打开注册表，看优化软件在“搞什么鬼” - 『网络与安全』 - 计算机区

教育手拉手论坛 » 时尚生活大区 » 计算机区 » 『网络与安全』 » 打开注册表，看优化软件在“搞什么鬼”

‹‹ 上一主题 | 下一主题 ››

弱水2999

初三

UID 153623
精华 0
积分 5407
帖子 1135

铜币 98
金币 15923
经验值 5407
阅读权限 50
注册 2006-9-27
状态离线

1楼

发表于 2007-3-19 00:44 使用道具

资料个人空间短消息加为好友

打开注册表，看优化软件在“搞什么鬼”

Windows的注册表就像一个地下迷宫，每当我们感觉对它了解一些的时候，却发现它还包含着一个新的迷宫……我们拥有很多修改注册表的工具，但它们总是在注册表被软件修改之后才能用得到，怎么才能在注册表被改动的第一时间就发现呢？很多杀毒软件都忽视了对注册表的保护，而这往往是木马病毒滋生的温床！

注册表是一个庞大的数据库，我们对它只有一个静态的了解。其实，了解注册表动态数据变化更有意义，因为几乎所有软件在安装和运行过程中，都会修改注册表数据，而这些注册表数据的变化很可能是有害的，例如木马程序添加的自启动数据。通过对注册表进行监视，你就能观察到这些数据的变化，同时，通过对注册表数据动态变化的分析，你还可以了解到更多关于注册表的秘密。下面就通过三个监视注册表的实例，来了解系统的秘密。

超级兔子的秘密

许多朋友很喜欢用超级兔子来修改一些系统选项，用起来确实方便。不过，对于一些喜欢凡事问个究竟的朋友来说，可能心里一直有一个疑问：超级兔子究竟是修改了注册表中的哪些数据呢？软件作者怎么发现它们的？这些都属于超级兔子的秘密，一般来说，我们是很难得知的，不过通过Regmon软件对注册表的监视，你就能发现它其实很简单。

Regmon

[点击下载]

第一步：运行Regmon，单击菜单“选项→过滤器→高亮”，在这里需要设置过滤条件，让Regmon只显示超级兔子对注册表修改的数据。在“包含”栏中输入超级兔子魔法设置的进程文件名“srms.exe”（见图1），并在下面只选中“记录写入”、“记录成功”两个选项，其他要监视的选项全部取消，这样可以大大减少无用监视数据，提高分析效率。

第二步：单击“确定”按钮，这时Regmon会提示你“要应用更新的过滤设置到当前输出吗？”，点击“是”按钮返回主界面，然后按“Ctrl X”快捷键清除当前窗口中已经显示的监视数据。

第三步：运行超级兔子，打开“桌面与图标→图标选项”。

实例：透视“禁止使用缩略图加速”

这里来分析一下“禁止使用缩略图加速”技巧究竟是如何修改注册表的。首先选中该选项，单击“应用”按钮，切换到Regmon，你会发现窗口中显示有13个记录，这是超级兔子的设计问题，即使只修改了这个页面中的一个选项，它也会把该页面中所有选项对应的注册表数据重写一下，所以就会产生很多数据。

那怎样才能判断出究竟哪个才是对应的数据呢？只需再次取消“禁止使用缩略图加速”选项，并点击一次“应用”按钮，返回Regmon，你会发现窗口中又出现了13个记录，现在仔细对比“其他”列中前13个记录与后13个记录的数据，会发现只有两个记录的数据是不同的（见图2）。

这两个记录对应的“路径”列指向的注册表键值都是相同的，即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced主键下的“DisableThumbnailCache”键值。由此我们可以分析得出结论，该键值为“1”表示禁止使用缩略图加速，键值为“0”表示允许使用缩略图加速功能。

小提示

利用Regmon的注册表动态监视功能，还可以对一些有使用天数限制的共享软件进行监视，找出记录使用时间的注册表键值，修改该键值数据就能延长使用期限。

它们都干了些什么

注册表体积与系统速度关系密切，所以大家都不希望软件在安装时向注册表中写入数据。那么，如何才能知道一个软件究竟对注册表做了什么修改呢？你可以通过以下两种方法进行侦查。

1.FC命令

安装新软件前，打开注册表编辑器，选择“注册表→导出注册表文件”，利用“全部”选项，将结果文件保存为Before.txt（不要使用REG扩展名）。安装新软件或进行用户想跟踪的其他任何更改后，打开注册表编辑器，再导出整个注册表，这一次将导出的文件命名为After.txt文件。接着打开MS-[url=/html/win98dos]DOS[/url]命令窗口，转换到有那两个文本文件的目录中，然后执行以下命令：

小提示

在TCMonitor中可以手工编辑要监视的注册表数据列表，利用这个功能，只需要添加IE相关数据，就能随时提醒恶意网页对IE的修改。在TCMonitor主界面中单击菜单“Edit→Edit Watch Data”，选中“Registry Watch”选项，在右边选择要监视的根键“HKLM”，并填写好主键“\SOFTWARE\Microsoft\Internet Explorer\Main”，单击“Add”按钮添加到列表，并单击“Save”存盘即可。而且TCMonitor还可以对文件和文件夹进行监视，这些功能就不再细说了。