Sysinternals工具使用手冊(cè)

1、Sysinternals工具實(shí)驗(yàn)手冊(cè)寫在前面的話 (1Sysinternlas工具簡(jiǎn)介 (1Autoruns (2Filemon (26高手進(jìn)階FileMon使用實(shí)例之一 (26Filemon說(shuō)明書 (35Regmon (38強(qiáng)大的注冊(cè)表監(jiān)視器Regmon (38注冊(cè)表監(jiān)視器RegMon使用詳解 (40Process Explorer (43進(jìn)程管理好幫手Process Explorer (43Process Explorer 使用指南 (57NewSID (64NewSID 4.10 版 (64工具系列之NewSID (64SID和NewSID的詳細(xì)說(shuō)明 (66PsTools (72PsTo

2、ols網(wǎng)管員的好幫手 (72PsTools幫助Windows管理(表-電腦教程 (74TCPView (78Tcpview使用教程 (78tcpview使用指南 (80BGInfo (82BGinfo的使用 (82實(shí)用工具特別推薦 BGInfo (84ZoomIt (86ZoomIt使用指南 (86whois (90whois使用指南 (90volumeid (91volumeid使用指南 (91Sdelete (92sdelete介紹 (92小工具sdelete幫你徹底刪除文件 (92RootkitRevealer (94RootkitRevealer 1.71 版 (94對(duì)付HackerD

3、efender 新招-RootkitRevealer (94Autologon (96適用于 Windows 的 Autologon 2.10 版 (96 電話:(0371 65706336 65706337 傳真:(037165706367 1寫在前面的話在做咨詢培訓(xùn)工作時(shí),我經(jīng)常向客戶推薦一些sysinternals的小工具。本來(lái)想自己寫一份這樣的教程及實(shí)驗(yàn)手冊(cè),可是發(fā)現(xiàn)在網(wǎng)上可以找到許多這方面的好文章,所以沒(méi)有必要全部是自己寫,我就當(dāng)一次編輯吧,排排版、校對(duì)一下別字。聲明:本手冊(cè)是為了方便客戶做實(shí)驗(yàn)時(shí)使用。在引用一些互聯(lián)網(wǎng)的文檔時(shí),均注明了出處。我們不對(duì)這此內(nèi)容的有效性和正確性負(fù)責(zé),也不

4、對(duì)使用這些工具的結(jié)果負(fù)責(zé)。Sysinternlas工具簡(jiǎn)介Sysinternals 之前為Winternals公司提供的免費(fèi)工具,Winternals原本是一間主力產(chǎn)品為系統(tǒng)復(fù)原與資料保護(hù)的公司,為了解決工程師平常在工作上遇到的各種問(wèn)題,便開(kāi)發(fā)出許多小工具。之后他們將這些工具集合起來(lái)稱為Sysinternals,并放在網(wǎng)路供人免費(fèi)下載,其中也包含部分工具的原始碼,一直以來(lái)都頗受IT專家社群的好評(píng)。微軟在2006年7月收購(gòu)了Winternals,更重要的是,微軟藉由此一并購(gòu)網(wǎng)羅了該公司的兩位創(chuàng)辦人Mark Russinovich及Bryce Cogswell,其中,Mark Russinovic

5、h曾因?yàn)槔米约洪_(kāi)發(fā)的Rootkit Revealer偵測(cè)到Sony光盤中采用Rootkit程序而聲名大噪。Process Monitor整合了兩項(xiàng)Sysinternals工具Regmon及Filemon,及一項(xiàng)新工具Process Explorer,微軟將并購(gòu)的免費(fèi)工具下載網(wǎng)站Sysinternals移到微軟的TechNet網(wǎng)站上,更名為Windows Sysinternals TechCenter。同時(shí),新版的Rootkit Revealer 也發(fā)布。微軟所推出的Process Monitor就是由Mark Russinovich負(fù)責(zé),他將兩項(xiàng)受歡迎的Sysinternals工具Regmo

6、n及Filemon,及一項(xiàng)新工具Process Explorer整合在Process Monitor 中,透過(guò)單一接口就能夠執(zhí)行上述工具的不同功能。Regmon及Filemon深受病毒及間諜軟件研究人員的喜愛(ài),因?yàn)檫@兩項(xiàng)工具能夠追蹤窗口檔案系統(tǒng)及登錄機(jī)制的活動(dòng),以讓IT管理人員能夠偵測(cè)惡意程序以及解決有問(wèn)題的地方。新的Process Explorer則擴(kuò)及各種非破壞性的過(guò)濾,可以全面過(guò)濾使用者賬號(hào)、姓名、執(zhí)行信息等。 微軟指出,Process Monitor的強(qiáng)大功能將使得它成為使用者系統(tǒng)中作為解決問(wèn)題及尋找惡意程序的核心工具。Process Monitor支持Windows 2000 SP4

7、 with Update Rollup 1、Windows XP SP2、Windows XP 64位版本、Windows Server 2003及Windows Vista等。微軟也發(fā)表了Sysinternals Suite,Sysinternals Suite中包含所有的Sysinternals工具,此外,新版的Rootkit Revealer 1.7也在下載工具之列。AutorunsAUTORUNS程序主界面如G 工欲善其事,必先利其器。由于軟件首次使用時(shí),默認(rèn)字體是8號(hào)字,比較小,對(duì)于近視眼的同志來(lái)講簡(jiǎn)直是折磨。按照下圖步驟,在彈出的對(duì)話框中把字體調(diào)到10號(hào)字以上吧2電話:(0371

8、65706336 65706337 傳真:(037165706367 (可惜的是菜單和標(biāo)簽的中文字體大小不能更改,湊活用吧: 調(diào)整字體后,我們放眼睛望去,可以見(jiàn)到15個(gè)標(biāo)簽,列表下的內(nèi)容全部是用類似注冊(cè)表編輯器的方式顯示的(真多啊,暈!:3電話:(0371 65706336 65706337 傳真:(037165706367 下面簡(jiǎn)單介紹一下各標(biāo)簽的含義:“全部”-顧名思義,全部的開(kāi)機(jī)自啟動(dòng)項(xiàng)都在這個(gè)標(biāo)簽下啦。另外,它也是雙擊autoruns.exe彈出窗口缺省定位的標(biāo)簽,包括其他標(biāo)簽的所有內(nèi)容。“登陸”-細(xì)心的朋友可以發(fā)現(xiàn),該標(biāo)簽下HKLMSOFTWAREMicrosoftWindowsCu

9、rrentVersionRun、HKCUSoftwareMicrosoftWindowsCurrentVersionRun這兩個(gè)注冊(cè)表子項(xiàng)的內(nèi)容與系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽下打勾的項(xiàng)目是完全一樣的,甚至“登陸”的圖標(biāo)也和系統(tǒng)配置實(shí)用程序MSCONFIG.EXE的圖標(biāo)完全相同,呵呵!當(dāng)然,除了以上項(xiàng)目外,該標(biāo)簽還包括HKLMSystemCurrentControlSetControlTerminal ServerWdsrdpwdStartupPrograms HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinitHKLMSOF

