绿色软件 - 创e下载园

作者：佚名    来源：不详    点击：    日期：2006-10-7 12:47:15

 

　　如果你已经学了很多手动修改注册表的技巧，并且已经作了许多修改，对注册表的各方各面都已有了足够的认识，这时你想对注册表的理解更深入一些，就要借助与一些非常优秀的工具才行。Regmon无疑是这类工具的优秀代表——其他可以相敌的工具几乎没有了。

　　Regmon是一个实时的监视工具。它就象一个胃镜，深入系统深处，监视任何针对注册表的动作。它不仅是在Windows平台上的程序，深入到了程序底层。如果版本与操作系统不兼容，那么后果是很严重的，我在xp（2600正式版）这么稳定的系统下运行一个不符的版本，它立即给我蓝屏，百试不爽，而一般的程序在xp下想死机都不是件容易事。

　　其实Regmon能做到这么深也不奇怪，这个软件是两位为微软写过“官方书籍”的Windows的技术专家做的。（这样的软件，怎么能不用呢？）

　　Regmon不是通过扫描来监视的，而是直接把持了所有软件和系统操作注册表的“必经之道”（实际上要复杂些，但这样理解是十分合理的，避免大量引进其他内容），所以任何对注册表的操作，都逃不过他的“眼睛”。然后他会把这些操作记录并显示在用户界面上。

　　·全程记录启动过程

　　这是一个独一无二的功能，还没有其他什么软件可以做到这一点。（如上图）在“edit”菜单下有个选项“log boot”。这个看上去很简单的选项会完成一项大任务。选上这个后，Regmon会自动使自己在下次系统启动时先与任何其他驱动程序成为最早加载的驱动程序。在下次系统启动是，它就开始工作，记录启动过程中所有驱动程序和服务对注册表的读取作业。这个记录会被记录在一个Regmon创建的放在系统根目录下的叫做Regmon.LOG的文件里。这个文件可以用文本编辑器打开查看，记录的形式与Regmon的主界面里显示的形式是一样的。不过这个文件有大约20M大！如果在记录过程中发现空间不够，记录过程会自动停止，并删除记录已尽可能。

　　文本记录有20M之多，可想见Windows的启动过程有多么繁杂。一些想深入研究Windows启动过程，以及在这个启动过程中注册表是怎样发挥作用的朋友们就可以在这个大文件中研究了。

　　·基本操作

　　用Regmon，我们可以监视系统，网络，各种软件对注册表的任何动作。按“ctrl＋L”，会出现一个叫做“Regmon filter”的对话框。这里可以在你可以设定你的监视对象，第一个空“include”里填要加以监视的文件，可以用通用的“*”“？”等符号，只填“*”号是表示监视所有对注册表的动作，要填多种类型，用英文中的逗号隔开。接下去的“exclude”和“highlight”分别是填写排除的对象和要突出的对象。这三个选项和起来用就可以设定特定的对象进行监视。有时，你填入的某个名称Regmon识别不了，就用include“*”，只是这样你查找起来麻烦点。

　　设定对象后，“apply”一下，就可以让Regmon工作了，他会在主界面上不停地显示系统和程序对注册表地读取作业。

　　·应用举例

　　Regmon是那种操作很简单，原理也很简单，但很具开发潜力的软件，多研究就能多发现它的用处，没有章法可循，全看你的智慧。

　　本人愚笨，发现的还不多。在此举一个简单的例子来给各位做一个演示。

　　北大天网搜索引擎有一个下载一个叫“设为默认搜索引擎”的.reg文件，我想知道这个.reg文件是怎么做到更改默认引擎的。

　　1，打开Regmon，在“Regmon filter”中include“*”，因为这不是一个可执行文件，Regmon不能直接识别并记录它，所以就用“*”了。

　　2，运行Regmon的监视功能，主界面开始记录。　　

　　3，然后要手脚利索地双击那个.reg文件，完成讲“天网”设为默认搜索引擎地操作。否则记录地太多了，找起来麻烦。

　　4，停止监视，开始在主界面里查找相应键。这时可给有些分析能力，因为你不知道这么多键值力那个是你要找的。（我这个比较简单^_^,只要找到一个包含天网的网址的键值的键就可以了，做其他的操作是可能会很难，不过也更有挑战性喔）。

　　5.找到了该键值，我就找到了对应的更改默认引擎的注册表键值。大功告成！

　　用这个工具还可以做“cracker”呢，在这里就不便讲，不过头脑灵活的朋友应该能从上面的例子中得到启发。