关闭窗口
首页
厅长之窗 李春燕 李江河 赖厚明 吴海平 熊远国 唐国栋
机构设置及职能 厅办公室 综合规划处 科学技术处 无线电管理处 信息化推进处 网络及通信管理处 机关党委(人事处) 纪检组(监察室) 机关后勤服务中心
工作动态 综合动态 电子信息产品制造业动态 软件业动态 无线电管理动态 信息化推进动态
公告公示 公告 无线电管理公告 电子信息产品制造业公告 软件业公告 信息化推进公告
领导讲话 部省领导讲话 厅领导讲话 李春燕 李江河 赖厚明 吴海平 熊远国 唐国栋 年度工作报告 其他
政府文件 赣信人 赣信字 赣信综 赣信科 赣信无 赣信信 赣信监 <赣信发 赣信厅办 赣信党字
工作简报 信息产业厅大事记 厅简报 专项工作简报 专项工作简报 政务双评 保持共产党先进性教育 惩治商业腐败
政策法规 法律 行政法规 部门规章 地方性法规 省政府规章 无线电管理专门法律法规 规范性文件 法律法规 频率台站管理规定 设备管理规定 收费规定 规章制度
统计信息 全国通信行业运行情况 我省电子信息产业经济运行情况 我省软件产业经济运行情况 我省无线电台登记情况
人事教育 人才招聘 人事教育 文件选编 文件选编
纪检监察 工作部署 党纪法规 动态信息 警示教育
规划部署 电子信息产品制造业规划部署 软件业规划部署 无线电管理规划部署 信息化规划部署
产业动态 电子信息产品制造业动态 软件业动态 信息化推进动态 无线电管理业动态
知识园地 电子信息产品制造业知识 软件业知识 信息化知识 无线电知识
频道首页
政务公开指南
行政执法目录
办事项目 综合规划处 科学技术处 信息化推进处 无线电管理处
相关法规文件
办结通知
行政处罚
收费标准
数据库查询
频道首页
厅长信箱
行政投诉中心
信访、纠风热线
纪检举报
便民服务
常见问题 办公室 综合规划处 科学技术处 无线电管理处 信息化推进处 人事处 省无线电监测站 其他问题
民意调查
便民服务
数据库查询
网站群导航 网站全目录 繁體 简体 收藏本页 设为首页 电子信息产品制造业 软件业 无线电管理 信息化推进
首页 | 机构设置 | 政策法规 | 政府文件 | 领导讲话 | 规划部署 | 工作动态 | 公告公示 | 产业动态 | 专项资金 | 统计信息 | 工作简报 | 人事教育 | 纪检监察 | 知识园地
 您现在的位置: 江西信息产业厅 >> 政务公开 >> 知识园地 >> 软件业知识 >> 文章正文
  打开注册表,看优化软件在“搞什么鬼” 打印此文【字体:
打开注册表,看优化软件在“搞什么鬼”
作者:徐海斌    文章来源:电脑爱好者    点击数:    更新时间:2005-3-22
 
nbsp;   Windows的注册表就像一个地下迷宫,每当我们感觉对它了解一些的时候,却发现它还包含着一个新的迷宫……我们拥有很多修改注册表的工具,但它们总是在注册表被软件修改之后才能用得到,怎么才能在注册表被改动的第一时间就发现呢?很多杀毒软件都忽视了对注册表的保护,而这往往是木马病毒滋生的温床!

    注册表是一个庞大的数据库,我们对它只有一个静态的了解。其实,了解注册表动态数据变化更有意义,因为几乎所有软件在安装和运行过程中,都会修改注册表数据,而这些注册表数据的变化很可能是有害的,例如木马程序添加的自启动数据。通过对注册表进行监视,你就能观察到这些数据的变化,同时,通过对注册表数据动态变化的分析,你还可以了解到更多关于注册表的秘密。下面就通过三个监视注册表的实例,来了解系统的秘密。

    超级兔子的秘密

    许多朋友很喜欢用超级兔子来修改一些系统选项,用起来确实方便。不过,对于一些喜欢凡事问个究竟的朋友来说,可能心里一直有一个疑问:超级兔子究竟是修改了注册表中的哪些数据呢?软件作者怎么发现它们的?这些都属于超级兔子的秘密,一般来说,我们是很难得知的,不过通过Regmon软件对注册表的监视,你就能发现它其实很简单。

    Regmon

    [点击下载]

    第一步:运行Regmon,单击菜单“选项→过滤器→高亮”,在这里需要设置过滤条件,让Regmon只显示超级兔子对注册表修改的数据。在“包含”栏中输入超级兔子魔法设置的进程文件名“srms.exe”(见图1),并在下面只选中“记录写入”、“记录成功”两个选项,其他要监视的选项全部取消,这样可以大大减少无用监视数据,提高分析效率。