10、TWAREMicrosoftWindows NTCurrentVersionWinlogonShell這三個(gè)自啟動(dòng)子項(xiàng)的內(nèi)容,這些是用系統(tǒng)配置實(shí)用程序“啟動(dòng)”標(biāo)簽看不到的內(nèi)容。4電話:(0371 65706336 65706337 傳真:(037165706367 電話:(0371 65706336 65706337 傳真:(037165706367 5“資源管理器”:對(duì)應(yīng)資源管理器在注冊(cè)表上的子項(xiàng)和值項(xiàng)?！坝⑻鼐W(wǎng)瀏覽器”:對(duì)應(yīng)的是IE所有瀏覽器幫助對(duì)象(BHO、網(wǎng)絡(luò)URL地址搜索鉤子、各類IE工具條以及IE常用工具欄按鈕所對(duì)應(yīng)的注冊(cè)表子項(xiàng)和注冊(cè)表值項(xiàng)值?！坝?jì)劃任務(wù)”:和“開(kāi)始”-“程序”-“

11、附件”-“系統(tǒng)信息”-“任務(wù)計(jì)劃”中的內(nèi)容是完全一致的,一般為空。“服務(wù)”:即HKLMSystemCurrentControlSetServices對(duì)應(yīng)的開(kāi)機(jī)自啟動(dòng)服務(wù)的項(xiàng)目。由于具備開(kāi)機(jī)自啟動(dòng)功能,而且依靠ROOTKIT技術(shù)可以隱蔽運(yùn)行,所以是病毒(流氓軟件最愛(ài)光臨的地方。“驅(qū)動(dòng)”:即HKLMSystemCurrentControlSetServices對(duì)應(yīng)的開(kāi)機(jī)自啟動(dòng)驅(qū)動(dòng)程序的項(xiàng)目。同上,又一個(gè)病毒經(jīng)常光臨的樂(lè)園?！皢?dòng)執(zhí)行”:在系統(tǒng)登陸前啟動(dòng)的本地映像文件(即WINDOWS映像文件的對(duì)稱及自啟動(dòng)項(xiàng)的情況。形象地理解一下,就是貌似瑞星的系統(tǒng)登陸前掃描這樣的自啟動(dòng)項(xiàng)?！坝诚窠俪帧?在此標(biāo)簽下

12、的內(nèi)容對(duì)應(yīng)的應(yīng)用程序,開(kāi)機(jī)后即被系統(tǒng)強(qiáng)制劫持而不能運(yùn)行(就是我們經(jīng)常說(shuō)的IFEO,即系統(tǒng)自帶的應(yīng)用程序映像劫持功能?！癆PPINIT”:初始化動(dòng)態(tài)鏈接庫(kù),其內(nèi)容是開(kāi)機(jī)時(shí)系統(tǒng)加載的必要的初始化動(dòng)態(tài)鏈接庫(kù)文件。除了卡巴斯基等少數(shù)軟件需要通過(guò)添加DLL文件到此處實(shí)現(xiàn)從開(kāi)機(jī)就接管系統(tǒng)底層的目的外,一般此項(xiàng)目應(yīng)為空?！癒NOWNDLLS”:系統(tǒng)中已知的DLL文件。 電話:(0371 65706336 65706337 傳真:(037165706367 6“WINLOGON”:WINLOGON登陸項(xiàng)對(duì)應(yīng)的自啟動(dòng)注冊(cè)表子項(xiàng)及值項(xiàng)?！癢INSOCK提供商”:顯示已注冊(cè)的WINSOCK協(xié)議,包括WINSOCK服

13、務(wù)商。由于目前只有很少的工具能夠移除該項(xiàng)目下的內(nèi)容,惡意軟件經(jīng)常偽裝成WINSOCK服務(wù)商實(shí)現(xiàn)自我安裝。AUTORUNS可以卸載此項(xiàng)目下的內(nèi)容,但不能禁用他們。“打印監(jiān)視器”:顯示在PRINT SPOOLER服務(wù)中被加載的DLL文件。一些惡意軟件可能利用此服務(wù)項(xiàng)目實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)?！癓SA提供商”:LSA的全稱為“Local Security Authority”本地安全授權(quán),Windows 系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù),所有安全認(rèn)證相關(guān)的處理都要通過(guò)這個(gè)服務(wù)。它從Winlogon.exe中獲取用戶的賬號(hào)和密碼,然后經(jīng)過(guò)密鑰機(jī)制處理,并和存儲(chǔ)在賬號(hào)數(shù)據(jù)庫(kù)中的密鑰進(jìn)行對(duì)比,如果對(duì)比的結(jié)果匹配,LSA就

14、認(rèn)為用戶的身份有效,允許用戶登錄計(jì)算機(jī)。如果對(duì)比的結(jié)果不匹配,LSA就認(rèn)為用戶的身份無(wú)效。這時(shí)用戶就無(wú)法登錄計(jì)算機(jī)。下面該進(jìn)入正題了。之前,我們需要一一了解該軟件窗口下菜單欄的用法,講解菜單功能之前,先統(tǒng)一一下思想:本軟件窗口項(xiàng)目列表中灰色的部分,我這里叫自啟動(dòng)子項(xiàng)(不能也不允許你刪除,不能使用“驗(yàn)證”、“屬性”菜單功能,想想這應(yīng)該是當(dāng)然的羅,白色的部分,我稱之為自啟動(dòng)值項(xiàng),記住了!一、主要功能菜單的介紹:(一“文件” 該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:1、“查找”:可以用來(lái)查找和定位包含輸入字段的所有自啟動(dòng)子項(xiàng)和值項(xiàng)。比較實(shí)用的功能。2、“比較”:用于比較當(dāng)前狀態(tài)和以前保存過(guò)的日志的差異并設(shè)置標(biāo)

15、記。如果選擇這個(gè)菜單項(xiàng)目,則彈出一個(gè)對(duì)話框要求你選擇一個(gè)你保存過(guò)的以前的日志,選定所需要的日志后,點(diǎn)“打開(kāi)”,如果選定的日志的自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)與當(dāng)前的狀態(tài)有差異,AUTORUNS 將以綠色突出顯示,表示前后的自啟動(dòng)項(xiàng)存在不符。超有用的功能(后面有介紹。3、“保存”、“另存為”:保存日志用的,這里就不多講了。4、“刷新”:過(guò)。5、“退出”:。(二“項(xiàng)目”(其下拉菜單和在項(xiàng)目條上點(diǎn)右鍵彈出的快捷菜單內(nèi)容、功能完全相同7電話:(0371 65706336 65706337 傳真:(037165706367 該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:1、“刪除”:如果選定了一個(gè)自啟動(dòng)值項(xiàng),該菜單項(xiàng)即可用,可

