Aug 02

Uniblue PowerSuite 是 Uniblue 旗下三款系统工具的集合,分别是注册表相关的 RegistryBooster 2,系统优化相关的 SpeedUpMyPC 3 ,以及系统安全相关的 SpyEraser 。

这套工具我以前用过 RegistryBooster 2 ,就是感觉界面做的还不错,功能上没感觉有什么非常超越同类软件的地方,所以 Uniblue 网站上面的“微软金牌合作伙伴”(如右图) 还是让我蛮诧异的,不知道这个认证到底是个啥。


Nov 04

尽管现在能管理自启动项目的软件已经很多了,Starter 仍不失为这类软件中的佼佼者。

它的主要功能,当然是可以让你查看和管理所有在操作系统启动时会自动启动的程序的,包括所有隐藏的注册表启动项,启动文件夹以及初始化文件,用户可以选择暂时禁用这些项目,编辑它们,创造新的启动项目,或者永久的删除它们。

Starter 能列出所有正在运行的进程及其相关模块(如使用的 DLL 文件,内存使用,线程计数,优先级等) ,并允许你终止指定进程 。

此外 Starter 还能详细列表所有的系统服务,并允许你通过右键方便的管理编辑它们。

如图,Starter 有个特别的功能就是可以随时把启动程序,进程或者服务,提交到 Google,Pacman's Portal Startups 或者 Sysinfo.org 查询,这无论对新手或者老鸟都非常有作用,虽然一个“安全的”文件名,文件描述并不能代表这个程序就是安全的,但是,不安全的文件名和描述显然就是很有问题。

Starter 界面清爽,选项丰富,操作方便,而且是完全免费的软件,无需安装,解压即可使用。


Oct 28

Resplendent Registry Manager(RRM)是功能强劲的注册表编辑软件,几乎一切相关注册表的功能它都具有,非常适合高级用户控制/修复/改良自己的系统。

如图,Resplendent Registry Manager 通过模块化来实现各种注册表相关功能。本文将详细介绍各个模块的主要功能。

一. 注册表编辑器(Registry Editor)

看起来就像系统自带注册表编辑器的增强版本不是吗?RRM 的注册表编辑器可以方便的到达注册表的任何分支上,你甚至只需要从别处粘贴一个地址过来就能直达目标。强劲的编辑功能,可以删除系统权限的键值!(默认备份任何操作,发现问题可以恢复)但是,小心标记为红色的那些键,编辑它们可能会造成不可估计的后果。

二. 连接远程注册表(Connect To Remote Registry)

通过它你可以连接到远程注册表从而编辑它们,当然这需要你有远程计算机的权限;

三. 高级搜索功能(Advanced Registry Search)

Advanced Registry Search

忘记自带注册表编辑器 Regedit 那可怜的搜索功能吧,RRM 的高级搜索让你体验前所未有的感觉。支持包括正则表达式等多种高级搜索模式,多样化的过滤器,让你在注册表中查找数据绝不会竹篮打水。搜索结果清晰详尽,并且可以直接跳转到对应的地址,编辑它们。

四. 书签(Bookmarks)

Bookmarks

随时记录你可能还要访问的键值地址,已经内置了大量 Windows 本身相关的键址,如果你英文足够好,决不再需要什么其它的系统优化设置软件,说到底,它们都是在调整注册表某些参数不是吗?

五. 注册表监视器(Registry Monitor)

Registry Monitor

实时监控所有操作注册表的应用程序,显示这些操作,你也可以选定监视特定的某一个或者几个程序,想到用它能干什么了吗?

六. 注册表整理工具(Registry Defragmentation Tool)

Registry Defragmentation Tool

注册表就是一个小数据库,长期以往它也会堆积很多垃圾数据,通过 RRM 的注册表整理工具可以有效的去除无效,错误或者空值键,减小注册表的大小,并且重新连接分散在硬盘上各处的注册表文件碎片为一个整体,从而加速系统启动运行速度。

七. 高级注册表比较工具(Advance Registry Compare)

Advance Registry Compare

通过连接远程注册表,可以比较本机和远程计算机注册表数据,从而发现、解决一些不容易察觉的故障;

八. 文件参考(File References)

File References

主要用于发现某些存在与注册表中,但是其实已经从硬盘删除了的文件,或者你发现了某个可疑的文件,可以通过搜索文件名确定它是否在注册表驻扎,驻扎在什么地方,为什么要驻扎在那?