    第二步:单击“确定”按钮,这时Regmon会提示你“要应用更新的过滤设置到当前输出吗?”,点击“是”按钮返回主界面,然后按“Ctrl+X”快捷键清除当前窗口中已经显示的监视数据。

    第三步:运行超级兔子,打开“桌面与图标→图标选项”。

    实例:透视“禁止使用缩略图加速”

    这里来分析一下“禁止使用缩略图加速”技巧究竟是如何修改注册表的。首先选中该选项,单击“应用”按钮,切换到Regmon,你会发现窗口中显示有13个记录,这是超级兔子的设计问题,即使只修改了这个页面中的一个选项,它也会把该页面中所有选项对应的注册表数据重写一下,所以就会产生很多数据。

    那怎样才能判断出究竟哪个才是对应的数据呢?只需再次取消“禁止使用缩略图加速”选项,并点击一次“应用”按钮,返回Regmon,你会发现窗口中又出现了13个记录,现在仔细对比“其他”列中前13个记录与后13个记录的数据,会发现只有两个记录的数据是不同的(见图2)。



    这两个记录对应的“路径”列指向的注册表键值都是相同的,即HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced主键下的“DisableThumbnailCache”键值。由此我们可以分析得出结论,该键值为“1”表示禁止使用缩略图加速,键值为“0”表示允许使用缩略图加速功能。

    小提示

    利用Regmon的注册表动态监视功能,还可以对一些有使用天数限制的共享软件进行监视,找出记录使用时间的注册表键值,修改该键值数据就能延长使用期限。

    它们都干了些什么

    注册表体积与系统速度关系密切,所以大家都不希望软件在安装时向注册表中写入数据。那么,如何才能知道一个软件究竟对注册表做了什么修改呢?你可以通过以下两种方法进行侦查。

    1.FC命令

    安装新软件前,打开注册表编辑器,选择“注册表→导出注册表文件”,利用“全部”选项,将结果文件保存为Before.txt(不要使用REG扩展名)。安装新软件或进行用户想跟踪的其他任何更改后,打开注册表编辑器,再导出整个注册表,这一次将导出的文件命名为After.txt文件。接着打开MS-DOS命令窗口,转换到有那两个文本文件的目录中,然后执行以下命令:

    FC Before.txt After.txt > Diff.txt

    关闭DOS窗口,在“记事本”中打开Diff.txt文件,这里会显示在注册表所发现的所有不同之处。

    2.RegShot

    Regshot可以帮你了解到这些信息,它可以在软件安装前后为注册表建立两个快照。通过分析快照文件,找出有变化的注册表数据,并把比较结果输出为易读的报告文件。

    [点击下载]

    软件备注:Regshot是一款多国语言版软件,运行后在右下角的语言下拉框中选择“中文GB”即可切换为简体中文界面。

    实例1:全面捕捉UltraISO对注册表做了什么

    第一步:运行Regshot,设置好报告文件输出格式和输出路径,软件提供有“TXT文档”和“HTML文档”两种方式可以选择。单击第一个“摄取”按钮,弹出下拉菜单,选择“摄取”,这时Regshot会自动对系统注册表做一个快照(见图3),当快照扫描完毕时,第一个“摄取”按钮变灰。



    第二步:安装要分析的软件,例如UltraISO,安装完毕后,切换到Regshot窗口单击第二个“摄取”按钮,选择“摄取”做第二个注册表快照。当快照扫描完毕后,单击“比较”按钮,Regshot会对两个快照进行比较,并自动打开生成的结果报告文件。

    第三步:从报告文件中可以看到UltraISO安装时对注册表数据所做的修改,如增加的主键、增加的键值以及修改的键值等,非常直观。

    小提示

    一些软件自带的卸载程序并不能从注册表中彻底清除所有添加的数据,这时就可以根据Regshot生成的报告文件来手工清除这些无用的注册表数据,为注册表“减负”。

    捉住注册表中的“内鬼”

    一些软件安装后会自动添加自启动程序而不提示用户,更有一些木马程序则会偷偷地在系统中植入木马自启动程序,这些“动作”很难直观地看到。不过笔者发现在著名的木马检测程序The Cleaner中有一个单独的注册表实时监视工具—TCMonitor,有了它,就能保障注册表不被非法修改了。

    TCMonitor

    [点击下载]

