軟體綠化技巧(六):註冊表快照工具 RegSnap

  發布時間:2010-01-26 16:59:46

安裝軟體時往往會在註冊表中寫入某些鍵名和鍵值,系統安裝目錄也是它們的最愛——在這些地方生成非法文件,而修改win.ini、system.ini、config.sys、autoexec.bat等系統配置文件也是它們常用的手段,主要目的是為了在系統啟動時自動加載非法程序,從而可以隨時控制系統。

作為普通用戶,我們如何才能知道上述地點是否被修改或加載了非法程序呢?我們可以使用RegSnap!RegSnap是用來監視系統變化的軟體,它可以給系統做「快照」,通過前後兩次快照的比較,向您詳細地報告註冊表及其他與系統有關項目的修改變化情況。

一、RegSnap功能簡介

1、對註冊表的一切改動都詳細的加以記錄,如報告修改了哪些鍵,修改前後的鍵值是什麼,增加和刪除了哪些鍵以及這些鍵的值;

2、記錄X:\Windows和X:\Windows\system子目錄下文件的變化情況(這裡X代表系統文件所在盤符),包括刪除、替換、增加了哪些文件;

3、記錄Windows的系統配置文件win.ini、system.ini的變化情況,包括刪除、修改和增加了哪些內容;

4、記錄autoexec.bat和config.sys的變化。

另外,RegSnap可以在必要的時候恢復註冊表,也可以直接調用註冊表編輯器查看或修改註冊表。

二、RegSnap具體使用方法

如果你的RenSnap沒有註冊,每次啟動時都會出現請你註冊的信息,而後就出現啟動嚮導,右邊有兩個圖標按鈕分別「新建快照」(建立新的快照文件)和「比較」(比較兩個快照文件)。

1、新建快照

當你點擊新建快照文件時,會有兩種提示:

①快照全部:主要檢查註冊表、Windows及Windows\System目錄下的文件、Win.ini、System.ini、Autoexec.bat和Config.sys的變化,給它們做個快照。

②僅註冊表:這就不用說了吧。

還有兩個選擇框為:保存鍵值和保存動態鏈接庫版本信息,建議全部選擇,你還可以輸入這次快照的說明文件,便於以後查看。

點擊確定以後開始工作:顯示搜尋並捕獲了鍵值信息以後,會有一個顯示框提示所有被選擇的系統文件的鍵和鍵值的總數;以及此次的快照文件名、日期/時間、模式、數據、PC名稱/用戶、RegSnap的版本、說明(如圖1)。

軟體綠化技巧(六):註冊表快照工具 RegSnap

此時你可以保存這個名為RegSnapX.rgs的快照文件並指定保存到某一目錄下。

2、比較

點擊比較按鈕,出現兩個快照文件選擇框(如圖2),

軟體綠化技巧(六):註冊表快照工具 RegSnap

如果你生成了幾個快照文件,這時就可以任意選擇兩個快照文件作為比較,註:系統將自動根據時間先後決定快照的順序。

在報告選項中可以選擇:只顯示被修改的鍵名或顯示被修改的鍵名和鍵值,如果選擇後面一項,可以生成REG文件用於撤消或更改註冊表,這個功能不錯。

在輸出文件名中可以選擇.txt或.html文件,建議選擇.html文件,因為可以很直觀地顯示各種信息。

在高級選項中我們可以添加要排除比較的註冊鍵,在生成比較文件時可以不用比較添加的註冊鍵,但一般用戶可以不予理睬。

按確定以後,系統將自動生成Regsnp1-Regsnp2.htm(文件名可以自定),並自動用IE打開此文件。其實我們前面所做的一切都是為了取得這個比較文件,觀察對比信息。

三、比較結果文件

比較結果文件非常重要,它非常詳細地列出了前後兩次快照文件的差別,特別是註冊表被修改以前和以後的對比信息,包括註冊鍵的刪除、修改、新建以及鍵值的詳細參數;如果系統中的文件被修改,將列出前後文件的建立日期和時間、字節數……

建議在乾淨的系統下先做一次快照,以後隔十天半個月再做一次快照以對比兩次系統是否存在差異,這對於觀察系統是否被黑客木馬或病毒入侵有著很大幫助。

心動不如馬上行動,還是去下載一個試試看吧,如果發現有什麼技巧可要告訴我啊!