windows 注册表
作者/西域之狼 时间/2007-12-4 20:10:00 类别/IT技术与收藏 查看/
 发表评论 
标签:it 病毒安全 windows 注册表 注册表分析工具
windows 注册表 

注册表分析工具

   这里推荐两个工具 ,用们它什么问题迎刃而解。

一是、tianwei 的 RegShot  ;

二是、Regsnap 2.6。

它们可以详细地向你报告注册表及其他与系统有关项目的修改变化情况。 RegSnap 对系统的比较报告非常具体,对注册表可报告修改了哪些键,修改前 、后的值各是多少;增加和删除了哪些键以及这些键的值。报告结果既可以 以纯文本的方式,也可以 html 网页的方式显示,非常方便。

附:  

RegShot  的使用举例 

- 我们经常听到商业软件或共享软件的作者们对 CRACKER   们的愤怒 : 你你修改了我的代码 ; 你你写了我的注册器 ;   你你让我的辛苦付之东流 ; 我我还要靠这个赚 MONEY! - 软件既然在我的机器上运行 , 那我就要控制它 , 这不仅   仅是 CRACKER 们的想法 . 

- 怎样控制它而又不违反商业软件或共享软件作者对我们   的约束呢 ? 

- 那么我们来找找这个游戏规则的漏洞吧 ! 


- 那我们就 : 不修改软件的代码 , 不反汇编它 , 甚至根本不   跟踪它的运行 , 而只看看它留下什么脚印 :) 

-RegShot 的原理是这样的 : 在运行该软件之前作个记录 ,   在运行它之后作个记录 . 比较二者的差别 .   很简单吧 :) 

- 最先前的工具是各类的反安装工具 , 如 CleanSweep 之类做得非常好 , 它能记录一个软件安装过程 , 如果您到了   期限还想用 , 那么就反安装一次 , 再装一下就可以了 . 但   问题在于 , 您有可能将有用的设置 , 辛苦的工作成果都   给 UNINSTALL 了 . 而实际上您可以只改动很小的地方 , 就   可以达到这样的效果 . 

-RegShot 的前辈是 RegSnap, 一个非常好的软件 , 功能强 .   但 RegSnap 本身就是一个共享软件 , 有非常讨厌的不定   时等待窗口 , 想知道怎么破解它 , 可以看看我的站台上   的 oldnotes.htm 内有介绍 . 实际上 ,RegShot 的产生也是   我见过 RegSnap 后才想到的 :" 这么点功能 , 要搞这么强的   防护 ( 指 RegSnap 对自身的效验 ), 我自己写一个吧 !" 

- 以下是一个利用 RegShot 来狼吃狼的例子 : 所谓狼吃狼 , 是指此次的 " 样品 " 是个比较不 " 正派 " 的软件 , 是个跑 NT 密码的软件 --L0phtCrack v2.5  但微软说这是 个很好的 NT 密码安全性检测工具 , 而且这个软件现在也是 以共享形式出现的 , 需注册 , 不注册的话有 15 天的时限 , 而 且时间到后 , 即使自身反安装 , 再安装一次也无用 . 1. 首先 , 在安装前用 RegShot 做一次 Shot, 按下 "1stShot" 按钮 , 如果您想附带对 system.ini,win.ini 等的监察的话 请在按下按钮前选定 "Include Win.ini ..." 复选框 . 如果 您想存盘记录此次 shot 的话 , 就选定 "Store Keys&values.." 
复选框 . 


2. 运行 L0phtCrack 2.5 的安装程序 . 


3. 安装结束后 , 用 Regshot 再作一次 Shot, 按 "2ndShot". 


4. 用 RegShot 的 "Compare" 按钮 , 您会看到结果如下 : 


---------------------------------------------- 

**Original contents Maybe deleted or modified** 

H.L.K\SOFTWARE\Description\Microsoft\Rpc\UuidPersistentData\LastTimeAllocated: 
60 2B 52 AF DA A4 D3 01 

W.D\SYSTEM.INI:01BF38DB191D31000000095500000020 

W.D\WAVEMIX.INI:01BF38DAD3F8FF000000003600000020 

W.D\POWERPNT.INI:01BF38DAD3F8FF000000003C00000020 

W.D\SYSTEM.DAT:01BF38DB1A4E5E000024A4F400000027 

W.D\USER.DAT:01BF38A5FFADC2000005423400000020 


**Keys&Values Modified | Added in the 2ndShot** 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5\UninstallString: "C:\WIN95\uninst.exe -f"C:\Program Files\L0phtCrack 2.5\DeIsL1.isu"  -c"C:\Program Files\L0phtCrack 2.5\_ISREG32.DLL"" 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5\DisplayName: "L0phtCrack 2.5" 

H.L.K\SOFTWARE\Description\Microsoft\Rpc\UuidPersistentData
\LastTimeAllocated: C0 8D 37 8A 11 A5 D3 01 