九. CLSID 查询工具(CLSID Lookup Utility)

CLSID Lookup Utility

CLSID 一般作为 COM 组件的唯一标志号,来源于 GUID(全球唯一标志)。即每个 COM 组件在全球只有一个唯一的 ID 号来识别它。生成这个ID号的方法主要是两种:

  1. 如果计算机有网卡,则利用网卡ID的全球唯一性来计算生成ID;
  2. 如果没有网卡,好象是通过硬盘空间和计算机的启动时间来求出这个值。

RRM 的 CLSID 查询工具便可以让你方便的查看本机已注册的 CLSID 详细信息。

十. 注册表备份和恢复(Backup and Restore)

Backup and Restore

虽然 RRM 已经默认备份所有注册表操作,虽然 RRM 已经标示了所有危险的键值为红色或者黄色,我仍然建议你在编辑注册表之前做一次完整的注册表备份。擅泳者溺于水,有备无患永远是没错的。

附件提供了最新的 Resplendent Registry Manager v5.51 build 30719 Pro 零售版下载。


Oct 26

HijackThis已经成为分析劫持软件的事实标准。无论国外还是国内的安全论坛,都是通过粘贴HijackThis的分析日志来求助关于系统是否被劫持的问题。

HijackThis被TrendMico收购后依然是免费软件,发展的还不错,经过漫长的2.0 beta测试后,终于推出了2.02的正式版本,基本功能没有什么变化,比较显眼的新功能是“Upload to TrendSecure”,可以把您的分析日志发送到Trend安全实验室获取反馈。

HijackThis不能自动的帮您清除恶意软件和解决系统劫持,它适合高级用户对自动产生的系统日志分析后,手工排除各类系统故障。

要详细了解HijackThis的功能和使用,除了官方问答和帮助,我向您推荐HijackThis详解这篇文章(已经编译成chm格式电子书,附件下载),很系统很完美的讲解了HijackThis的用法。本站的Registry Monitor Comparison关于Windows的自启动项两篇文章也对你深入了解HijackThis有所帮助。



Aug 28

我们曾经介绍过 关于Windows的自启动项,但是用户如何去监视这些内容不被恶意程序修改?当然我们不能天天打开注册表去看。

以下译自 Wilders Security Forums 的文章,详细的对比了当前几个流行的注册表监视软件,希望对你抗击恶意程序有所帮助。(注:通常来说注册表监视软件与杀毒软件以及防火墙可以配合使用)

以下可以监视注册表启动键值的程序,大多都是免费软件。每个软件侧重的监视键值都有所不同,我们来做一个比较:

图示

'+' 表示: 键值 (包括启动组) 被软件监视
'L' 表示: 软件只监视 HKLM 子键
'U' 表示: 软件只监视 HKCU 子键
'HK**' 表示: 软件监视 HKLM 和 HKCU 子键
*** 表示: 按照 L 的深度实时监测子键

列表条目类型:

(K) 表示键值, 包括数据和子键都被监测
(v) 表示只监测某个键值数据的改变
(M) 表示监测多个键的不同数据
(?) 表示目前未知

软件名缩写:

1 SM: Mike Lin's Startup Monitor (free)
2 RP: DiamondCS Registry Prot 2.0 (free)
3 RD: RegDefend 1.0 (shareware) [Wilders forum]
4 RR: Regrun 4 Gold Pro (shareware) [see also]
5 TT: Spybot Search and Destroy Teatimer (free)
6 SS: System Safety Monitor (free)
7 GA: Microsoft Antispyware = Giant Antispyware (free)
8 WP: Winpatrol
9 MJ: MJ Registry Watcher 1.2.3.8 (free) [Wilders thread]

