RegSnap：给你的系统做个快照(图)
硅谷动力 　 2002-05-20 17:04:18

　　
　　当浏览了恶意网页或电脑感染上黑客、木马程序时，那些阴险的“家伙”往往会在注册表中写入某些键名和键值，系统安装目录也是它们的最爱——在这些地方生成非法文件，而修改win.ini、system.ini、config.sys、autoexec.bat等系统配置文件也是它们常用的手段，主要目的是为了在系统启动时自动加载非法程序，从而可以随时控制系统。

　　
　　作为普通用户，我们如何才能知道上述地点是否被修改或加载了非法程序呢？我们可以使用RegSnap！RegSnap是用来监视系统变化的软件，它可以给系统做“快照”，通过前后两次快照的比较，向您详细地报告注册表及其他与系统有关项目的修改变化情况。RegSnap下载地址：http://www.esoftware.com.cn/file/system/sysimpro/2002030505.shtml。

　　一、RegSnap功能简介

　　1、对注册表的一切改动都详细的加以记录，如报告修改了哪些键，修改前后的键值是什么，增加和删除了哪些键以及这些键的值；

　　2、记录X:Windows和X:Windowssystem子目录下文件的变化情况（这里X代表系统文件所在盘符），包括删除、替换、增加了哪些文件；

　　3、记录Windows的系统配置文件win.ini、system.ini的变化情况，包括删除、修改和增加了哪些内容；

　　4、记录autoexec.bat和config.sys的变化。

　　另外，RegSnap可以在必要的时候恢复注册表，也可以直接调用注册表编辑器查看或修改注册表。

　　二、RegSnap具体使用方法

　　如果你的RenSnap没有注册，每次启动时都会出现请你注册的信息，而后就出现启动向导，右边有两个图标按钮分别“新建快照”（建立新的快照文件）和“比较”（比较两个快照文件）。

　　1、新建快照

　　当你点击新建快照文件时，会有两种提示：

　　①快照全部：主要检查注册表、Windows及WindowsSystem目录下的文件、Win.ini、System.ini、Autoexec.bat和Config.sys的变化，给它们做个快照。

　　②仅注册表：这就不用说了吧。

　　还有两个选择框为：保存键值和保存动态链接库版本信息，建议全部选择，你还可以输入这次快照的说明文件，便于以后查看。

　　点击确定以后开始工作：显示搜索并捕获了键值信息以后，会有一个显示框提示所有被选择的系统文件的键和键值的总数；以及此次的快照文件名、日期/时间、模式、数据、PC名称/用户、RegSnap的版本、说明（如图1）。
　　

　　此时你可以保存这个名为RegSnapX.rgs的快照文件并指定保存到某一目录下。

　　2、比较

　　点击比较按钮，出现两个快照文件选择框（如图2），
　　
　　如果你生成了几个快照文件，这时就可以任意选择两个快照文件作为比较，注：系统将自动根据时间先后决定快照的顺序。

　　在报告选项中可以选择：只显示被修改的键名或显示被修改的键名和键值，如果选择后面一项，可以生成REG文件用于撤消或更改注册表，这个功能不错。

　　在输出文件名中可以选择.txt或.html文件，建议选择.html文件，因为可以很直观地显示各种信息。

　　在高级选项中我们可以添加要排除比较的注册键，在生成比较文件时可以不用比较添加的注册键，但一般用户可以不予理睬。

　　按确定以后，系统将自动生成Regsnp1-Regsnp2.htm（文件名可以自定），并自动用IE打开此文件。其实我们前面所做的一切都是为了取得这个比较文件，观察对比信息。

　　三、比较结果文件

　　比较结果文件非常重要，它非常详细地列出了前后两次快照文件的差别，特别是注册表被修改以前和以后的对比信息，包括注册键的删除、修改、新建以及键值的详细参数；如果系统中的文件被修改，将列出前后文件的建立日期和时间、字节数……

　　建议在干净的系统下先做一次快照，以后隔十天半个月再做一次快照以对比两次系统是否存在差异，这对于观察系统是否被黑客木马或病毒入侵有着很大帮助。