揪出非法写入注册表的程序

揪出非法写入注册的程序 注册表是Windows系统用来存储配置信息的几个“数据库”，硬件设备的调 整、应用程序的增删、系统运行状态的修改等内容都保存在注册表数据库中。现 在木马和病毒这么多，有的杀毒工具也不能完全检测和清除病毒，那我们能通过 注册表监视工具直接掌控系统的工作情况吗？笔者推荐了一款很靓的工具 ——Regmon（Registry Monitor），它是一个出色的绿色注册表数据库监视软件， 自动将系统对注册表数据库的读取、修改等操作逐笔记录下来，此后我们就可以 凭借它所作的记录从事有关系统维护操作了。 一、如何判断程序写入注册表是否正常 下面我们以使用《超级兔子》为例，看看怎样用Regmon来了解《超级兔子》的“魔法设置”是如何对注册表修改数据的。 首先运行Regmon，一个很的Windows程序界面。点击“选项?过滤器/ 高亮”命令，然后在弹出的“Regmon过滤”窗口设置所需的过滤条件。在“包 含”栏中输入《超级兔子》“魔法设置”的进程名称“srms.exe”（如图1）， 并选中“日志写入”和“日志成功”，其他的监视选项都取消，这样可以大大减 少无用的监视数据信息，提高用户对信息的分析效率。 图1 设置完成后单击“应用”按钮，Regmon会提示用户“要应用更新的过滤设置到当前输出吗？”，点击“是”按钮返回主界面，然后点击工具栏中的“清 除”按钮清除当前窗口中已经显示的全部监视数据。 下面运行《超级兔子》的“魔法设置”功能，选中“系统”，在“系统选项” 标签中勾选“关机时自动清除文档菜单”并“应用”。切换到Regmon的操作界 面，你会发现窗口中显示有363条相关记录。 那怎样才能判断出究竟哪个才是对应的数据呢？用户只须再次取消勾选 “关机时自动清除文档菜单”并“应用”，这时在Regmon的操作界面中就会又出现363条记录。下面对这两次的记录进行对比，发现程序修改的注册表键值都 是相同的，即 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Clea rRecentDocsOnExit。由此我们得知，该键值为“1”表示自动清除文件记录，键 值为“0”表示保留文件记录。 二、哪些是注册表高危键值 如何防止木马、病毒、流氓软件等众多恶意程序修改注册表？我们只须在安 装软件之前先行启动Regmon，将该软件在安装过程中对注册表数据库的修改全 部记录下来，由于恶意程序很多都是开机就运行的，所以用户如果发现了开机就 运行的可疑程序，那么就需要注意了。 下面是恶意程序最常见的在注册表中驻扎的启动项： 1.注册表启动项 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Ex] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServ icesOnce] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run] 阿萌小提示： 我们如何分辨这些启动项目到底是正常的还是恶意的呢？每个启动项目都 分为名称、类型、数据三部分。 正确的方法是直接在“数据”部分查看该启动项所对应的文件目录，比如杀 毒软件卡巴斯基的启动名称为“kav”，数据的内容为“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”，接着根据目录所指找到相应的文件，然后点击右键查看它的“属性”。正规文件的“属性”窗口 都可以看到常规、版本、兼容性等几个标签，从“版本”标签我们就可以轻易的 查看到该文件的“公司名称”、“文件描述”等信息(如图2)。如果该文件的“属性”窗口没有“版本”标签的信息，那么这个文件就一定有问，应当及早 进行删除。 图22.系统服务启动 在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下，就 可以查看到系统全部的服务，包括木马安装的可疑服务主键。如果发现有程序向 这里添加键值，用户就应该引起注意了。在右边窗格中找到二进制值“Start”， 修改它的数值，“2”表示自动，“3”表示手动，而“4”表示已禁用，当然最 好直接删除整个主键。 3.开始菜单启动组 “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”，键名为“StartUp”，就是该项目在注册表的位置。 一旦在注册表以上位置发现含有奇怪的程序路径的话，首先我们选中该键 值，接着点击Regmon操作界面中的“注册表跳转”命令，然后用户就可以对其 进行操作了。从上面的介绍中可以看出，充分利用Regmon的注册表数据库监视功能有助于简化我们对系统的维护操作，提高系统运行效率，更何况它还是一个 免费软件。