后面的 链接s 表示曾经在这个键发现过木马或者其它恶意程序,以供参考。


自启动:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
+ + + + + + + + + (K) HK**\SW\MS\Windows\CV\Run(Once) 链接
- + - + - - - - + (K) HKLM\SW\MS\Windows\CV\RunEx
- + - - - - - - + (K) HKLM\SW\MS\Windows\CV\RunOnce\Setup 链接
- + + + - + + + + (K) HKLM\SW\MS\Windows\CV\RunOnceEx 链接
- - - + + + L + + (K) HK**\SW\MS\Windows\CV\RunServices(Once) 链接
- - + + - - + - + (v) HKCU\SW\MS\Windows\CV\Explorer\Shell Folders\Startup 链接
- - - + - - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\User Shell Folders
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Explorer\ShellExecuteHooks 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\SharedTaskScheduler 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\ShellServiceObjectDelayLoad 链接
- - - - - - - - + (?) HKLM\SW\MS\Windows\CV\app management\arpcache\ 链接
- - - + - - - - + (K) HKLM\SW\MS\Active Setup\Installed Components 链接
- - - ? - - - - + (M) HKLM\SW\MS\Active Setup\Installed Components\***\StubPath 链接
- + - + + + + - + (K) HKLM\Software\CLASSES\#file\shell\open\command (#=exe,com,pif,bat) 链接
- - - + - + + - + (K) HK**\SW\MS\Windows\CV\policies\Explorer\Run 链接
- - + + - - - - + (v) HKLM\System\CCS\Control\Session Manager\BootExecute 链接
- - - + - - - - + (K) HKLM\System\CCS\Control\Session Manager\FileRenameOperations 链接
- - - - - - - - + (K) HKLM\System\CCS\Control\Session Manager\KnownDLLs 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\PendingFileRenameOperations 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\environment\path
- - - - - - + - + (K) HKLM\System\CCS\Control\lsa 链接
- - + + - + - - + (K) HKLM\System\CCS\Services 链接
- - - + - + - - + (M) HKLM\System\CCS\Services\***\Image Path
- - - - - - - - + (K) HKLM\System\CCS\Services\vxd 链接
- - - + - - + - + (K) HKLM\System\CCS\Services\WinSock2 链接
- - - - + - + - + (K) HKLM\SW\MS\Code Store Database\Distribution Units\ 链接
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Shutdown
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Startup 链接
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logon
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logoff
- - - + - - - - + (v) HKCU\Control Panel\Desktop\scrnsave.exe 链接
- - - - - - - - - (K) HK**\SW\MS\Windows NT\CV\Extensions
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\load
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\run
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\Winlogon
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\system.ini\boot\shell
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Run 链接
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Load 链接
- - L + - - - - + (K) HK**\SW\MS\Windows NT\CV\Winlogon 链接
- - L + - - L - + (v) HK**\SW\MS\Windows NT\CV\Winlogon\UserInit 链接
- - + + - + + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Shell 链接
- - + - - - - - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Taskman
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Winlogon\Notify 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Svchost ASP&NoWebContent=1" rel="external"">链接
- - + + - + - - + (v) HKLM\SW\MS\Windows NT\CV\Windows\APPINIT_DLLs 链接
- - - - - - - - + (M) HKLM\SW\MS\Windows NT\CV\Accessibility\Utility manager\***\Application path
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\WOW\boot 链接
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\Shell Extensions\Approved 链接
- - - - - - - - + (K) HKEY_CLASSES_ROOT\Protocols\Filter 链接
- - - - - - - - + (K) HKLM\SW\Classes\Protocols\Filter 链接
- - - - - - - - + (K) HK**\SW\classes\mailto\shell\open\command 链接
- - - - - - - - + (v) HKCU\SW\MS\Command Processor\AutoRun 链接
- - - - - - - - + (K) HK**\SW\MS\ole 链接
- - - - - - + - - (v) HKCR\ftp\shell\open\command\(Default)
- - - - - - + - - (v) HKCU\ftp\shell\open\command\(Default)
- - - - - - - - + (K) HKLM\System\CCS\Control\MPRServices 链接
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J


安全设定:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - - - - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\Advanced 链接
- - - - - - - - - (K) HKLM\SW\MS\Windows\CV\WindowsUpdate 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Explorer 链接
- - - - - - + - - (K) HKLM\SW\MS\Windows\CV\policies\Explorer\RestrictRun 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\System 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Network 链接
- - - - - - - - - (K) HKLM\SW\MS\Security Center 链接
- - - - - - - - - (K) HKLM\SW\Policies\Microsoft\Windows\WindowsUpdate 链接
- - - - - - + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\DefaultPassword