16、以用來(lái)刪除所選擇的啟動(dòng)項(xiàng)目(可惜不能一次刪除多個(gè)項(xiàng)目,當(dāng)然,也不能刪除開(kāi)機(jī)自啟動(dòng)項(xiàng)目注冊(cè)表子項(xiàng);2、“復(fù)制”:可以復(fù)制所選擇自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng),可用“粘貼”將啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)的內(nèi)容復(fù)制到其他需要用的地方。3、“驗(yàn)證”:選擇這個(gè)菜單項(xiàng)后,軟件將自動(dòng)對(duì)列表中所選自啟動(dòng)值項(xiàng)進(jìn)行數(shù)字簽名驗(yàn)證,可以通過(guò)它發(fā)現(xiàn)病毒和流氓軟件的破綻。4、“跳轉(zhuǎn)到”:選擇這個(gè)菜單項(xiàng)后,將自動(dòng)定位到所選自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)在注冊(cè)表的相應(yīng)位置,比較實(shí)用的功能,多用來(lái)對(duì)有問(wèn)題但不能刪除的自啟動(dòng)值項(xiàng)進(jìn)行編輯,以修改被病毒強(qiáng)行修改的一些系統(tǒng)核心的自啟動(dòng)值項(xiàng)的注冊(cè)表值項(xiàng)值。5、“GOOGLE/MSN”:選定某個(gè)自啟動(dòng)子項(xiàng)和自啟

17、動(dòng)值項(xiàng)后,選擇這個(gè)菜單項(xiàng)目將以被選擇內(nèi)容為字段在GOOGLE/MSN上進(jìn)行搜索。6、“進(jìn)程瀏覽器”:這玩意我用不了,提示有錯(cuò)誤,無(wú)奈先過(guò)了。7、“屬性”:可以快速顯示自啟動(dòng)值項(xiàng)對(duì)應(yīng)文件的屬性,十分方便的功能,一些時(shí)候可以通過(guò)查找文件屬性相關(guān)數(shù)據(jù)判斷該文件是否正常(如創(chuàng)建時(shí)間等數(shù)據(jù)。8電話:(0371 65706336 65706337 傳真:(037165706367 (三“選項(xiàng)” 該菜單項(xiàng)目的下拉菜單項(xiàng)目包括:1、“包括空白啟動(dòng)位置”:如果AUTORUNS找不到自啟動(dòng)值項(xiàng)的啟動(dòng)位置,該值項(xiàng)將以空白顯示。也就是說(shuō),如果AUTORUN找不到映像文件對(duì)應(yīng)的自啟動(dòng)項(xiàng)目,選擇這個(gè)菜單將顯示這個(gè)AUTO

18、RUNS不能識(shí)別的自啟動(dòng)項(xiàng)(雖然自啟動(dòng)項(xiàng)目的名稱和說(shuō)明可能都是空的。勾選或取消勾選后要用“刷新”才有效。2、“驗(yàn)證代碼簽名”:一個(gè)很實(shí)用的功能,是用來(lái)指驗(yàn)證所有自啟動(dòng)值項(xiàng)的文件簽名(Windows下的硬件有一個(gè)簽名的功能,它是為了保證所有的驅(qū)動(dòng)文件是經(jīng)過(guò)MICROSOFT CORPORATION測(cè)試,符合HAL兼容性,如果核對(duì)通過(guò),則可基本排除自啟動(dòng)值項(xiàng)是惡意軟件的啟動(dòng)項(xiàng)目。勾選后要用“刷新”才有效。3、“隱藏微軟項(xiàng)目”:同樣是一個(gè)很實(shí)用的功能,可以隱藏微軟認(rèn)證的項(xiàng)目,因?yàn)槲④浾J(rèn)證的項(xiàng)目不再顯示,可供懷疑的自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)大幅度減少,使發(fā)現(xiàn)不正常的自啟動(dòng)值項(xiàng)的難度和工作量降低。勾選后要用

19、“刷新”才有效。4、“字體”:前面都用過(guò)了直接過(guò)。9電話:(0371 65706336 65706337 傳真:(037165706367 5、“搜索引擎”:有GOOGLE和MSN兩個(gè)子菜單項(xiàng),選擇其中一個(gè)后,被選擇的就被作為AUTORUNS的默認(rèn)搜索引擎,并直接在“項(xiàng)目”下拉菜單或在自啟動(dòng)子項(xiàng)、自啟動(dòng)值項(xiàng)點(diǎn)右鍵彈出菜單的第五項(xiàng)反映出來(lái)。(四“用戶” 該菜單項(xiàng)目的下拉菜單項(xiàng)目(根據(jù)操作系統(tǒng)的不同、用戶帳戶的不同,顯示的菜單項(xiàng)目的名稱和個(gè)數(shù)也不同,我的是WINXPSP2操作系統(tǒng),一個(gè)管理員帳戶包括:“操作系統(tǒng)版本-用戶帳戶名”和“操作系統(tǒng)版本-超級(jí)管理員用戶帳戶名”。有多少用戶帳戶就有多少個(gè)菜單

20、項(xiàng)目(沒(méi)有試驗(yàn),不知道有興趣的朋友不妨試下。比如該菜單項(xiàng)的下拉菜單,在我機(jī)只有“WINXPSP2-*”和“WINXPSP2-ADMINISTRATOR”兩個(gè)子項(xiàng)目。用鼠標(biāo)左鍵勾選擇不同項(xiàng)目可以實(shí)時(shí)切換不同帳戶下自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)(哪個(gè)菜單項(xiàng)前打勾,就表示當(dāng)前顯示的是哪個(gè)帳戶的自啟動(dòng)子項(xiàng)目和自啟動(dòng)值項(xiàng)。(五“幫助”:直接略過(guò)。10電話:(0371 65706336 65706337 傳真:(037165706367 二、常用工具欄的介紹在菜單欄下面,有一排按鈕組成的常用工具欄,根據(jù)下圖的標(biāo)記的順序,簡(jiǎn)單介紹一下: 1號(hào)按鈕:“保存”按鈕(等同于菜單欄的“文件”-“保存”功能2號(hào)按鈕:“刷新”

21、按鈕(等同于菜單欄的“文件”-“刷新”功能3號(hào)按鈕:“查找”按鈕(等同于菜單欄的“文件”-“查找”功能4號(hào)按鈕:“屬性”按鈕(等同于菜單欄的“項(xiàng)目”-“屬性”功能5號(hào)按鈕:“刪除”按鈕(等同于菜單欄的“項(xiàng)目”-“刪除”功能6號(hào)按鈕:“跳轉(zhuǎn)”按鈕(等同于菜單欄的“項(xiàng)目”-“跳轉(zhuǎn)到”功能三、特色功能(一比起注冊(cè)表編輯器龐大的數(shù)據(jù)庫(kù)來(lái)說(shuō),AUTORUNS顯得更加專業(yè)-只管理開(kāi)機(jī)自啟動(dòng)項(xiàng),別的不管,使用起來(lái)更簡(jiǎn)便和有針對(duì)性。這也是AUTORUNS軟件的最大特色。(二利用“文件”-“比較”功能,可輕易找出當(dāng)前系統(tǒng)自啟動(dòng)項(xiàng)比以前保存日志時(shí)系統(tǒng)增加的自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng),使檢驗(yàn)添加自啟動(dòng)項(xiàng)的正常與否變得更

