Regmon实验.docx
- 文档编号:10041487
- 上传时间:2023-02-08
- 格式:DOCX
- 页数:15
- 大小:726.27KB
Regmon实验.docx
《Regmon实验.docx》由会员分享,可在线阅读,更多相关《Regmon实验.docx(15页珍藏版)》请在冰豆网上搜索。
Regmon实验
目录
Regmom软件的使用2
一.RegMon软件简介2
二.RegMon安装过程2
三.RegMon的功能使用5
四.RegMon的几个特殊应用10
五.RegMon在解除软件试用限制中的应用11
六.RegMon使用注意点14
七.参考文献14
Regmom软件的使用
一.RegMon软件简介
Regmon是一款出色的注册表数据监视软件,它将与注册表数据相关的一切操作(如读取、修改、出错信息等)全部记录下来供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。
二.RegMon安装过程
Regmon软件的安装比较简单,只需要按照常规安装方法进行即可。
下面截图安装软件的过程:
三.RegMon的功能使用
●主界面
●菜单
1.File(文件)
2.Edit(编辑)
3.Options(选项)
◆字体
设置显示的字体。
◆高亮颜色
设置高亮显示的颜色。
◆过滤\高亮
Inlcude:
选择目标进程名字所包含的字符串,可以是部分字符串。
比如输入Explorer,将监视进程名包含explorer字符串的进程。
*代表所有进程。
选择多个进程时,每个字符串之间用分号间隔。
Exclude:
排除目标进程。
规则同上。
Highlight:
高亮操作。
比如操作包含SetValue的操作,则以高亮显示。
◆始终置顶
◆自动滚动
◆时钟时间
◆记录引导
4.Help(帮助)
●工具栏
保存导出记录日志到文件。
“保存”的功能:
可以将每一次的监视结果以*.rgd的文件格式保存下来,以便以后的参考(实际为文本文件,可以用记事本之类的文本编辑器查看)。
打开日志文件。
打开文件类型为Regmon数据(*.LOG)的文件。
查看已经保存的日志文件。
停止\开始捕获。
“捕获”的按钮为启动监视的开关。
默认时为开,当按下一次时,按钮上便多了一红色的“X”,表示暂停捕获。
停止\开始滚动显示。
可以使主窗口里的内容不断卷动,以保证最新内容显示在当前屏幕上;当然你也可以按下此按钮,不让它滚动。
清除显示内容。
“清除”的作用就是将当前的窗口里的内容全部清掉,以便进行下一次的监视。
切换时间格式。
设置过滤。
当按下“过滤”的按钮时,会弹出一个对话框,让我们设置一下Regmon的过滤选项。
如果这儿的过滤设置得当的话,将会给我们的监视工作带来很大的方便。
ProcessIncludes为设置要监视的程序名,这儿填程序的名称,如*.exe。
如果要对几个程序进行监视的,也可以用“;”作间隔符。
ProcessExclude正好相反,表示不对某程序进行监视。
PathInclude为设定要监视注册表中的路径,如HKLM\System。
同样,PathExclude为不对该路径下的值监视。
HistoryDepth为设置保留的历史记录深度,如设为100时,Regmon只保留最后的100条记录。
LogReads、LogWrites、Logsuccess、LogErrors是选择让Regmon监视对注册表的何种操作。
是读还是写,是成功读出的还是未读出的。
填好这些后,按下Apply 便可使过滤生效了。
查找。
跳到注册表编辑器。
“跳到注册表编辑器”的功能是当我们在主窗口中选中一条记录后,再点此按钮,Regmon便打开了注册表编辑器,并且定位到该记录处,就像Jump(跳)过去的一样。
●主窗口
主窗口里显示的为监视到的所有对注册表的具体操作。
顶部为标题栏,分别为#(记录条数)、Process(程序名)、Request(查询方式)、Path(路径)、Result(结果)和Other(其它)。
四.RegMon的几个特殊应用
1.监视进程Rundll32
控制面板是Windowsxp的控制中心,其中绝大多数设置都存放在注册表中,如果你想知道某项设置到底对应着注册表中哪个子键的话,可以让RegMon监视进程Rundll32,然后启动控制面板中相应的组件,改变设置并观察RegMon中的记录,找出子键名,再运行注册表编辑器RegEdit来查看该子键。
有时,控制面板的组件可能会出现不能正常工作的情况,有了RegMon和RegEdit的帮助,你就可以手工更改注册表来达到改变设置的目的。
当然,更改前一定要对注册表做备份。
我们在为Windowsxp中文版装上Microsoft的英文版网络升级部件和中文IE8后,发现TCP/IP协议属性的IP地址输入框不响应任何键盘输入,无法设置本机的IP地址,因此不能连接网络上其它机器,利用RegMon,就很快找到了IP地址存放的位置,手工设置后重启系统,网络恢复正常。
2.找出未公开的键值
与Windows系统功能API函数一样,Windowsxp的注册表也有很多未公开的键值,在普通系统的注册表中,这些子键名或键值并不存在,如果手工加入这些子键,可能会带来意想不到的效果,RegMon可以帮助找出部分未公开的键值。
运行RegMon,监视Explorer或其它一些系统组件,注意观察那些结果为"Notfound"的键值,未公开的键值就隐藏在其中。
为了监视到Explorer的早期活动,应尽早启动RegMon。
我们发现按如下方式启动RegMon可以达到最佳效果。
(1)首先把Regvxd.vxd拷贝到Windowsxp的系统目录下。
(2)运行注册表编辑器RegEdit。
(3)打开HKEY-LOCAL-
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices分支。
然后在该分支下新建一个串值,取名为"RegMon",将其键值设为"Regmon.Exe"。
