如何监控注册表操作

斷々弦

什么是注册表？注册表是一个庞大的数据库，用来存储计算机软硬件的各种配置数据。比如某些程序只要在注册表中添加一项数据，就可以做到启动电脑时自动运行；某些程序将自己的配置信息也存放在注册表中。
　　 即然注册表这么有用处，你是否想了解某软件运行时，他都读写了注册表中的哪些数据？或是往注册表中填加了哪些数据呢？通过对下面文章的阅读使你可以快速的掌握这一技能！
　　 这里要给大家推荐一款软件：RegMon。RegMon 可以实时的对当前系统中运行的程序对注册表的操作进行监控，并给出详细的监控日志。
　　 首先下载 RegMon 软件(下载：http://www.janmeng.com/html/soft/fuzhu/200901/09-467.html），解压压缩包后，文件列表如图1所示：
图 1

　　运行 RegMon 主程序，第一次运行 RegMon程序，会出现软件使用许可协议窗口，点击“Agree（同意）”按钮后使用软件，如图2所示：


图 2
　　之后出现“过滤设置窗口”。系统中正在运行的程序会有很多。每一个程序都会对注册表进行读写操作，可以通过相应的过滤设置，过滤掉不相干的程序，仅关注我们关心的程序。


图 3
　　见图3所示：
　　 Include：设置需要监控的程序的文件名。默认为: “*”表示监控所有程序。
　　 Exclude：设置不需要监控的程序的文件名。默认为：空。
　　 Highlight：突出显示某一个程序的文件操作。默认为：空。
　　 以上三项均支持通配符，设置多个文件名时，文件名之间用分号分隔。
　　 Log Opens：记录打开注册表操作。不管是读注册表还是写注册表首先要先打开注册表。
　　 Log Reads：记录读注册表操作。
　　 Log Writes：记录写注册表操作。
　　 Log Successes：记录注册表操作成功项。比如成功的读写了某个注册表项。
　　 Log Errors：记录注册表操作失败项。比如读取不存在的注册表项。
　　 设置完成后，点击“OK”按钮察看日志窗口。在后面的使用过程中可以随时修改此选项。


图 4
　　如图4所示，进入后“日志窗口”会不断的将最新的日志显示出来，点击按钮（）可以暂停监控。如果文字比较小，可以通过点击菜单“Option”-“Font”更改字体显示，建议选择宋体，10号字（具体操作可参见《如何使用Autoruns》文章中的字体修改部份）。通过图4中的日志描述可以知道 “msnmsgr...”程序在17:06:55时查询（QueryValue）了注册表的“HKLM\System\CurrentControlSet\C..”项的内容。通过拖动窗口底部的滚动条可以获得更多的信息。如图5所示：


图 5
　　操作结果：表示当前注册表操作的结果，SUCCESS表示成功、NOT FOUND表示失败等等。
　　 其它信息：列出了对注册操作时的某些数据。
　　 在“日志窗口”中点击鼠标右键，可以对监控的内容进行过滤操作，如图6所示：


图 6
　　Process Properties...：查看进程（程序）属性；
　　 Include Process、Exclude Process、Include Path、Exclude Path四项的功能与图3中的功能相同，这里仅是提供了用鼠标进行设置的功能。
　　 最后看一下界面工具栏中各个按钮的功能，如图7所示：


图 7
　　通过上面的讲解，相信你应该对RegMon有了基本的认识，下面简单的讲解实例。
　　 笔者手上正好有一个灰鸽子木马的病毒样本，下面通过监控灰鸽子木马运行，最后总结出清除此木马的方法，在文章《如何监控文件操作》后半部份讲解了此木马病毒对文件的操作，请先查看《如何监控文件操作》一文。
　　
　　RegMon 与 FileMon 的操作方式是相同的， 读完《如何监控文件操作》后，相信你已经掌握如何用 RegMon 监控木马对注册表的操作。但在操作 RegMon 时也需要有几项注意。
　　 首先看“过滤选项“的设置，如图8所示：


图 8
　　Include：“*”。这里可能有人会问，为什么不设置为“Virus”（病毒文件名）呢？因为我们不能排除病毒文件“Virus”生成一个新木马文件X后，文件X再生成新的木马文件的可能性。如果这里设置成“Virus”，那RegMon只能监控“Virus”，确无法监控文件X，所以应设置监控所有文件，对于文件X的文件名，要通过监控文件操作获知；
　　 Highlight：“Virus”。对于“Virus”相关的条目将以红色背景突出显示。
　　 我们只关心木马病毒写了哪些文件，所以仅勾选Log Write、Log Success、Log Errors。
　　 设置完成后，点击“OK”按钮。进入“日志窗口”后如果发现设置错误，可以点击工具栏中的过滤选项设置按钮（），重新设置。
　　通过《如何监控文件操作》一文，我们知道，此病毒生成了如下二个文件：
　　 “C:\Windows\System32\com\System.bat”
　　 “C:\Windows\uninstal.bat”
　　 那我们在分析注册表监控日志时需要格外留意此两个文件！并且要格外的留意操作方式为：“CreateKey”或“SetValue”的日志条目。


图 9 （本图可以点击放大）
　　如图9所示，可以看到“SERVICES.EXE”在注册表中插入了“C:\Windows\System32\com\System.bat”文件。通过查看“所操作的注册表路径”知道他是将此项加到了系统的服务列表中。以达到每次启动机器自动运行的目的。可以在Autorun中将此项删除掉，如图10所示：


图 10
　　有人可能会问：“SERVICES.EXE”文件是不是病毒文件？
　　 答：不是。因为病毒并没有产生“SERVICES.EXE”文件，其次“SERVICES.EXE”文件是微软Windows系统自带的程序，所以“SERVICES.EXE”文件不是病毒。这里出现“SERVICES.EXE”文件是由于病毒调用“SERVICES.EXE”将自己添加为系统服务程序。
本文来自：剑盟反病毒技术门户(www.janmeng.com) 原文链接：http://www.janmeng.com/html/xueyuan/200901/09-466.html