H.L.K\SOFTWARE\L0pht Heavy Industries 

H.L.K\SOFTWARE\L0pht Heavy Industries\L0phtCrack 2.5 

H.L.K\SOFTWARE\L0pht Heavy Industries\L0phtCrack 2.5\2.5 

H.L.K\System\CurrentControlSet\control\Shutdown\
SetupProgramRan: 0x00000002 

W.D\SYSTEM.INI:01BF38DB2E925B000000095500000020 

W.D\WAVEMIX.INI:01BF38DB2E925B000000003600000020 

W.D\POWERPNT.INI:01BF38DB2E925B000000003C00000020 

W.D\SYSTEM.DAT:01BF38DB4538B2000024A4F400000027 

W.D\USER.DAT:01BF38DB4B2E93000005423400000027 

------------------------------------------------ 

   我们看到 , 安装程序在 Uninstall 处装了键 , 这很正常 , 

在 HKEY_LOCAL_MACHINE\SOFTWARE\ 处开了个 L0pht Heavy Industries 的入口 . 这也很正常 . 

5. 为了确保万一 , 我们用 "clear" 按钮清除历史记录 , 

在未运行 l0phtcra.exe 之前再作一次 Shot, 按 "1stShot" 按钮 


6. 运行 l0phtcra.exe, 并结束它 . 


7. 在 Regshot 中做 "2ndShot", 并 "compare", 结果如下 : 


------------------------------------------------ 

**Original contents Maybe deleted or modified** 

W.D\USER.DAT:01BF38DB4B2E93000005423400000027 


**Keys&Values Modified | Added in the 2ndShot** 

H.U\.Default\Software\Microsoft\Windows\CurrentVersion\Network 

H.U\.Default\Software\Microsoft\Windows\CurrentVersion\Network\Tmp 

H.U\.Default\Software\L0pht 

H.U\.Default\Software\L0pht\L0phtCrack 

H.U\.Default\Software\L0pht\L0phtCrack\AdminGroupName: "Administrators" 

H.U\.Default\Software\L0pht\L0phtCrack\WordList:
 "C:\Program Files\L0phtCrack 2.5\words-english" 

H.U\.Default\Software\L0pht\L0phtCrack\Install: 0x0C4684F2 

W.D\USER.DAT:01BF38DB8CBF3E000005423400000027 

------------------------------------------------ 

   注意 : 

   这里 , 我们看到 ,l0phtcra.exe 在第一次运行时对注册表的改动 !!!!!!!!!! 


8. 您可以多作几次 , 可以发现 l0phtcra.exe 在以后的运行中都不对注册表作变化 ! 

9. 把时间调过头 , 果然不能再运行 ( 真小气 , 只有 15 天 ), 然后再安装 , 还是不能运行 . 

10. 如果您够小心 , 您会在第 9 步时对 uninstall 程序做一次 比较 , 看看到底 l0phtcrack 在注册表中留下什么没有去除 , 导致它认识您的机器 , 知道它在这台机器上安装过 . 
结果如下 : 


------------------------------------------------- 

**Original contents Maybe deleted or modified** 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5\UninstallString: "C:\WIN95\uninst.exe -f"C:\Program Files\L0phtCrack 2.5\DeIsL1.isu"  -c"C:\Program Files\L0phtCrack 2.5\_ISREG32.DLL"" 

H.L.K\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\L0phtCrack 2.5\DisplayName: "L0phtCrack 2.5" 

H.L.K\SOFTWARE\L0pht Heavy Industries 

H.L.K\SOFTWARE\L0pht Heavy Industries\L0phtCrack 2.5 

H.L.K\SOFTWARE\L0pht Heavy Industries\L0phtCrack 2.5\2.5 

W.D\USER.DAT:01BF38DBB8DABF000005423400000027 


**Keys&Values Modified | Added in the 2ndShot** 

W.D\USER.DAT:01BF38DBD576F7000005423400000027 

------------------------------------------------- 

   大家可以看到 , 反安装程序只是去除了安装程序所 

留下的东西 , 并没有去除 l0phtcra.exe 第一次运行时 

创建的键值 ! 我们返回看看那个入口 : 

H.U\.Default\Software\L0pht 


一般情况下 , 我们如果没有 RegShot 这个工具 , 也能用 Regedit.exe 来找到这个入口 , 毕竟名字很好找 "L0pht", 于是您会想到 , 将其删除 , 以为万事大吉 . 但如果您此时 再装 l0phtcrack 的话 , 却发现怎么也不让您再试用了 , 剩余天数总是 0. 
  

   再看看当初的记录 , 有一个键值很不引人注目 : 

H.U\.Default\Software\Microsoft\Windows\CurrentVersion\Network 

H.U\.Default\Software\Microsoft\Windows\CurrentVersion\Network\Tmp 

   这个 Tmp ??? 

   删除它吧 !
查看该用户更多文章>>