22、加方便。11電話:(0371 65706336 65706337 傳真:(037165706367 電話:(0371 65706336 65706337 傳真:(037165706367 12(三“驗(yàn)證代碼簽名”、“隱藏微軟項(xiàng)目”這兩個(gè)功能,使得判斷某個(gè)自啟動(dòng)子項(xiàng)和自啟動(dòng)值項(xiàng)是否是惡意軟件更加簡(jiǎn)單,否則項(xiàng)目太多(一般有200多個(gè),會(huì)看著發(fā)暈的。(四用“跳轉(zhuǎn)到”菜單項(xiàng)目建立了與注冊(cè)表之間的快速切換,特別適合用來(lái)調(diào)用注冊(cè)表編輯器來(lái)編輯一些被惡意軟件強(qiáng)行插入病毒模塊字段的注冊(cè)表值項(xiàng)值。(五“屬性”菜單項(xiàng)目可以直接在自啟動(dòng)項(xiàng)目上用右鍵調(diào)出,也可以在選擇該項(xiàng)目后用“項(xiàng)目”-“屬性”調(diào)出,直接定位并顯示自

23、啟動(dòng)項(xiàng)指向映像文件的“屬性”,由此可以方便地利用文件的創(chuàng)建時(shí)間、大小、版本號(hào)等要素判斷映像文件(自啟動(dòng)項(xiàng)是否正常,應(yīng)該是很方便也很有特色的一個(gè)功能!四、實(shí)戰(zhàn)案例案例一、刪除有問(wèn)題的驅(qū)動(dòng)保護(hù)如通過(guò)SRENG掃描日志發(fā)現(xiàn)有個(gè)不明驅(qū)動(dòng)項(xiàng)目USBVM31B.SYS在機(jī)中活動(dòng)!(這里僅僅是在舉例,實(shí)際上這個(gè)服務(wù)項(xiàng)目是攝像頭驅(qū)動(dòng),而且為了說(shuō)明問(wèn)題我對(duì)該映像文件的“屬性”做了修改,實(shí)際該文件并非病毒驅(qū)動(dòng)文件,不可照搬使用哦!怎么辦?按照下列步驟,你會(huì)發(fā)現(xiàn),原來(lái)查殺病毒驅(qū)動(dòng)保護(hù)也不復(fù)雜:1、雙擊autoruns.exe,進(jìn)入AUTORUNS窗口,; 2、選項(xiàng)-勾選“隱藏微軟項(xiàng)目”-按菜單欄下常用工具欄的“刷新

24、”按鈕,排除不必要的正常自啟動(dòng)項(xiàng)目;13電話:(0371 65706336 65706337 傳真:(037165706367 3、“文件”-“查找”-輸入“USBVM31B.SYS”-回車,讓AUTORUNS自動(dòng)查找包括“USBVM31B.SYS”字段的自啟動(dòng)值項(xiàng)并定位;14電話:(0371 65706336 65706337 傳真:(037165706367 15電話:(0371 65706336 65706337 傳真:(037165706367 如上圖,發(fā)現(xiàn)USBVM31B.SYS這個(gè)DD有驅(qū)動(dòng)保護(hù),且驅(qū)動(dòng)保護(hù)項(xiàng)目為ZSMC301B。4、右鍵找到的項(xiàng)目條,選擇“驗(yàn)證”,按菜單欄下的“刷

25、新”按鈕刷新一下,發(fā)現(xiàn)AUTORUNS提示“未通過(guò)驗(yàn)證”,有點(diǎn)懷疑; 5、右鍵該項(xiàng)目條,選擇“屬性”,發(fā)現(xiàn)該映像文件創(chuàng)建時(shí)間是今天。因?yàn)樽罱鼪](méi)有安裝新軟件和硬件,感覺(jué)其有重大安全隱患。16電話:(0371 65706336 65706337 傳真:(037165706367 6、右鍵該項(xiàng)目條,選擇“GOOGLE/MSN”,在網(wǎng)上查找該映像文件的相關(guān)資料:17電話:(0371 65706336 65706337 傳真:(037165706367 7、經(jīng)過(guò)在網(wǎng)絡(luò)上查找資料確認(rèn),認(rèn)定該文件為病毒文件(為說(shuō)明問(wèn)題才這樣說(shuō)的,別當(dāng)真!,這就證明ZSMC301B這個(gè)自啟動(dòng)項(xiàng)目就是病毒的驅(qū)動(dòng)保護(hù)。在該項(xiàng)目條

26、上右鍵,選擇“刪除”,刪除了該自啟動(dòng)項(xiàng)之后,USBVM31B.SYS這個(gè)病毒文件失去了驅(qū)動(dòng)保護(hù),也就無(wú)用武之地了,而且可以直接用“SHIFT”+“DEL”刪除(如果不刪除此驅(qū)動(dòng)保護(hù),你會(huì)發(fā)現(xiàn)在刪除“USBVM31B.SYS”這個(gè)映像文件時(shí),會(huì)出現(xiàn)“該文件正在運(yùn)行,請(qǐng)關(guān)閉相關(guān)的程序后再刪除”之類的提示,或者即便能刪除也會(huì)很快復(fù)活。這就是病毒或流氓軟件熱衷于此的根本原因。18電話:(0371 65706336 65706337 傳真:(037165706367 8、為了徹底不留后患,按照AUTORUNS提供的信息找到該映像文件(刪除ZSMC301B 這個(gè)自啟動(dòng)項(xiàng)前可以在其項(xiàng)目條上右鍵,選擇“復(fù)制”

27、,將復(fù)制內(nèi)容粘貼到寫字板或記事本中,以便刪除映像文件時(shí)查找該文件的路徑和文件名,刪除c:windowssystem32driversUSBVM31B.SYS這個(gè)文件。19電話:(0371 65706336 65706337 傳真:(037165706367 案例二、通過(guò)“比較”檢驗(yàn)自己當(dāng)前的自啟動(dòng)項(xiàng)是否有問(wèn)題。如果以前在機(jī)器正常時(shí)保存了AUTORUNS的日志,而當(dāng)前感覺(jué)機(jī)器明顯有問(wèn)題,可以通過(guò)以下辦法簡(jiǎn)單確認(rèn)惡意軟件可能添加的自啟動(dòng)項(xiàng):1、雙擊打開(kāi)autoruns.exe,進(jìn)入AUTORUNS窗口,依次點(diǎn)“文件”-“比較”;20電話:(0371 65706336 65706337 傳真:(03

28、7165706367 2、在彈出的對(duì)話框中選定前面保存的日志后,點(diǎn)“打開(kāi)”; 3、這時(shí)AUTORUNS將會(huì)對(duì)當(dāng)前自啟動(dòng)項(xiàng)同打開(kāi)日志的自啟動(dòng)項(xiàng)進(jìn)行比較,對(duì)當(dāng)前自啟動(dòng)項(xiàng)如果比老日志多或者少,整個(gè)列表的項(xiàng)目將以綠色突出顯示!21電話:(0371 65706336 65706337 傳真:(037165706367 4、接下來(lái),可以再保存一份新日志,與老日志比對(duì),尋找有差異的自啟動(dòng)項(xiàng)。如果新日志比老日志啟動(dòng)項(xiàng)目多,則先確認(rèn)多的啟動(dòng)項(xiàng)目是否是惡意自啟動(dòng)項(xiàng),可以按照案例一第2到第6步的辦法檢測(cè),如果確認(rèn)多出的自啟動(dòng)項(xiàng)是不正常的,參照案例一第7-8步的辦法清理。案例三、利用“跳轉(zhuǎn)到”這個(gè)AUTORUNS和注