(4)在重启系统后,我们将发现RegMon已成功地记录下Windowsxp启动时对注册表进行的部分操作。
3."检修"系统注册表
如果在安装软件或运行程序时系统掉电,那么很容易造成系统注册表损坏,轻则数据出现混乱或丢失,重则致使系统瘫痪。
错误严重时可能需要重装系统,但轻微错误仍有望恢复。
我们使用 RegMon可以"检修"注册表,其方法如下:
(1)运行RegMon监视RegEdit。
注意:
一定要限制记录的条数。
(2)使用RegEdit的查找功能来枚举注册表的各个分支,在再次出现错误时可从RegMon的记录中确定错误的位置,并用RegEdit进行合理的修改。
许多共享软件在Windowsxp的注册表中存放试用期和已使用的次数,当然这些数据都是以加密方式存放的,并且所取的键名往往具有一定的隐蔽性和分散性,例如把某个子键存放在HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows下,而把另一个子键放在HKEY_CURRENT_USER根键下,只要有一个子键不符合使用条件,那么软件就不再运行。
因此,延长试用期的关键是找出该软件建立的所有键名,将之删除,然后再重装该软件就行了。
我们可以利用RegMon,在软件安装时和第一次运行时监视所有的注册表操作,仔细分析所建立的新键,在做好备份的情况下试着删除这些子键,便可试验出如何延长试用期。
另外,当你不想使用某个软件时,也可依此将注册表中废弃的信息删除,以提高系统效率。
五.RegMon在解除软件试用限制中的应用
具体操作方法下面以PaintShopProX2为例来说明:
修改之前先安装好PaintShopPro。
安装好之后,打开Regmon,在过滤设置中填上psp(PaintShopPro的执行文件名),表示只对PSP文件进行监视。
设好过滤之后
开始监视。
打开PSP,在出现启动画面和显示已使用时间的时候停止监视。
由于软件把这个时间是以加密的形式存放在注册表中,所以regmon监视到的数据中有一串很奇怪的字符便是这时间了。
双击监视到的这个数据,直接让RegMon打开RegEdit,定位到HKEY_CURRENT_USER\Software\Corel\PaintShopPro\CorelReg\PU12,发现右边窗口如下图所示:
软件将用户最初安装日期存放在”OriginalSchedule”子键中,运行时的当前日期存放在”Schedule”子键中,当”OriginalSchedule”与”Schedule”值差值大于30即表明试用期已满,提示结束试用。
若要延长试用日期,删掉加密子键,软件重新启动时会以为是最新安装。
并非所有的软件都是这么简单就可以解决的,它们自身也似乎明白了这一点,光只在注册表中藏上一个值,是很容易被别人发现了。
两个记录就不会那么容易被发现。
不过使用RegMon,只要是程序要读写注册表,它都能监视。
像藏有两个记录的软件有TurboBrowser98,它的两个记录分别藏在:
[HKEY_LOCAL_MACHINE\Security]
"Tool1."=hex:
e0,59,9b,87,fd,d5,be,01
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\]
"Q.Status"=hex:
e0,59,9b,87,fd,d5,be,01。
软件试用的加密常用的一种,就是比较简单的在注册表中的某一个位置藏上第一次使用的时间记录,以后的每次运行就是先取出这个记录,再同当前时间作一比较。
从而判断是否过期。
注1、何时藏入这个记录各个软件不相同。
有的是在您第一次安装时,安装程序取当前日期写进注册表。
所以有时直接删除这个记录不管用,您还需重新安装一遍。
而有的软件是在程序第一次运行时加入的,这也就是说在安装时它并没有写入时间。
这些软件在运行前先要在注册表中查询这个记录,如果没有的话便以为这是第一次安装,自作聪明地再取当时时间写入注册表。
所以对于这一类软件,我们只需删除这些记录就行了。
注2、不一定是只有一个记录,有的软件会在注册表中写入两个位置,互为校验。
一旦其中一个被破坏,那么便会出错,无法继续使用。
另一种就是采取文件加密的方法。
软件将时间记录写入一个文件(或者多个文件)中,并且这些文件藏得都是很隐蔽。
一般是在初始文件中或者是以二进制文件的方式存放,藏在Windows子目录或Windows\system等不易被人发现的目录下,同时文件也具有隐藏或只读属性。
当然还有些软件同时采用这两种方法,注册里藏几个值,系统目录里藏几个文件,它们之间互为校验,缺一不可。
只要其中一个破坏,便会出错,所以这类软件您一定一定要弄干净了。
如QuickViewPlus5.0,像它竟然一下子在注册表藏了两个值HKEY_LOCAL_MACHINE\Software\CLASSES\.wav\{A4ECFA57-D0A3-9FF3-8481-A492EB945058}和 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{D60EB4AA-B69E-BA5C-88FE-CEFE4F8EECC7}系统目录下有2个文件c:
\os067271.bin、C:
\WINDOWS\SYSTEM\ws476828.ocx和一个目录C:
\WINDOWS\SYSTEM\Viewers!
六.RegMon使用注意点
RegMon对所监视过程的文件名称有特殊要求。
文件名必须以英文字母开头,可包含汉子字符,总的字符长度不能大于8(一个汉子长度为2)。
所以,如果过程的名称不符合上面的规定,用户可自行修改名称,使其符合上述规定,以便顺利进行跟踪、监视。
七.参考文献
[1]丁健、杜青.RegMon使用方法及其扩展应用[J].计算机应用系统.2002
[2]
[3]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Regmon 实验