你现在的位置:学校网首页 - 免费在线书籍 - RegSnap:给你的系统做个快照(图)

系统工具 - RegSnap:给你的系统做个快照(图)  [ 返回目录页 ]

当浏览了恶意网页或电脑感染上黑客 木马程序时,那些阴险的“家伙”往往会在注册表中写入某些键名和键值,系统安装目录也是它们的最爱——在这些地方生成非法文件,而修改win.ini system.ini config.sys autoexec.bat等系统配置文件也是它们常用的手段,主要目的是为了在系统启动时自动加载非法程序,从而可以随时控制系统。
作为普通用户,我们如何才能知道上述地点是否被修改或加载了非法程序呢?我们可以使用RegSnap!RegSnap是用来监视系统变化的软件,它可以给系统做“快照”,通过前后两次快照的比较,向您详细地报告注册表及其他与系统有关项目的修改变化情况。RegSnap下载地址:http://www.esoftware/file/system/sysimpro/2002030505.shtml。
一 RegSnap功能简介
1 对注册表的一切改动都详细的加以记录,如报告修改了哪些键,修改前后的键值是什么,增加和删除了哪些键以及这些键的值;
2 记录X:\Windows和X:\Windows\system子目录下文件的变化情况(这里X代表系统文件所在盘符),包括删除 替换 增加了哪些文件;
3 记录Windows的系统配置文件win.ini system.ini的变化情况,包括删除 修改和增加了哪些内容;
4 记录autoexec.bat和config.sys的变化。
另外,RegSnap可以在必要的时候恢复注册表,也可以直接调用注册表编辑器查看或修改注册表。
二 RegSnap具体使用方法
如果你的RenSnap没有注册,每次启动时都会出现请你注册的信息,而后就出现启动向导,右边有两个图标按钮分别“新建快照”(建立新的快照文件)和“比较”(比较两个快照文件)。
1 新建快照
当你点击新建快照文件时,会有两种提示:
①快照全部:主要检查注册表 Windows及Windows\System目录下的文件 Win.ini System.ini Autoexec.bat和Config.sys的变化,给它们做个快照。
②仅注册表:这就不用说了吧。
还有两个选择框为:保存键值和保存动态链接库版本信息,建议全部选择,你还可以输入这次快照的说明文件,便于以后查看。
点击确定以后开始工作:显示搜索并捕获了键值信息以后,会有一个显示框提示所有被选择的系统文件的键和键值的总数;以及此次的快照文件名 日期/时间 模式 数据 PC名称/用户 RegSnap的版本 说明(如图1)。


此时你可以保存这个名为RegSnapX.rgs的快照文件并指定保存到某一目录下。
2 比较
点击比较按钮,出现两个快照文件选择框(如图2),


如果你生成了几个快照文件,这时就可以任意选择两个快照文件作为比较,注:系统将自动根据时间先后决定快照的顺序。
在报告选项中可以选择:只显示被修改的键名或显示被修改的键名和键值,如果选择后面一项,可以生成REG文件用于撤消或更改注册表,这个功能不错。
在输出文件名中可以选择.txt或.html文件,建议选择.html文件,因为可以很直观地显示各种信息。
在高级选项中我们可以添加要排除比较的注册键,在生成比较文件时可以不用比较添加的注册键,但一般用户可以不予理睬。
按确定以后,系统将自动生成Regsnp1-Regsnp2.htm(文件名可以自定),并自动用IE打开此文件。其实我们前面所做的一切都是为了取得这个比较文件,观察对比信息。
三 比较结果文件
比较结果文件非常重要,它非常详细地列出了前后两次快照文件的差别,特别是注册表被修改以前和以后的对比信息,包括注册键的删除 修改 新建以及键值的详细参数;如果系统中的文件被修改,将列出前后文件的建立日期和时间 字节数……
建议在干净的系统下先做一次快照,以后隔十天半个月再做一次快照以对比两次系统是否存在差异,这对于观察系统是否被黑客木马或病毒入侵有着很大帮助。
 


 目录

技术支持:www.szxuexiao.com 最佳浏览分辨率:1024*768、IE6以上 声明:本站尊重并保护知识产权,根据《信息网络传播权保护条例》,如果我们转载或引用的作品侵犯了您的权利,请在一个月内通知我们,我们会及时删除!