    软件备注:以上提供的是The Cleaner的下载地址,该软件是一款共享软件,但其组件TCMonitor却是完全免费的,不过需要手工提取该组件,方法是把C:\Program Files\The Cleaner目录中的“tcm.exe”和“siren.wav”两个文件单独复制出来即可。

    第一步:现在开始运行“tcm.exe”,首先它会弹出提示框,询问是否修复关联数据和禁止脚本执行,一般应选中这两个选项,并选择“Please do not ask me again”选项,让它下次不再提示,然后直接单击“OK”按钮,这时TCMonitor会自动缩小在系统托盘中后台工作。

    第二步:双击托盘图标打开软件主界面,在列表中显示的就是TCMonitor正在监视的注册表主键,这些都是系统中非常重要的数据,也是病毒木马最容易入侵修改的地方,大概了解这些信息后,关闭这个界面让它继续后台工作。

    第三步:当有软件或者病毒木马修改被监视的键值时,TCMonitor会马上发出声音报警提示,同时弹出提示对话框显示被修改的主键(见图4),如果确认这个修改是无害的,可直接单击“Ignore this alarm and accept the changes”按钮忽略警报并接受修改。



    如果不能确认,则可以单击“Examine or edit the changed data”按钮,这时TCMonitor会在新窗口中显示出修改前(Expected data)和修改后(Actual data)注册表数据的变化情况(见图5),你可以很容易地判断出为个变化是否属于正常修改。在这里单击“Reset Alarm”按钮可以取消警报,单击“Launch Editor”则会直接调用注册表编辑器打开被修改的主键,你可以手工修正被非法修改的数据。



    小提示

    在TCMonitor中可以手工编辑要监视的注册表数据列表,利用这个功能,只需要添加IE相关数据,就能随时提醒恶意网页对IE的修改。在TCMonitor主界面中单击菜单“Edit→Edit Watch Data”,选中“Registry Watch”选项,在右边选择要监视的根键“HKLM”,并填写好主键“\SOFTWARE\Microsoft\Internet Explorer\Main”,单击“Add”按钮添加到列表,并单击“Save”存盘即可。而且TCMonitor还可以对文件和文件夹进行监视,这些功能就不再细说了。
 
文章录入:高琨    责任编辑:高琨 


相关文章:
LG推出X110微型笔记本 要靠3G打开市场
傲游:批量网址一键打开三则妙招
小巧实用的注册表管理专家RegShot
百付宝正式上线 注册会员可邀请人
让WinXP注册表“失忆”更加简单
浩方对战平台的如何注册和登陆
实用简单 改良Win XP的打开窗口
技巧 改良Windows XP的打开窗口
RegSeeker注册表清理简单易用体验
巧改注册信息 让XP死机时自动重启
用注册表固定IP地址 防止他人乱改
浩辰ICAD打开国产CAD软件希望之门
Vista下无法打开摄像头解决方法
Lebendig让打开关闭窗口更有意思
抵抗DDOS攻击 修改注册表增强系统
教你同时打开多个飞信窗口的方法
双击就行 用记事本打开未知文件
Mac OS系统强制打开透明效果方法
修改Vista最近打开的项目为任意值
RegFromApp-谁动了我的注册表
  • 上一篇文章:

  • 下一篇文章:
    • 政务公开的内容
    服务承诺
    监督检查
    政务详细指南
    行政执法主体
    行政执法依据目录
    政务详细指南
    无线电频率指配
    无线电台(站)设置审批
    船舶、机车、航空器上的制式无线电台(站)强制备案
    无线电台(站)呼号指配
    无线电发射设备进关核准
    建立卫星通信网和设置卫星地球站审批
    无线电发射设备型号初审
    卫星电视广播地面接收设备的定点生产许可的初审
    申请军工电子装备科研生产许可证的推荐
    计算机信息系统集成资质认定的初审
    信息系统工程监理资质认证
    信息系统工程监理工程师资质认定的初审
    作弊录音
    执业资格考试(认定)合…
    2008年上半年软考系统分…
    2008年上半年软考信息系…
    2008年上半年软考信息系…
    2008年上半年软考信息系…
    2008年上半年软考网络工…
    2008年上半年软考数据库…
    2008年上半年软考软件设…
    2008年上半年软考软件评…
    关于我厅 | About Jxdii | 法律声明 | 个人隐私声明 | 网站帮助 | 网站地图 | 电子邮局 | 个性化订阅 | 问卷调查 | 旧版网站回顾

    Copy-right © 2000 - 2009 JXDII GOV.All Rights Reserved

    主办单位:江西省信息产业厅 地址:江西省政府大院北二路102号 邮编:330046 联系电邮:master@jxdii.gov.cn
    赣洪备2-4-3-0856214