29、冊(cè)表編輯器快速鏈接方式,修復(fù)被病毒修改且不能刪除自啟動(dòng)值項(xiàng)值。我們知道HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit 這個(gè)自啟動(dòng)項(xiàng)是不能刪除的,否則系統(tǒng)無(wú)法登陸,其注冊(cè)表值項(xiàng)值正常情況下“c:windowssystem32userinit.exe ,”(注意逗號(hào)是必須有的!,當(dāng)病毒或者惡意軟件入侵后,可能造成該注冊(cè)表值項(xiàng)值被改成“c:windowssystem32userinit.exe ,ABC.EXE”,這個(gè)多出的ABC.EXE就是病毒(流氓軟件插入的病毒隨系統(tǒng)登陸自啟動(dòng)的病毒進(jìn)程。在AUTORUNS中是不允許修改

30、自啟動(dòng)項(xiàng)值的,怎么辦?別著急,AUTORUNS已經(jīng)想到這點(diǎn)啦,按照下面的辦法就可以搞定了:1、雙擊打開(kāi)autoruns.exe,進(jìn)入AUTORUNS窗口,;22電話:(0371 65706336 65706337 傳真:(037165706367 2、“選項(xiàng)”-勾選“隱藏微軟項(xiàng)目”-按菜單欄下常用工具欄的“刷新”按鈕,排除不必要的正常自啟動(dòng)項(xiàng)目;3、“文件”-“查找”-輸入“c:windowssystem32userinit.exe”-回車,讓AUTORUNS 自動(dòng)查找包括“c:windowssystem32userinit.exe”字段的自啟動(dòng)值項(xiàng)并定位; 23電話:(0371 657063

31、36 65706337 傳真:(037165706367 5、用注冊(cè)表編輯器修改HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit這個(gè)值項(xiàng)的值,由被病毒修改后的“c:windowssystem32userinit.exe ,ABC.EXE”改為正常的“c:windowssystem32userinit.exe,”(修改注冊(cè)表值項(xiàng)值的操作這里就不羅嗦了 7、手工刪除c:windowssystem32ABC.EXE這個(gè)病毒進(jìn)程文件,清除結(jié)束。小知識(shí):有些自啟動(dòng)值項(xiàng)值是不能刪除的,除了以上說(shuō)的24電話:(0371 6570633

32、6 65706337 傳真:(037165706367 電話:(0371 65706336 65706337 傳真:(037165706367 25HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit的“c:windowssystem32userinit.exe,”外,還有以下幾個(gè)常用的自啟動(dòng)子項(xiàng)也屬于這種情況:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindowsappinit_dlls, 其正常值項(xiàng)值一般為空(安裝卡巴斯基殺軟的除外;HKEY_L

33、OCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUIHost,其正常值項(xiàng)值應(yīng)為“l(fā)ogonui.exe”。總結(jié):1、總體來(lái)說(shuō)autoruns8.53是一款功能強(qiáng)大的軟件,特別是對(duì)自啟動(dòng)項(xiàng)添加前后的比較功能,是其最大的亮點(diǎn),對(duì)于那些機(jī)器突然從正常轉(zhuǎn)為不正常的同志來(lái)說(shuō),將大大縮小了你的查找范圍。此外,按照登陸啟動(dòng)方式的不同分類表示,也便于使用者縮小范圍,提高效率。當(dāng)然,autoruns8.53的不足之處也是很明顯的,主要是對(duì)不能刪除的核心自啟動(dòng)項(xiàng)的保護(hù)不足,一旦誤操作將造成嚴(yán)重后果,比如刪除了HKLMSOFTWAREMicro

34、softWindows NTCurrentVersionWinlogonUserinit自啟動(dòng)項(xiàng)后,將直接造成開(kāi)機(jī)反復(fù)注銷帳戶,連安全模式都進(jìn)入不了,只能采取重裝系統(tǒng)或用第三方軟件(如ERD2003來(lái)修復(fù)(這點(diǎn)上,瑞星卡卡貌似也差不多,因此,新手使用時(shí)請(qǐng)一定要慎重;還有,日志比較的功能不太人性化,當(dāng)前自啟動(dòng)項(xiàng)和日志自啟動(dòng)項(xiàng)的差異不能準(zhǔn)確定位,只能讓使用者知道現(xiàn)在的自啟動(dòng)項(xiàng)與以前有變化,但不知道變化在哪里,還要通過(guò)再保存日志與老日志手工比較,有點(diǎn)麻煩;另外,隨著SRENG等老牌系統(tǒng)掃描工具功能的加強(qiáng),AUTORUNS的優(yōu)勢(shì)越來(lái)越不明顯,最新版本AUTORUNS8.61還居然搞成了安裝版。不管怎么

35、樣,對(duì)于常在病毒身邊走的我們,有一些好的系統(tǒng)掃描和檢查工具是必要的,autoruns8.53雖然功能有一定局限性,但簡(jiǎn)單易學(xué),也許能如你所愿。2、在寫此篇文章時(shí),得到社區(qū)嘉賓ADL的指點(diǎn)和支持,在此表示感謝!3、由于本人水平不濟(jì),一些地方難免出現(xiàn)錯(cuò)誤或表達(dá)不準(zhǔn)確,請(qǐng)版主和高手們批評(píng)指正。 電話:(0371 65706336 65706337 傳真:(037165706367 264、本文純粹為筆者個(gè)人心得,如需要轉(zhuǎn)載,請(qǐng)注明作者為卡卡社區(qū)的“超級(jí)游戲迷”, FilemonFilemon 是一款出色的文件系統(tǒng)監(jiān)視軟件,它可以監(jiān)視應(yīng)用程序進(jìn)行的文件讀寫操作。它將所有與文件一切相關(guān)操作(如讀取、修改

36、、出錯(cuò)信息等全部記錄下來(lái)以供用戶參考,并允許用戶對(duì)記錄的信息進(jìn)行保存、過(guò)濾、查找等處理,這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。高手進(jìn)階FileMon使用實(shí)例之一文:Koya / KunS-刊登于2001年第9期電腦應(yīng)用文萃(電腦界光盤RegMon<的大名想必對(duì)大多數(shù)玩家們來(lái)說(shuō)是如雷貫耳,隨便打開(kāi)一臺(tái)老鳥(niǎo)們的電腦,發(fā)現(xiàn)就像發(fā)現(xiàn)酷愛(ài)運(yùn)動(dòng)的人隨身帶一把瑞士軍刀一樣簡(jiǎn)單。用RegMon 可以監(jiān)視各種程序?qū)ψ?cè)表的種種操作,所以喜歡修改注冊(cè)表的各位老鳥(niǎo)們,自然是隨身得帶上這樣一把“瑞士軍刀”的了。不過(guò),今天的主角不是RegMon,而是RegMon的同門兄弟FileMon。不知在RegMon 使用

