|
|
|
强大的注册表监视器——Regmon哪 吒 ——刊登于 2000年 1月《软件》杂志 目前,有关注册表的修改一直是个很热门的话题。在具体修改时,您绝不能少了一款注册表监视工具。所以RegMon(注册表监视器)就成了我们的得力助手。其强大的监视功能监视程序对注册表的各种操作,从而方便我们修改。用它我们可以很容易地发现不少秘密,例如 Windows 的许多隐藏属性等。下面就让我来介绍这位不可多得的好帮手。 RegMon 由Sysinternals 公司出品,最新版本为V4.17,适用于Windows 9x和NT下,为免费软件。大小仅为53K(压缩后),只有Regmon.exe, regsys.sys,regvxd.vxd,regmon.hlp和readme.txt五个文件,解压到任一个文件夹下便可以使用,不需安装。 首先,我来介绍一下Regmon的界面。 打开Regmon后,便弹出一个标准的Windows程序界面。顶端是标题栏,下面是菜单,工具栏和主窗口。由于菜单里的功能与工具栏上的功能相似,所以我这儿就以工具栏为例介绍其具体作用。 工具栏上共有七个按钮,依次为保存、监视、自动翻卷、清除、过滤、查找和跳到注册表编辑器。“保存”的功能可以将每一次的监视结果以 *.rgd 的文件格式保存下来,以便以后的参考(实际为文本文件,可以用记事本之类的文本编辑器查看)。“监视”的按钮为启动监视的开关。默认时为开,当按下一次时,按钮上便多了一红色的“X”,表示暂停监视。“自动翻卷”可以使主窗口里的内容不断卷动,以保证最新内容显示在当前屏幕上;当然你也可以按下此按钮,不让它滚动。“清除”的作用就是将当前的窗口里的内容全部清掉,以便进行下一次的监视。当按下“过滤”的按钮时,会弹出一个对话框,让我们设置一下Regmon的过滤选项。如果这儿的过滤设置得当的话,将会给我们的j监视工作带来很大的方便,所以这儿大家要看仔细了。Process Includes 为设置要监视的程序名,这儿填程序的名称,如*.exe 。如果要对几个程序进行监视的,也可以用“;”作间隔符。Process Exclude 正好相反,表示不对某程序进行监视。Path Include 为设定要监视注册表中的路径,如HKLM\System 。同样,Path Exclude为不 对该路径下的值监视。History Depth 为设置保留的历史记录深度,如设为100时,Regmon只保留最后的100条记录。Log Reads 、Log Writes、Log success、Log Errors 是选择让Regmon 监视对注册表的何种操作。是读还是写,是成功读出的还是未读出的。填好这些后,按下Apply 便可使过滤生效了。“过滤”的按钮下来就是“查找”,这没什么多说的。最后一个按钮为“跳到注册表编辑器”,这个功能很是有用,当我们在主窗口中选中一条记录后,再点此按钮,Regmon 便打开了注册表编辑器,并且定位到该记录处,就像Jump(跳)过去的一样。 主窗口里显示的为监视到的所有对注册表的具体操作。顶部为标题栏,分别为 # (记录条数) 、Process(程序名) 、Request(查询方式) 、Path(路径) 、Result (结果)和Other (其它)。 光说不做,想必大家也不好理解。下面我就以监视 Snag It V 4.2为例,介绍一下用Regmon进行监视的具体操作。 我们知道 Snag It 的执行文件为Snagit32.exe,所以在Regmon过滤设置中r的Process Include 一栏填上snagit32.exe ,表示只对它 进行监视。设好过滤后打开 Snag It ,这时Snag It 会跳出个对话窗口,45天的试用期只剩1天了(天啦!只剩一天的时间啦!)。先不管那么多了,继续做下去。切换回Regmon ,按下监视开关按钮,暂停监视。这时你会发现,从Snag It 的启动开始,一直到弹出对话框,Regmon共监视了1602条记录(这么多!)。关掉Snag It ,静下心来,好好分析一下。想一想,在Snag It 启动时它会从注册表中读取哪些信息呢?先读取一些信息用来启动,然后再从注册表中取出第一次运行时的时间,再同当前的时间作一比较,结果计算出只剩下一天。这时弹出对话框,告知只剩 一天了,程序也就在此打住。如此说来,那最后的一部分内容不就应该是监视到的时间吗?果真,在第1554条记录中发现一可疑目标。Process(程序名):snagit32.exe 、 Request(请求方式 ): QueryValue(查询键值)、 Path(路径): HKCR\tigans\(Default) 、 Result(结果) :Success(成功)和 Other(其它) :37ff4d8d (键值)。选中此记录,双击,跳到注册表编辑器中该位置,毫不犹豫地按下 DEL键 。然后再重新启动Snag It ,哈哈!这下我又有了45天的试用时间了。 在进行最后的扫尾工作时,只见第1556条记录中还有个HKCR\dacdchfile ,键值为7e5d0422 。怎么还有余党?统统DEL之。 最后总结一下:Snag It 在启动时会先从注册表中读取[HKEY_CLASSES_ROOT\tigans]或是[HKEY_CLASSES_ROOT\dacdchfile]的值。如果找不到,便认为这是第一次运行 Snag It ,并取当前的时间写入该 处。以后的每次运行,就先从这儿取出时间,然后同这次运行的时间作比较,得出试用多少天的结论。要改Snag It的时间,只需将这两处的值删去其中的一个就行了。 其实Regmon 的功能还远远不止这些,更多功能就看大家如何去发掘了。 对Regmon 感兴趣的朋友可以去“注册表专卖店”Down 一个回来,E文不太好的朋友也可以在那找到一个我做的汉化包 。同时我也放了许多资料,欢迎大家去查阅。地址是ttp://registry.yeah.net , E-mail : registry@126.com 。 |
|
本文归
Kun Studio
(
Registry Shop
,
Talent Labs
) 版权所有。
|