微软浏览器恶意劫持程序:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + + - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\Browser Helper Objects 链接
- - - - - - L - + (K) HK**\SW\MS\Internet Explorer\Toolbar 链接
- - - - U - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\WebBrowser 链接
- - - - - - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\ShellBrowser
- - - - U - + - + (K) HK**\SW\MS\Internet Explorer\Explorer Bars\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\MenuExt\ 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Local Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Bar 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Start Page 链接
- - - - U - L - + (K) HK**\SW\MS\Internet Explorer\Search\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\SearchUrl\ 链接
- - - - - - - - + (K) HK**\SW\MS\Internet Explorer\Styles 链接
- - - - - - L - + (K) HKLM\SW\MS\Internet Explorer\AboutURLs 链接
- - - - - - + - + (K) HK**\SW\MS\Internet Explorer\extensions
- - - - - - - - + (K) HKCU\SW\MS\Internet Explorer\extensions\cmdmapping 链接
- - - - - - + - - (K) HKCU\SW\MS\Internet Explorer\URLSearchHooks 链接
- - - - - - - - - (K) HK**\SW\MS\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Internet Settings\SafeSites 链接
- - - - - - + - - (M) HKCU\SW\MS\Windows\CV\Internet Settings\Zones\***\CurrentLevel
- - - - - - + - - (K) HKCU\SW\MS\Windows\CV\Internet Settings\ZoneMap\Domains
- - - - - - - - + (K) HKU\.default\SW\MS\Internet Explorer\extensions\cmdmapping
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\DefaultPrefix 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\Prefixes 链接


可能发生恶意事件的键值:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- + - - - - + + + (K) HKCU\SW\MS\Windows\CV\RunOnceEx
- - - - - - - - + (K) HKCU\SW\Policies\Microsoft\Windows\safer\codeidentifiers
- - - - - - - - + (K) HK**\SW\MS\Windows NT\CV\IniFileMapping
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\Main\
- - - - - - - - + (K) HKLM\System\CCS\Services\WinSock2\Parameters
- - - - - - - - + (K) HKCU\SW\MS\Windows\CV\Explorer\fileexts
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\OpenWithList
- - - - - - - - + (M) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\Application
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Run(Once)
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\RunServices(Once)
- - - - - - - - + (K) HKCR\Protocols\Filter\Class Install Handler


特色内容:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + - + - - + ¦ *** Monitors any user configured reg. keys ***
- - - - - - - - + ¦ Monitors user configured keys based on wildcards
- - + + - + - + + ¦ Monitors any user configured file associations
+ + - - + + - - + ¦ Is free
- - + - - + - - + ¦ Displays complete list of monitored keys
- - - + - - - + + ¦ Displays the content of autostart entries
+ + - + + + + + + ¦ Works by polling the registry content every x seconds
- - + - - - - - - ¦ Works by intercepting registry change attempts
- - ? + + + - - + ¦ Also monitors deletions from registry
- - - - - + + - + ¦ Auto-undos the change before displaying popup dialog
- - + - - + ? - - ¦ Is also a kind of sandbox
+ + ? + + - + + + ¦ Monitors some files for changes
- - ? ? - + - - - ¦ Survives certain termination attempts

以上大多数都是可以实现自启动的键值,还有一些也是你不想被恶意程序修改的地方。.

如果你发现其中有错误,或者们某些软件(像是 Ad-Watch)增加了监视的内容,请告知。

你还可以使用 Sysinternals Autoruns 这个免费软件来查看自启动程序列表. 注意: 它不是一个注册表监视器.

访问一下地址获取更多关于注册表键值的知识和解释:

http://forums.subratam.org/index.php?showtopic=1063
http://www.diamondcs.com.au/index.php?page=autostarts
http://www.giantcompany.com/antispyw...manifests.aspx
http://research.pestpatrol.com/White...rtingPests.asp
http://www.cpcug.org/user/clemenzi/t...Hijackers.html
The NT booting process

Registry,Monitor,Comparison,Freeware


[1/2]  1 2 >