任務(wù)描述:相信你曾有過類似經(jīng)歷，家人經(jīng)常用你的電腦上網(wǎng)，可是在你使用該電腦后發(fā)現(xiàn)IE的首頁不知道被哪個惡心的家伙“綁架”了！雖然你可以恢復(fù)到原來樣子，卻不知道在哪家網(wǎng)站上遭的殃！怎么才能在下次IE被“綁架”時抓住真兇呢？

戰(zhàn)前分析:我們知道修改IE首頁，其實就是在注冊表中添加一些鍵值，只要監(jiān)視注冊表中記錄這些信息的鍵，找出“綁匪”應(yīng)該不是什么難事了 。

第一步:在“審核對象訪問”中設(shè)置審核“成功” 。打開注冊表編輯器，找到[HKEY_CURRENT_USERSoftware MicrosoftInternet ExplorerMain]，右擊“Main”項選擇“權(quán)限” 。

小提示
如果有必要也可把[HKEY_LOCAL_MACHINE SoftwareMicrosoftInternet ExplorerMain]一并監(jiān)視了 。

第二步:單擊“高級”，切換至“審核”，輸入當前用戶賬戶，在訪問審核項目中勾選“設(shè)置數(shù)值”后應(yīng)用此規(guī)則 。

第三步:打開http://www.cfan.com.cn，依次選擇“工具→Internet選項”，在“常規(guī)”項下把當前頁面設(shè)置為默認首頁 。這時，打開事件日志查看器，根據(jù)日志記錄就輕易地找到了被修改了的注冊表項目(見圖6) 。



實戰(zhàn)任務(wù)3:怎么揪出注冊表中的“內(nèi)鬼”？

任務(wù)描述:一些軟件在安裝后在不提示用戶的情況下就自動添加啟動程序，更有甚者還附帶木馬程序！而這些可惡的行為通常是很難直觀察覺的，那么怎么才能識別和揪出它們在注冊表中所放置的“內(nèi)鬼”呢？

戰(zhàn)前分析:這個任務(wù)在本刊2004年第17期的《捉出注冊表中的內(nèi)鬼——注冊表監(jiān)聽器》一文中有過介紹，該作者是通過許多注冊表監(jiān)控軟件來完成的 。其實用軟件監(jiān)視的原理就是對控制系統(tǒng)自啟動組的注冊表鍵值進行了監(jiān)控，然后根據(jù)前后監(jiān)控目標數(shù)據(jù)的變化來判斷的，現(xiàn)在用“審核對象訪問”策略完成這項任務(wù) 。以安裝MSN Messenger后，自動添加一個自啟動項為例 。

第一步:按同樣方法，建立一個審查修改注冊表中[HKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRun]鍵的策略 。

第二步:打開事件日志查看器清空一下列表，然后安裝MSN Messenger 。

第三步:再次打開日志查看器，在右側(cè)窗口中就可以找到修改自啟動的事件記錄(見圖7) 。





附表:注冊表中自啟動程序的9個藏身之所

Load注冊鍵 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload

Userinit注冊鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit

ExplorerRun注冊鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorerRun

RunServicesOnce注冊鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

和HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServicesOnce

RunServices注冊鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices

和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

RunOnceSetup注冊鍵 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
和HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunOnceSetup

RunOnce注冊鍵 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Run注冊鍵 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

推薦閱讀

• 

  奧奇?zhèn)髡f手游火系陣容推薦 奧奇?zhèn)髡f手游火系陣容怎么搭配
• 

  公務(wù)員計算機類專業(yè)包括哪些
• 

  借貸寶里面對面收錢功能如何用 借貸寶使用方法介紹
• 

  如何制作黃豆醬
• 

  p0635故障碼解釋和消除方法，P0635故障碼怎么解決？
• 

  2133的內(nèi)存 2133mhz內(nèi)存是幾代
• 

  半坡起步半聯(lián)動不熄火的竅門
• 

  相親對象回復(fù)好好說話怎么回復(fù)
• 

  翡翠a+b貨怎么辨別 翡翠a貨B貨怎么辨別
• 

  怎樣管教青春期的男孩子? 青春期男孩子怎么管教最好
• 

  教你ipad怎么設(shè)置桌面懸浮球
• 

  dota自走棋攻略有哪些
• 

  煙臺福山和坊街在哪里,北京紅運坊潮牌文化街市集開街
• 

  宜興高鐵至武漢高鐵時間表，宜興高鐵到武漢下需要轉(zhuǎn)車到其他車站買到信陽的高鐵票嗎
• 

  樓梯的寬度高度都是多少 樓梯風水的正確步數(shù)圖
• 

  手機神奇般的一直自己裝360安全衛(wèi)士。

• 董源善畫原文及翻譯董源的畫屬于什么畫法
• 冰心的原名是什么字什么 冰心原名叫什么名
• 酸蘿卜魚的做法
• 硫的相對原子質(zhì)量是多少整數(shù)
• 外婆菜的原材料是什么
• 綏中稀溜豆腐怎么做
• 君威火花塞什么型號
• 蒜葉變黃變干是什么原因
• 居里夫人的原名是什么 居里夫人是誰
• 衣服上沾有鐵銹常用草酸去洗的原理