37、多了以后,會(huì)不會(huì)有一種感覺(jué),確切地一點(diǎn)兒說(shuō)是有些遺憾,那就是RegMon只能對(duì)注冊(cè)表的各種操作進(jìn)行監(jiān)視,而實(shí)際上我們有時(shí)還要求對(duì)文件的監(jiān)視操作。在這種需求下, Sysinternals公司(RegMon的娘家又為大家推出了FileMon(圖一。 打開(kāi)FileMon,驚奇地發(fā)現(xiàn)FileMon的界面與RegMon的界面是那么的十分類似,不愧是同門兄弟,完全是一對(duì)雙胞胎!所以用慣了RegMon后再用FileMon,不用再學(xué)習(xí)也不用別人指導(dǎo),三分鐘之內(nèi)您就可以完全上手。標(biāo)準(zhǔn)的Windows應(yīng)用程序界面,從上到下依次是標(biāo)題欄、菜單、工具欄、主窗口和狀態(tài)欄。而且最常用的功能也都放在了工具欄上了(圖二。保存

38、、捕捉事件、滾動(dòng)、清屏、時(shí)鐘,過(guò)濾、歷史深度,查找和資源管理器。 下面就簡(jiǎn)要地介紹工具欄上的這些按鈕的功能:保存:那就是可以將當(dāng)前監(jiān)視到的記錄以*.log格式保存起來(lái),便于以后的繼續(xù)研究。 捕捉事件:當(dāng)按鈕被按下時(shí)會(huì)出現(xiàn)一個(gè)紅X字,這時(shí)表示不對(duì)當(dāng)前的各種操作進(jìn)行監(jiān)視。再按一下,切換回監(jiān)視狀態(tài)。 滾動(dòng):當(dāng)按鈕上變?yōu)橐粋€(gè)紅X字時(shí)表示在主窗口中的的監(jiān)視結(jié)果不進(jìn)行滾動(dòng)。27電話:(0371 65706336 65706337 傳真:(037165706367 時(shí)鐘:計(jì)時(shí)方式的變化。過(guò)濾:當(dāng)按下此按鈕后,會(huì)彈出一個(gè)過(guò)濾框(見(jiàn)圖三。在這里可以填下對(duì)什么樣的程序進(jìn)行文件監(jiān)操作。 歷史深度:在這兒可以設(shè)置主窗

39、口里只保留最新的XX條記錄。查找:在已監(jiān)視到的記錄中查找您所要的內(nèi)容。 資源管理器:在主窗口中選中一條記錄,然后點(diǎn)擊此鍵便可打開(kāi)資源管理器,并跳到記錄所示目錄下。很是方便。大致了解了以上功能之后,我們?cè)僖砸粋€(gè)實(shí)例操作來(lái)具體掌握FileMon的妙用。Norton Disk Doctor(以下簡(jiǎn)稱為NDD 見(jiàn)圖四<也是一款讓老鳥(niǎo)們愛(ài)不釋手的超強(qiáng)工具,從DOS下的就開(kāi)始的NDD 以其強(qiáng)勁地修復(fù)磁盤的功能被人們親切地稱為“磁盤醫(yī)生”。<發(fā)展到現(xiàn)在,NDD已成為Symantec 公司的Norton Utilities 2001(又稱SystemWorks,以下簡(jiǎn)稱為NU的組件之一。但是如果我

40、們只是想用NDD,卻要裝上一個(gè)龐大的NU的活,這讓人有點(diǎn)兒不舒服。而且我們還發(fā)現(xiàn)NDD雖為NU<的組件之一,但她可以不經(jīng)過(guò)安裝而直接運(yùn)行,這樣一來(lái),我們就有可能將NDD從NU中提取出來(lái)了。28電話:(0371 65706336 65706337 傳真:(037165706367 當(dāng)然,想從257個(gè)文件和9 個(gè)目錄共68M的龐然大物中提取我們要想的NDD卻是一件不容易的事。不借助什么工具,你沒(méi)法判斷NDD需要哪些文件的支持和調(diào)用。Windows 的天下,大部分應(yīng)用程序都不是僅僅一個(gè)EXE文件可以搞定,動(dòng)不動(dòng)就要調(diào)用什么DLL和VXD<的文件。所以在這里我們就需要借助于FileMon來(lái)

41、確定NDD所需哪些文件。29電話:(0371 65706336 65706337 傳真:(037165706367 好了,先準(zhǔn)備好Norton Utilities 2001 的安裝文件(見(jiàn)圖五。然后在新建一目錄Norton Disk Doctor,將NU<安裝文件中的Ndd32.exe文件復(fù)制到Norton Disk Doctor目錄中。為了排除其它因素的干擾,請(qǐng)?jiān)诖蜷_(kāi)FileMon之前將關(guān)閉其它多余的應(yīng)用程序?！拔?說(shuō)你了!快把Winamp關(guān)了,想一邊干活一邊聽(tīng)歌?你還是省省吧?！睖?zhǔn)備好這些,那可以開(kāi)工了!30電話:(0371 65706336 65706337 傳真:(0371657

42、06367 先雙擊一下Ndd32.exe文件,這時(shí)NDD啟動(dòng)出錯(cuò)(見(jiàn)圖六。沒(méi)關(guān)系,我們就是要它在這兒出錯(cuò)。將窗口切換回FileMon,可以看到FileMon已經(jīng)監(jiān)視到了不少記錄了(圖七。 趕緊按下“捕捉事件”按鈕,出現(xiàn)一紅X,暫停對(duì)以后事件的監(jiān)視,這樣我們就可以安心地對(duì)剛才所發(fā)生的事件仔細(xì)分析一下了。在主窗口中共有216條件,關(guān)鍵的是哪些了?“#”表示記錄號(hào),“Time”是時(shí)間,“Process”表示進(jìn)程,“Request”是操作請(qǐng)求,“Path”是路徑,“Result”結(jié)果和“Other”結(jié)果。了解各欄的含義后才可能真正地懂得如何操作。這兒再插一句,在一個(gè)應(yīng)用程序啟動(dòng)時(shí),往往還需要調(diào)用其它一

43、些文件,而在調(diào)用時(shí)找不到所需文件時(shí)便會(huì)出錯(cuò)。所以剛才僅有一個(gè)Ndd32.exe可執(zhí)行文件NDD是無(wú)法執(zhí)行下去的,找不到調(diào)用的文件那肯定是要出錯(cuò)的。所以借用FileMon就是為了找出在Ndd32.exe雙擊之后還需要調(diào)用哪些文件。所以在仔細(xì)觀察了216條記錄之后,你會(huì)發(fā)現(xiàn)前面188個(gè)請(qǐng)求的結(jié)果都是“Success”,31電話:(0371 65706336 65706337 傳真:(037165706367 而在第189個(gè)請(qǐng)求時(shí),進(jìn)程“?”試圖在當(dāng)前目錄Norton Disk Doctor尋找一個(gè)名為S32krnll.dll的文件,結(jié)果卻是“NotFound”,接著又試圖在C:WindowsSys

