;
图三
第二步:安装要分析的软件,例如UltraISO,安装完毕后,切换到Regshot窗口单击第二个“摄取按钮,选择“摄取做第二个注册表快照。当快照扫描完毕后,单击“比较按钮,Regshot会对两个快照进行比较,并自动打开生成的结果报告文件。
第三步:从报告文件中可以看到UltraISO安装时对注册表数据所做的修改,如增加的主键、增加的键值以及修改的键值等,非常直观。
小提示
一些软件自带的卸载程序并不能从注册表中彻底清除所有添加的数据,这时就可以根据Regshot生成的报告文件来手工清除这些无用的注册表数据,为注册表“减负。
捉住注册表中的“内鬼
一些软件安装后会自动添加自启动程序而不提示用户,更有一些木马程序则会偷偷地在系统中植入木马自启动程序,这些“动作很难直观地看到。不过笔者发现在著名的木马检测程序The Cleaner中有一个单独的注册表实时监视工具—TCMonitor,有了它,就能保障注册表不被非法修改了。
TCMonitor 小档案
软件版本:2.0 软件大小:330KB
软件性质:免费软件 适用平台:Windows 9x/2000/XP
软件备注:以上提供的是The Cleaner的下载地址,该软件是一款共享软件,但其组件TCMonitor却是完全免费的,不过需要手工提取该组件,方法是把C:Program FilesThe Cleaner目录中的“tcm.exe和“siren.wav两个文件单独复制出来即可。
第一步:现在开始运行“tcm.exe,首先它会弹出提示框,询问是否修复关联数据和禁止脚本执行,一般应选中这两个选项,并选择“Please do not ask me again选项,让它下次不再提示,然后直接单击“OK按钮,这时TCMonitor会自动缩小在系统托盘中后台工作。
第二步:双击托盘图标打开软件主界面,在列表中显示的就是TCMonitor正在监视的注册表主键,这些都是系统中非常重要的数据,也是病毒木马最容易入侵修改的地方,大概了解这些信息后,关闭这个界面让它继续后台工作。
第三步:当有软件或者病毒木马修改被监视的键值时,TCMonitor会马上发出声音报警提示,同时弹出提示对话框显示被修改的主键(见图4),如果确认这个修改是无害的,可直接单击“Ignore this alarm and accept the changes按钮忽略警报并接受修改。
;
图四
如果不能确认,则可以单击“Examine or edit the changed data按钮,这时TCMonitor会在新窗口中显示出修改前(Expected data)和修改后(Actual data)注册表数据的变化情况(见图5),你可以很容易地判断出为个变化是否属于正常修改。在这里单击“Reset Alarm按钮可以取消警报,单击“Launch Editor则会直接调用注册表编辑器打开被修改的主键,你可以手工修正被非法修改的数据。
;
图五
小提示
在TCMonitor中可以手工编辑要监视的注册表数据列表,利用这个功能,只需要添加IE相关数据,就能随时提醒恶意网页对IE的修改。在TCMonitor主界面中单击菜单“Edit→Edit Watch Data,选中“Registry Watch选项,在右边选择要监视的根键“HKLM,并填写好主键“SOFTWAREMicrosoftInternet ExplorerMain,单击“Add按钮添加到列表,并单击“Save存盘即可。而且TCMonitor还可以对文件和文件夹进行监视,这些功能就不再细说了。
;
标签: