保卫注册表

注册表就好比电脑的大脑，稍微一点改动都有可能会引起严重的后果。而病毒、木马恶意修改注册表后，造成的破坏更是难以预计，因此，要保证系统安全，就一定要保卫好注册表。

病毒会在注册表里干啥？

在Windows系统中，有些事情可能我们已经司空见惯了：双击一个文件就会有相应的程序打开它; 重启机器后系统设置能够自动保存。这都因为是注册表具有的保存、管理功能。

注册表（图1）是Windows操作系统的核心数据库，其中记录着系统本身的各种设置、机器硬件信息、各种应用程序的安装状态以及运行参数，还有用户使用计算机时动态生成的新数据和上述数据的即时变动等。

几乎任何程序的运行（或运行结果）都可能导致注册表的变动，恶意程序自然也不会例外。病毒能最大程度地破坏数据，并且在系统中长时间地驻留。统计起来，流行病毒对注册表的破坏行为主要有3种: 添加病毒自动启动项目、修改文件关联、修改其他系统设置参数。其中添加自动启动项目、修改文件关联相信大家已经有所了解，而修改系统其他配置参数是最近流行病毒的一个主要特点，比如禁用任务管理器（操作系统自带的）等。

注册表监控

网络高度普及的今天，相信大家都曾历尽劫“波”（冲击波、震荡波等），安全防护意识也有了很大提高，各种杀毒软件和防火墙等也安装得非常齐备。但即便如此，有时还会中毒，这里除了安全软件使用不当（如杀毒软件不升级）外，还因为在“杀毒软件+防火墙”这个防御体系中，可能存在着一定策略上的“漏洞”

杀毒软件对文件进行病毒检查，防火墙验证访问网络的程序的合法性，如果再加上注册表监控才显得无懈可击。因为多数情况下，病毒程序要运行，必然新增一个进程，而任何对系统的修改，也必然体现为系统注册表内容的变动。

现在很多杀毒软件、防火墙中都加入了注册表监控功能，这是一个好现象，但在实际使用中，却有人抱怨“不好用”。笔者认为原因主要有两个，一是不支持用户自定义监控（一般只针对内置的几个常见键值），当用户希望针对某一特定键值（如ShellExecuteHooks，监控系统外壳）监控时就无法实现；二是没有新增进程监控功能（指新增进程提示，跟杀毒软件的实时监控不同），很难找到实时修改注册表的病毒进程，而频繁弹出注册表被修改的提示却成了用户的麻烦。

专职保镖

虽然Hacker-Eliminator（图2）也有许多其他功能如类似防火墙的连接监听、进程列表等，但是无疑其“监视器”所提供的文件、注册表、进程三大监视功能才是我们最想要的。

Hacker-Eliminator支持自定义项目的注册表项目监控，我们可以根据自身的安全需要加上一些注册表键。这里给大家列出一些涉及安全的关键注册表项目，更多的个性定制键大家可以参考专门的注册表书籍或者通过网络搜索。

1.系统启动

该键下的项目都是完成系统自身功能的一些启动项目，如Shell、Userinit等。这些项目在系统配置之后应该是不会改变的，如果它们出现变化，应格外注意。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\Cur rentVersion\Winlogon]

2.程序自动运行

这里是系统启动后自动运行的程序项目，也是相当多病毒加载启动项目的位置。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

其中Run键下的项目为每次开机自动运行的项目，RunOnce为自动运行一次的项目，多见于一些重启后须要继续安装的软件。

3.Internet Explorer设置

病毒修改IE浏览器配置参数（如主页等）也是令人头疼的一种破坏，因此把常见的IE配置项目加入监控就显得十分必要。以下仅以IE主页配置为例，其他更多安全设置项目请参考有关资料。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page]

进程也要监视

如果能及时察觉新冒出来的（病毒）进程，不但有助于发现病毒，了解注册表被修改的原因，还在根本上有利于病毒的清除。否则我们只看到注册表被改来改去，但是不知道谁干的。

Hacker-Eliminator的进程监视就正好构成了这个严密的立体防护体系。每当有新进程（相对于原有旧进程列表）出现时，程序就会给出提示（图3）。进程监控也支持用户自定义，这样就可以针对用户希望检测的进程给出提示。系统使用很长时间后，会积累很多的进程列表，繁杂的列表会影响大家甄别其中的可疑项目，这时可以选择删除所有记录，重新开始记录，可维护性很强（图4）。

注册表监控类软件还有很多，甚至能找到比本文所介绍的功能更强者。但是为什么Hacker-Eliminator一直伴随着笔者？主要是因为它功能比较完备，程序比较“温和”，能够与其他（安全）软件良好共存，使用至今没有发现有任何冲突现象，而不像有些“强悍”的安全软件往往跟其他软件有严重的冲突。对了，如果有朋友对Hacker-Eliminator这个名字感到陌生，那么可以告诉大家，它就是曾经大名鼎鼎的防火墙软件LockDown2000的后续产品。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文