44、tem 、C:windows和C:WindowsCommmand目錄下尋找這個(gè)文件,結(jié)果還是找不到。這時(shí),第194個(gè)請(qǐng)求發(fā)出了一個(gè)“Close”的請(qǐng)求,對(duì)此Ndd32.exe給出了一個(gè)“Success”的結(jié)果,“Other”中也注明了“Close_Final”。由此可得,Ndd32.exe的啟動(dòng)過(guò)程到194結(jié)束,然后出現(xiàn)了這個(gè)出錯(cuò)窗口(圖六,見(jiàn)上 確定之后,從NU安裝目錄中找到了這個(gè)S32krnll.dll文件,復(fù)制到Norton Disk Doctor 目錄下。為了驗(yàn)證一下以上判斷是否正確,我們?cè)僭囈淮?。將FileMon主窗口內(nèi)容清空,按下“捕捉事件”按鈕,回到監(jiān)視狀態(tài)。再雙擊Ndd32.e

45、xe,結(jié)果還是出錯(cuò)。不要恢心,看看FileMon為我們又監(jiān)視到了什么(圖八。這一次,“?”進(jìn)程對(duì)S32krnll.dll文件發(fā)出的“Seek”和“Read”請(qǐng)求都得到“Success”的結(jié)果,而NDD啟動(dòng)卡殼是在尋找一個(gè)名為s32stat.dll的文件找不到的情況下才發(fā)出了“Close”的請(qǐng)求。所以,我們還缺個(gè)s32stat.dll文件。同樣的辦法,在多次反復(fù)地嘗試之下,我們終于找齊了NDD啟動(dòng)時(shí)所需的全部文件(圖九。以下便是這些文件的列表:32電話:(0371 65706336 65706337 傳真:(037165706367 測(cè)試完畢之后,我們就可以將這些23個(gè)文件打包了,采用RAR格式

46、壓縮后只有1.3M,而用另類的Imp格式壓縮僅有1.2M,一張軟盤就完全可以搞定了(圖十。做好之后放在網(wǎng)上,便可以向大家宣布這是由“XXX工作室”制作的Norton Disk Doctor 精簡(jiǎn)版,歡迎大家前來(lái)下載。看著不斷跳動(dòng)的下載數(shù)字,你是不是有了一種小有成就的感覺(jué)呢?33電話:(0371 65706336 65706337 傳真:(037165706367 電話:(0371 65706336 65706337 傳真:(037165706367 34怎么樣?通過(guò)這個(gè)實(shí)例,想必您對(duì)FileMon的使用會(huì)有了一定的了解了吧。其實(shí),只要你肯去動(dòng)腦筋,你會(huì)發(fā)現(xiàn)FileMon還有許多更絕的功能,怎樣

47、使用就看你自己想做什么了! 電話:(0371 65706336 65706337 傳真:(037165706367 35Filemon說(shuō)明書Filemon for Windows NT/2000/9x使用說(shuō)明一、介紹Filemon 是一個(gè)監(jiān)視顯示系統(tǒng)所有文件活動(dòng)的工具。她出眾的過(guò)濾和搜索能力使得她成為探索nt系統(tǒng)工作機(jī)制的有效工具。通過(guò)她,我們可以看到程序使用的所有文件和dll,甚至能夠捕捉到系統(tǒng)和程序的配置問(wèn)題。Filemon works on NT 4.0, Windows 2000, Windows 95, Windows 98 and Windows ME.二、開(kāi)始使用雙擊程序即可運(yùn)行

48、。在WindowsNT/2K下需注意:必需擁有adminisstrator權(quán)限。當(dāng)首次運(yùn)行Filemon時(shí),該程序?qū)⒈O(jiān)視所有本地硬盤。你可以使用菜單、熱鍵、工具條按鈕來(lái)清空窗口,選擇你要監(jiān)視的驅(qū)動(dòng)器,保存監(jiān)視數(shù)據(jù)為文件,還可以過(guò)濾和搜索輸出。當(dāng)運(yùn)行打印輸出時(shí),數(shù)據(jù)將被編排序號(hào)。如果發(fā)生嚴(yán)重的活動(dòng)使得Filemon內(nèi)部緩沖區(qū)被溢出,情況將被反映在序號(hào)的斷裂上。在WindowsNT/2K系統(tǒng)上有一個(gè)特殊的文件名,DASD(Direct Access Storage Decive 直接訪問(wèn)存儲(chǔ)設(shè)備,該設(shè)備通過(guò)監(jiān)視文件系統(tǒng)結(jié)構(gòu)或者直接影響邏輯分區(qū)上的數(shù)據(jù)用來(lái)顯示文件輸入輸出情況,文件i/o也可以是系統(tǒng)

49、內(nèi)部未命名的數(shù)據(jù)流。未命名的數(shù)據(jù)流是用來(lái)描述系統(tǒng)原數(shù)據(jù)文件的,比如Fat文件系統(tǒng)下的文件分配表,或者NTFS下的主文件表。在WindowsNT/2K系統(tǒng)中,如果IRP_MJ_READ or IRP_MJ_WRITE后跟有星號(hào),則代表內(nèi)存i/o。每次退出時(shí),程序?qū)⒂涀〈翱诘奈恢煤洼敵龅拇笮　?電話:(0371 65706336 65706337 傳真:(037165706367 36三、選擇驅(qū)動(dòng)器(Windows NT/2K驅(qū)動(dòng)器菜單用來(lái)選擇要監(jiān)視的驅(qū)動(dòng)器。需要注意的是,如果你取消選定一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)器,和這個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)器同樣的其他被控網(wǎng)絡(luò)驅(qū)動(dòng)器也將被取消。選定網(wǎng)絡(luò)驅(qū)動(dòng)器也有同樣的效果。四、格式化驅(qū)動(dòng)

50、器(Windows NT你可以使用Filemon格式化你所以監(jiān)視的驅(qū)動(dòng)器,當(dāng)格式化完成后,你必須取消選擇然后在此選擇該驅(qū)動(dòng)器才能繼續(xù)監(jiān)視。五、過(guò)濾輸出內(nèi)容使用過(guò)濾對(duì)話框,也可以使用工具欄的按鈕或者使用菜單Edit|Filter/Highlight選擇,選擇在列表框內(nèi)顯示什么數(shù)據(jù)。使用通配符可以匹配任意的字符串,并且過(guò)濾器是區(qū)分大小寫的。匹配的字符轉(zhuǎn)顯示在包含過(guò)濾器內(nèi),而不顯示在排除過(guò)濾器內(nèi)。使用“;”來(lái)隔開(kāi)多個(gè)過(guò)濾字符串。Windows NT/2K提示:因?yàn)榇蠖鄶?shù)文件I/O是異步的,所以不能在搜索結(jié)果中過(guò)濾。比如,包含過(guò)濾器為“c:temp”,而排除過(guò)濾器中為"c:tempsubdi

