè)表動(dòng)態(tài)監(jiān)視功能，還可以對(duì)一些有使用天數(shù)限制的共享軟件進(jìn)行監(jiān)視，找出記錄使用時(shí)間的注冊(cè)表鍵值，修改該鍵值數(shù)據(jù)就能延長(zhǎng)使用期限。

　　它們都干了些什么

　　注冊(cè)表體積與系統(tǒng)速度關(guān)系密切，所以大家都不希望軟件在安裝時(shí)向注冊(cè)表中寫入數(shù)據(jù)。那么，如何才能知道一個(gè)軟件究竟對(duì)注冊(cè)表做了什么修改呢？你可以通過以下兩種方法進(jìn)行偵查。

　　1.FC命令

　　安裝新軟件前，打開注冊(cè)表編輯器，選擇“注冊(cè)表→導(dǎo)出注冊(cè)表文件”，利用“全部”選項(xiàng)，將結(jié)果文件保存為Before.txt（不要使用REG擴(kuò)展名）。安裝新軟件或進(jìn)行用戶想跟蹤的其他任何更改后，打開注冊(cè)表編輯器，再導(dǎo)出整個(gè)注冊(cè)表，這一次將導(dǎo)出的文件命名為After.txt文件。接著打開MS-DOS命令窗口，轉(zhuǎn)換到有那兩個(gè)文本文件的目錄中，然后執(zhí)行以下命令：

　　FC Before.txt After.txt > Diff.txt

　　關(guān)閉DOS窗口，在“記事本”中打開Diff.txt文件，這里會(huì)顯示在注冊(cè)表所發(fā)現(xiàn)的所有不同之處。

　　2.RegShot

　　Regshot可以幫你了解到這些信息，它可以在軟件安裝前后為注冊(cè)表建立兩個(gè)快照。通過分析快照文件，找出有變化的注冊(cè)表數(shù)據(jù)，并把比較結(jié)果輸出為易讀的報(bào)告文件。

　　Regshot 小檔案

　　軟件版本：1.72 軟件大�。�28KB
　　軟件性質(zhì)：免費(fèi)軟件 適用平臺(tái)：Windows 9x/2000/XP
　　
　　軟件備注：Regshot是一款多國(guó)語言版軟件，運(yùn)行后在右下角的語言下拉框中選擇“中文GB”即可切換為簡(jiǎn)體中文界面。

　　實(shí)例1：全面捕捉UltraISO對(duì)注冊(cè)表做了什么

圖三

　　第二步：安裝要分析的軟件，例如UltraISO，安裝完畢后，切換到Regshot窗口單擊第二個(gè)“攝取”按鈕，選擇“攝取”做第二個(gè)注冊(cè)表快照。當(dāng)快照掃描完畢后，單擊“比較”按鈕，Regshot會(huì)對(duì)兩個(gè)快照進(jìn)行比較，并自動(dòng)打開生成的結(jié)果報(bào)告文件。

　　第三步：從報(bào)告文件中可以看到UltraISO安裝時(shí)對(duì)注冊(cè)表數(shù)據(jù)所做的修改，如增加的主鍵、增加的鍵值以及修改的鍵值等，非常直觀。

　　小提示

　　一些軟件自帶的卸載程序并不能從注冊(cè)表中徹底清除所有添加的數(shù)據(jù)，這時(shí)就可以根據(jù)Regshot生成的報(bào)告文件來手工清除這些無用的注冊(cè)表數(shù)據(jù)，為注冊(cè)表“減負(fù)”。

　　捉住注冊(cè)表中的“內(nèi)鬼”

　　一些軟件安裝后會(huì)自動(dòng)添加自啟動(dòng)程序而不提示用戶，更有一些木馬程序則會(huì)偷偷地在系統(tǒng)中植入木馬自啟動(dòng)程序，這些“動(dòng)作”很難直觀地看到。不過筆者發(fā)現(xiàn)在著名的木馬檢測(cè)程序The Cleaner中有一個(gè)單獨(dú)的注冊(cè)表實(shí)時(shí)監(jiān)視工具—TCMonitor，有了它，就能保障注冊(cè)表不被非法修改了。

　　TCMonitor 小檔案

　　軟件版本：2.0 軟件大�。�330KB
　　軟件性質(zhì)：免費(fèi)軟件 適用平臺(tái)：Windows 9x/2000/XP

　　軟件備注：以上提供的是The Cleaner的下載地址，該軟件是一款共享軟件，但其組件TCMonitor卻是完全免費(fèi)的，不過需要手工提取該組件，方法是把C:\Program Files\The Cleaner目錄中的“tcm.exe”和“siren.wav”兩個(gè)文件單獨(dú)復(fù)制出來即可。

　　第一步：現(xiàn)在開始運(yùn)行“tcm.exe”，首先它會(huì)彈出提示框，詢問是否修復(fù)關(guān)聯(lián)數(shù)據(jù)和禁止腳本執(zhí)行，一般應(yīng)選中這兩個(gè)選項(xiàng)，并選擇“Please do not ask me again”選項(xiàng)，讓它下次不再提示，然后直接單擊“OK”按鈕，這時(shí)TCMonitor會(huì)自動(dòng)縮小在系統(tǒng)托盤中后臺(tái)工作。

　　第二步：雙擊托盤圖標(biāo)打開軟件主界面，在列表中顯示的就是TCMonitor正在監(jiān)視的注冊(cè)表主鍵，這些都是系統(tǒng)中非常重要的數(shù)據(jù)，也是病毒木馬最容易入侵修改的地方，大概了解這些信息后，關(guān)閉這個(gè)界面讓它繼續(xù)后臺(tái)工作。

　　第三步：當(dāng)有軟件或者病毒木馬修改被監(jiān)視的鍵值時(shí)，TCMonitor會(huì)馬上發(fā)出聲音報(bào)警提示，同時(shí)彈出提示對(duì)話框顯示被修改的主鍵（見圖4），如果確認(rèn)這個(gè)修改是無害的，可直接單擊“Ignore this alarm and accept the changes”按鈕忽略警報(bào)并接受修改。

圖四

　　如果不能確認(rèn)，則可以單擊“Examine or edit the changed data”按鈕，這時(shí)TCMonitor會(huì)在新窗口中顯示出修改前（Expected data）和修改后（Actual data）注冊(cè)表數(shù)據(jù)的變化情況（見圖5），你可以很容易地判斷出為個(gè)變化是否屬于正常修改。在這里單擊“Reset Alarm”按鈕可以取消警報(bào)，單擊“Launch Editor”則會(huì)直接調(diào)用注冊(cè)表編輯器打開被修改的主鍵，你可以手工修正被非法修改的數(shù)據(jù)。

圖五

　　小提示

　　在TCMonitor中可以手工編輯要監(jiān)視的注冊(cè)表數(shù)據(jù)列表，利用這個(gè)功能，只需要添加IE相關(guān)數(shù)據(jù)，就能隨時(shí)提醒惡意網(wǎng)頁對(duì)IE的修改。在TCMonitor主界面中單擊菜單“Edit→Edit Watch Data”，選中“Registry Watch”選項(xiàng)，在右邊選擇要監(jiān)視的根鍵“HKLM”，并填寫好主鍵“\SOFTWARE\Microsoft\Internet Explorer\Main”，單擊“Add”按鈕添加到列表，并單擊“Save”存盤即可。而且TCMonitor還可以對(duì)文件和文件夾進(jìn)行監(jiān)視，這些功能就不再細(xì)說了。