保衛注冊表

注冊表就好比電腦的大腦，稍微一點改動都有可能會引起嚴重的后果。而病毒、木馬惡意修改注冊表后，造成的破壞更是難以預計，因此，要保證系統安全，就一定要保衛好注冊表。

病毒會在注冊表里干啥？

在Windows系統中，有些事情可能我們已經司空見慣了：雙擊一個文件就會有相應的程序打開它; 重啟機器后系統設置能夠自動保存。這都因為是注冊表具有的保存、管理功能。

注冊表（圖1）是Windows操作系統的核心數據庫，其中記錄著系統本身的各種設置、機器硬件信息、各種應用程序的安裝狀態以及運行參數，還有用戶使用計算機時動態生成的新數據和上述數據的即時變動等。

幾乎任何程序的運行（或運行結果）都可能導致注冊表的變動，惡意程序自然也不會例外。病毒能最大程度地破壞數據，并且在系統中長時間地駐留。統計起來，流行病毒對注冊表的破壞行為主要有3種: 添加病毒自動啟動項目、修改文件關聯、修改其他系統設置參數。其中添加自動啟動項目、修改文件關聯相信大家已經有所了解，而修改系統其他配置參數是最近流行病毒的一個主要特點，比如禁用任務管理器（操作系統自帶的）等。

注冊表監控

網絡高度普及的今天，相信大家都曾歷盡劫“波”（沖擊波、震蕩波等），安全防護意識也有了很大提高，各種殺毒軟件和防火墻等也安裝得非常齊備。但即便如此，有時還會中毒，這里除了安全軟件使用不當（如殺毒軟件不升級）外，還因為在“殺毒軟件+防火墻”這個防御體系中，可能存在著一定策略上的“漏洞”

殺毒軟件對文件進行病毒檢查，防火墻驗證訪問網絡的程序的合法性，如果再加上注冊表監控才顯得無懈可擊。因為多數情況下，病毒程序要運行，必然新增一個進程，而任何對系統的修改，也必然體現為系統注冊表內容的變動。

現在很多殺毒軟件、防火墻中都加入了注冊表監控功能，這是一個好現象，但在實際使用中，卻有人抱怨“不好用”。筆者認為原因主要有兩個，一是不支持用戶自定義監控（一般只針對內置的幾個常見鍵值），當用戶希望針對某一特定鍵值（如ShellExecuteHooks，監控系統外殼）監控時就無法實現；二是沒有新增進程監控功能（指新增進程提示，跟殺毒軟件的實時監控不同），很難找到實時修改注冊表的病毒進程，而頻繁彈出注冊表被修改的提示卻成了用戶的麻煩。

專職保鏢

雖然Hacker-Eliminator（圖2）也有許多其他功能如類似防火墻的連接監聽、進程列表等，但是無疑其“監視器”所提供的文件、注冊表、進程三大監視功能才是我們最想要的。

Hacker-Eliminator支持自定義項目的注冊表項目監控，我們可以根據自身的安全需要加上一些注冊表鍵。這里給大家列出一些涉及安全的關鍵注冊表項目，更多的個性定制鍵大家可以參考專門的注冊表書籍或者通過網絡搜索。

1.系統啟動

該鍵下的項目都是完成系統自身功能的一些啟動項目，如Shell、Userinit等。這些項目在系統配置之后應該是不會改變的，如果它們出現變化，應格外注意。

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Window s NT\\Cur rentVersion\\Winlogon]

2.程序自動運行

這里是系統啟動后自動運行的程序項目，也是相當多病毒加載啟動項目的位置。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]

其中Run鍵下的項目為每次開機自動運行的項目，RunOnce為自動運行一次的項目，多見于一些重啟后須要繼續安裝的軟件。

3.Internet Explorer設置

病毒修改IE瀏覽器配置參數（如主頁等）也是令人頭疼的一種破壞，因此把常見的IE配置項目加入監控就顯得十分必要。以下僅以IE主頁配置為例，其他更多安全設置項目請參考有關資料。

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page]

進程也要監視

如果能及時察覺新冒出來的（病毒）進程，不但有助于發現病毒，了解注冊表被修改的原因，還在根本上有利于病毒的清除。否則我們只看到注冊表被改來改去，但是不知道誰干的。

Hacker-Eliminator的進程監視就正好構成了這個嚴密的立體防護體系。每當有新進程（相對于原有舊進程列表）出現時，程序就會給出提示（圖3）。進程監控也支持用戶自定義，這樣就可以針對用戶希望檢測的進程給出提示。系統使用很長時間后，會積累很多的進程列表，繁雜的列表會影響大家甄別其中的可疑項目，這時可以選擇刪除所有記錄，重新開始記錄，可維護性很強（圖4）。

注冊表監控類軟件還有很多，甚至能找到比本文所介紹的功能更強者。但是為什么Hacker-Eliminator一直伴隨著筆者？主要是因為它功能比較完備，程序比較“溫和”，能夠與其他（安全）軟件良好共存，使用至今沒有發現有任何沖突現象，而不像有些“強悍”的安全軟件往往跟其他軟件有嚴重的沖突。對了，如果有朋友對Hacker-Eliminator這個名字感到陌生，那么可以告訴大家，它就是曾經大名鼎鼎的防火墻軟件LockDown2000的后續產品。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。