51、r",所有涉及的文件和文件夾都在“c:temp”下,而"c:tempsubdir"下的則不會(huì)被監(jiān)視。通配符允許復(fù)雜模式匹配,這樣就使得指定程序訪問(wèn)的指定文件可被匹配到。比如,包含過(guò)濾器“Winword*Windows”可是使Filemon只顯示Microsoft Word程序訪問(wèn)的包含有“Windows”字符的文件或文件夾。使用高亮過(guò)濾器可以使你指定的內(nèi)容在輸出列表中高亮顯示。六、限制輸出歷史深度對(duì)話框可通過(guò)工具條和菜單調(diào)出。它可以讓你定義你最大的行數(shù)并會(huì)被記住。深度0表示沒(méi)有限制。七、搜索輸出內(nèi)容 電話:(0371 65706336 65706337 傳真:(0

52、37165706367 37你可以使用查找的按鈕來(lái)搜索制定的字符串。你可以打開(kāi)一個(gè)查找對(duì)話框,并按下查找下一個(gè)按鈕,使用F3你可以多次查找已定的字符串。如果想在指定的行內(nèi)查找,則可以在行的左側(cè)點(diǎn)擊選擇。如果沒(méi)有行被選擇,則搜索會(huì)在第一個(gè)向下搜索的入口,最后在入口結(jié)束。八、選項(xiàng)Filemon既可以顯示時(shí)間戳,又可以顯示持續(xù)時(shí)間。選項(xiàng)按鈕和時(shí)鐘工具條是你可以切換兩種不同的模式。這個(gè)按鈕以正常的鐘表或者停止的鐘表來(lái)顯示現(xiàn)在的模式。當(dāng)顯示持續(xù)時(shí)間的時(shí)候,輸出窗口的時(shí)間區(qū)顯示指定服務(wù)請(qǐng)求的系統(tǒng)文件處理的時(shí)間。顯示毫秒的選項(xiàng),可以增加到毫秒的分辨率。使用Options|Always On Top 選項(xiàng),可

53、以使Filemon的窗口總是在最前。你還可以使列表不自動(dòng)滾動(dòng)翻頁(yè)。九、字體選擇使用Edit|Font菜單,可以改變列表框的字體。十、跳轉(zhuǎn)到如果你想在Filemon中查看輸出中的某個(gè)文件或文件夾,你可以雙擊該行跳到該目錄。Filemon會(huì)調(diào)出瀏覽器直接進(jìn)入到此文件夾或者文件所在的文件夾。十一、漏洞報(bào)告和響應(yīng)mark and十二、許可 電話:(0371 65706336 65706337 傳真:(037165706367 38如果你想獲取分發(fā)Filemon或者其源代碼的許可證,請(qǐng)與licensing聯(lián)系。RegmonRegmon 是一款出色的注冊(cè)表數(shù)據(jù)監(jiān)視軟件,它將與注冊(cè)表數(shù)據(jù)相關(guān)的一切操作(如讀

54、取、修改、出錯(cuò)信息等全部記錄下來(lái)供用戶參考,并允許用戶對(duì)記錄的信息進(jìn)行保存、過(guò)濾、查找等處理,這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。強(qiáng)大的注冊(cè)表監(jiān)視器Regmon2006-1-16 21:28:00目前,有關(guān)注冊(cè)表的修改一直是個(gè)很熱門的話題。在具體修改時(shí),您絕不能少了一款注冊(cè)表監(jiān)視工具。所以RegMon(注冊(cè)表監(jiān)視器就成了我們的得力助手。其強(qiáng)大的監(jiān)視功能監(jiān)視程序?qū)ψ?cè)表的各種操作,從而方便我們修改。用它我們可以很容易地發(fā)現(xiàn)不少秘密,例如 Windows 的許多隱藏屬性等。下面就讓我來(lái)介紹這位不可多得的好幫手。首先,我來(lái)介紹一下Regmon的界面。打開(kāi)Regmon后,便彈出一個(gè)標(biāo)準(zhǔn)的Windo

55、ws程序界面。頂端是標(biāo)題欄,下面是菜單,工具欄和主窗口。由于菜單里的功能與工具欄上的功能相似,所以我這兒就以工具欄為例介紹其具體作用。工具欄上共有七個(gè)按鈕,依次為保存、監(jiān)視、自動(dòng)翻卷、清除、過(guò)濾、查找和跳到注冊(cè)表編輯器?！氨４妗钡墓δ芸梢詫⒚恳淮蔚谋O(jiān)視結(jié)果以 *.rgd 的文件格式保存下來(lái),以便以后的參考(實(shí)際為文本文件,可以用記事本之類的文本編輯器查看?！氨O(jiān)視”的按鈕為啟動(dòng)監(jiān)視的開(kāi)關(guān)。默認(rèn)時(shí)為開(kāi),當(dāng)按下一次時(shí),按鈕上便多了一紅色 電話:(0371 65706336 65706337 傳真:(037165706367 39的“X”,表示暫停監(jiān)視。“自動(dòng)翻卷”可以使主窗口里的內(nèi)容不斷卷動(dòng),以保證

56、最新內(nèi)容顯示在當(dāng)前屏幕上;當(dāng)然你也可以按下此按鈕,不讓它滾動(dòng)?！扒宄钡淖饔镁褪菍?dāng)前的窗口里的內(nèi)容全部清掉,以便進(jìn)行下一次的監(jiān)視。當(dāng)按下“過(guò)濾”的按鈕時(shí),會(huì)彈出一個(gè)對(duì)話框,讓我們?cè)O(shè)置一下Regmon的過(guò)濾選項(xiàng)。如果這兒的過(guò)濾設(shè)置得當(dāng)?shù)脑?將會(huì)給我們的監(jiān)視工作帶來(lái)很大的方便,所以這兒大家要看仔細(xì)了。Process Includes 為設(shè)置要監(jiān)視的程序名,這兒填程序的名稱,如*.exe 。如果要對(duì)幾個(gè)程序進(jìn)行監(jiān)視的,也可以用“;”作間隔符。Process Exclude 正好相反,表示不對(duì)某程序進(jìn)行監(jiān)視。Path Include 為設(shè)定要監(jiān)視注冊(cè)表中的路徑,如HKLMSystem 。同樣,Pat

57、h Exclude為不對(duì)該路徑下的值監(jiān)視。History Depth 為設(shè)置保留的歷史記錄深度,如設(shè)為100時(shí),Regmon只保留最后的1 00條記錄。Log Reads 、Log Writes、Log success、Log Errors 是選擇讓Regmon 監(jiān)視對(duì)注冊(cè)表的何種操作。是讀還是寫,是成功讀出的還是未讀出的。填好這些后,按下Apply 便可使過(guò)濾生效了?！斑^(guò)濾”的按鈕下來(lái)就是“查找”,這沒(méi)什么多說(shuō)的。最后一個(gè)按鈕為“跳到注冊(cè)表編輯器”,這個(gè)功能很是有用,當(dāng)我們?cè)谥鞔翱谥羞x中一條記錄后,再點(diǎn)此按鈕,Regmon 便打開(kāi)了注冊(cè)表編輯器,并且定位到該記錄處,就像Jump (跳過(guò)去的一樣。主窗口里顯示的為監(jiān)視到的所有對(duì)注冊(cè)表的具體操作。頂部為標(biāo)題欄,分別為 # (