相關工具
一、登錄檔的備份
(1)直接將登錄檔檔案System.dat和User.dat複製到硬碟指定的目錄下或直接複製到軟盤上作為備份。恢復時將該備份替換覆蓋回原處即可。
(2)利用Windows自帶regedit備份登錄檔。
(3)利用Windows95自帶的緊急事故恢復工具(Emergency Recovery Utility),僅適合Windows
9x系統。
(4)利用Ghost工具備份整個系統。
登錄檔與系統的備份相當重要,在你嘗試一個新的軟體時,建議你先備份一下注冊表,這樣在必要時可分析出安裝程式在登錄檔裡做的標誌。
二、監視工具
(1)登錄檔"監視員"Regmon
Regmon(Registry Monitor)是一個出色的登錄檔資料庫實時監視軟體,它將與登錄檔資料庫相關的一切操作(如讀取、修改、出錯資訊等)全部記錄下來以供使用者參考,並允許使用者對記錄的資訊進行儲存、過濾、查詢等處理,這就為使用者對系統的維護提供了極大的便利r。
(2)登錄檔監視器Regsnap
RegSnap是一個專門用於比較Windows登錄檔及系統啟動設定檔案變化的工具。Regsnap的原理非常簡單:在需要的時候,透過"File/New"選單或工具條按鈕將當前登錄檔及相關內容儲存到副檔名為rgs的檔案中(如在安裝新軟體之前和軟體安裝結束後分別儲存一次),然後透過"File/Compare"選單比較這兩個檔案,Regsnap就會詳細地報告登錄檔及與系統有關的其他內容的變化情況。
Regsnap對系統的比較報告非常具體。對登錄檔可報告修改了哪些鍵,修改前、後的值各是多少;增加和刪除了哪些鍵以及這些鍵的值。報告結果既可以以純文字的方式,也可以html網頁的方式顯示,非常便於檢視。
除系統登錄檔以外,Regsnap還可以報告系統的其他情況:Windows的系統目錄(預設是c:\Windows)和系統的system子目錄下檔案的變化情況,包括刪除、替換、增加了哪些檔案;Windows的系統配置檔案win.ini和system.ini的變化情況,包括刪除、修改和增加了哪些內容;自動批處理檔案autoexec.bat是否被修改過。
(3)登錄檔監視器RegShot
RegShot是一個國產免費軟體,作者是TiANWEi。這個軟體可以比較註冊及系統配製檔案的變化。它的原理是在執行該軟體之前作個記錄,在執行它之後作個記錄,比較二者的差別。
(4) 檔案監視器FileMon
FileMon是Sysinternals推出的一款自由軟體,適用於Windows
NT/2000和Windows 95/98/ME系列平臺。憑著它的強大功能,使用者可以瞭解系統的工作情況、可檢視應用程式的檔案和DLL庫的使用情況,甚至還可以捕捉到底層檔案訪問的各種細節所在。而且當檔案的讀寫等事件發生的時候,FileMon還能精確記錄下這些事件的發生時刻、持續時間以及操作結果等重要資料,因此,FileMon便成了分析人員們必備的工具之一。