如何清理注册表

　　注册表是Windows系统用来存储配置信息的几个“数据库”，硬件设备的调整、应用程序的增删、系统运行状态的修改等内容都保存在注册表数据库中。现在木马和病毒这么多，有的杀毒工具也不能完全检测和清除病毒，那我们能通过注册表jian视工具直接掌控系统的工作情况吗？笔者推荐了一款很靓的工具——Regmon（Registry Monitor），它是一个出色的绿色注册表数据库jian视软件，自动将系统对注册表数据库的读取、修改等操作逐笔记录下来，此后我们就可以凭借它所作的记录从事有关系统维护操作了。www.pc235.com推荐文章
一、如何判断程序写入注册表是否正常
　　下面我们以使用《超级兔子》为例，看看怎样用Regmon来了解《超级兔子》的“魔法设置”是如何对注册表修改数据的。
　　首先运行Regmon，一个很标准的Windows程序界面。点击“选项→过滤器/高亮”命令，然后在弹出的“Regmon过滤”窗口设置所需的过滤条件。在“包含”栏中输入《超级兔子》“魔法设置”的进程名称“srms.exe”（如图1），并选中“日志写入”和“日志成功”，其他的jian视选项都取消，这样可以大大减少无用的jian视数据信息，提高用户对信息的分析效率。
　　设置完成后单击“应用”按钮，Regmon会提示用户“要应用更新的过滤设置到当前输出吗？”，点击“是”按钮返回主界面，然后点击工具栏中的“清除”按钮清除当前窗口中已经显示的全部jian视数据。
　　下面运行《超级兔子》的“魔法设置”功能，选中“系统”，在“系统选项”标签中勾选“关机时自动清除文档菜单”并“应用”。切换到Regmon的操作界面，你会发现窗口中显示有363条相关记录。
　　那怎样才能判断出究竟哪个才是对应的数据呢？用户只须再次取消勾选“关机时自动清除文档菜单”并“应用”，这时在Regmon的操作界面中就会又出现363条记录。下面对这两次的记录进行对比，发现程序修改的注册表键值都是相同的，即HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit。由此我们得知，该键值为“1”表示自动清除文件记录，键值为“0”表示保留文件记录。
二、哪些是注册表高危键值
　　如何防止木马、病毒、流氓软件等众多恶意程序修改注册表？我们只须在安装软件之前先行启动Regmon，将该软件在安装过程中对注册表数据库的修改全部记录下来，由于恶意程序很多都是开机就运行的，所以用户如果发现了开机就运行的可疑程序，那么就需要注意了。
　　下面是恶意程序最常见的在注册表中驻扎的启动项：
1.注册表启动项
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
　　阿萌小提示：
　　我们如何分辨这些启动项目到底是正常的还是恶意的呢？每个启动项目都分为名称、类型、数据三部分。
　　正确的方法是直接在“数据”部分查看该启动项所对应的文件目录，比如杀毒软件卡巴斯基的启动名称为“kav”，数据的内容为“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”，接着根据目录所指找到相应的文件，然后点击右键查看它的“属性”。正规文件的“属性”窗口都可以看到常规、版本、兼容性等几个标签，从“版本”标签我们就可以轻易的查看到该文件的“公司名称”、“文件描述”等信息(如图2)。如果该文件的“属性”窗口没有“版本”标签的信息，那么这个文件就一定有问题，应当及早进行删除。
2.系统服务启动
　　在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”下，就可以查看到系统全部的服务，包括木马安装的可疑服务主键。如果发现有程序向这里添加键值，用户就应该引起注意了。在右边窗格中找到二进制值“Start”，修改它的数值，“2”表示自动，“3”表示手动，而“4”表示已禁用，当然最好直接删除整个主键。
3.开始菜单启动组
　　“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell folders”，键名为“StartUp”，就是该项目在注册表的位置。
　　一旦在注册表以上位置发现含有奇怪的程序路径的话，首先我们选中该键值，接着点击Regmon操作界面中的“注册表跳转”命令，然后用户就可以对其进行操作了。从上面的介绍中可以看出，充分利用Regmon的注册表数据库jian视功能有助于简化我们对系统的维护操作，提高系统运行效率，更何况它还是一个免费软件。

 

如何清理注册表文章结束

在本站查看更多关于如何,何清,清理,理注,注册的文章