發(fā)布時間：2010-01-26 16:59:46

　　安裝軟件時往往會在注冊表中寫入某些鍵名和鍵值，系統(tǒng)安裝目錄也是它們的最愛——在這些地方生成非法文件，而修改win.ini、system.ini、config.sys、autoexec.bat等系統(tǒng)配置文件也是它們常用的手段，主要目的是為了在系統(tǒng)啟動時自動加載非法程序，從而可以隨時控制系統(tǒng)。

　　作為普通用戶，我們?nèi)绾尾拍苤郎鲜龅攸c(diǎn)是否被修改或加載了非法程序呢？我們可以使用RegSnap！RegSnap是用來監(jiān)視系統(tǒng)變化的軟件，它可以給系統(tǒng)做“快照”，通過前后兩次快照的比較，向您詳細(xì)地報(bào)告注冊表及其他與系統(tǒng)有關(guān)項(xiàng)目的修改變化情況。

　　一、RegSnap功能簡介

　　1、對注冊表的一切改動都詳細(xì)的加以記錄，如報(bào)告修改了哪些鍵，修改前后的鍵值是什么，增加和刪除了哪些鍵以及這些鍵的值；

　　2、記錄X:\Windows和X:\Windows\system子目錄下文件的變化情況（這里X代表系統(tǒng)文件所在盤符），包括刪除、替換、增加了哪些文件；

　　3、記錄Windows的系統(tǒng)配置文件win.ini、system.ini的變化情況，包括刪除、修改和增加了哪些內(nèi)容；

　　4、記錄autoexec.bat和config.sys的變化。

　　另外，RegSnap可以在必要的時候恢復(fù)注冊表，也可以直接調(diào)用注冊表編輯器查看或修改注冊表。

　　二、RegSnap具體使用方法

　　如果你的RenSnap沒有注冊，每次啟動時都會出現(xiàn)請你注冊的信息，而后就出現(xiàn)啟動向?qū)?，右邊有兩個圖標(biāo)按鈕分別“新建快照”（建立新的快照文件）和“比較”（比較兩個快照文件）。

　　1、新建快照

　　當(dāng)你點(diǎn)擊新建快照文件時，會有兩種提示：

　?、倏煺杖浚褐饕獧z查注冊表、Windows及Windows\System目錄下的文件、Win.ini、System.ini、Autoexec.bat和Config.sys的變化，給它們做個快照。

　?、趦H注冊表：這就不用說了吧。

　　還有兩個選擇框?yàn)椋罕４骀I值和保存動態(tài)鏈接庫版本信息，建議全部選擇，你還可以輸入這次快照的說明文件，便于以后查看。

　　點(diǎn)擊確定以后開始工作：顯示搜索并捕獲了鍵值信息以后，會有一個顯示框提示所有被選擇的系統(tǒng)文件的鍵和鍵值的總數(shù)；以及此次的快照文件名、日期/時間、模式、數(shù)據(jù)、PC名稱/用戶、RegSnap的版本、說明（如圖1）。

　　此時你可以保存這個名為RegSnapX.rgs的快照文件并指定保存到某一目錄下。

　　2、比較

　　點(diǎn)擊比較按鈕，出現(xiàn)兩個快照文件選擇框（如圖2），

　　如果你生成了幾個快照文件，這時就可以任意選擇兩個快照文件作為比較，注：系統(tǒng)將自動根據(jù)時間先后決定快照的順序。

　　在報(bào)告選項(xiàng)中可以選擇：只顯示被修改的鍵名或顯示被修改的鍵名和鍵值，如果選擇后面一項(xiàng)，可以生成REG文件用于撤消或更改注冊表，這個功能不錯。

　　在輸出文件名中可以選擇.txt或.html文件，建議選擇.html文件，因?yàn)榭梢院苤庇^地顯示各種信息。

　　在高級選項(xiàng)中我們可以添加要排除比較的注冊鍵，在生成比較文件時可以不用比較添加的注冊鍵，但一般用戶可以不予理睬。

　　按確定以后，系統(tǒng)將自動生成Regsnp1-Regsnp2.htm（文件名可以自定），并自動用IE打開此文件。其實(shí)我們前面所做的一切都是為了取得這個比較文件，觀察對比信息。

　　三、比較結(jié)果文件

　　比較結(jié)果文件非常重要，它非常詳細(xì)地列出了前后兩次快照文件的差別，特別是注冊表被修改以前和以后的對比信息，包括注冊鍵的刪除、修改、新建以及鍵值的詳細(xì)參數(shù)；如果系統(tǒng)中的文件被修改，將列出前后文件的建立日期和時間、字節(jié)數(shù)……

　　建議在干凈的系統(tǒng)下先做一次快照，以后隔十天半個月再做一次快照以對比兩次系統(tǒng)是否存在差異，這對于觀察系統(tǒng)是否被黑客木馬或病毒入侵有著很大幫助。

　　心動不如馬上行動，還是去下載一個試試看吧，如果發(fā)現(xiàn)有什么技巧可要告訴我啊！