注冊表監(jiān)測工具regsnap

1、實驗指導書項目標號4項目名稱RegSnap學時實驗目的 通過安裝和使用RegSnap，了解系統(tǒng)進程，掌握比較軟件對系統(tǒng)進程的更改的方法。一、 實驗原理RegSnap的安裝和使用二、 實驗環(huán)境操作系統(tǒng)：Windows操作系統(tǒng)三、 實驗內(nèi)容l RegSnap四、 實驗步驟：1. 單擊“啟動向導”程序，其界面如圖所示：2. 在菜單欄中選擇“New”，或者按下工具欄中的“New Snapshot”。這時彈出一個對話框，如圖所示： 對話框中Regsnap記錄的內(nèi)容，有三個選擇：一是“Snap All”，Regsnap除了記錄 冊表的數(shù)據(jù)外，還會記錄下Windows的系統(tǒng)目錄（缺省是c:Windows）、

2、系統(tǒng)的system子目錄、Windows的系統(tǒng)配置文件win.ini、system.ini和autoexec.bat、config.sys文件的情況；二是“Registry only”，這樣Regsnap僅記錄系統(tǒng)注冊表的情況。若選擇后者，運行的效率當然會高些。不過若不清楚要監(jiān)視的目標軟件究竟會對系統(tǒng)做什么改動的話，那還是選擇“Snap All”更合適些。第三個選擇“Registry from remote”僅對注冊后的用戶開放，主要功能是選擇記錄局域網(wǎng)上的某臺電腦的注冊表情況，用戶只需在框內(nèi)填寫該電腦的名稱即可。不過對單機用戶來講，此功能用處不大。3. 點擊“確定”，就開始對系統(tǒng)注冊表照相。

3、按下“OK”按鈕，Regsnap會給出具體的進程情況，隨時向你報告已經(jīng)記錄了多少個鍵值。當照相完畢，Regsnap會給出提示框報告其工作成果，包括其記錄鍵值的總數(shù)，記錄的c:Windows、c:Windowssystem、win.ini、system.ini、autoexec.bat和config.sys的基本情況。如圖所示：4. 拍照完畢后存盤。鼠標點擊工具欄的“Save”項，彈出對話框，將記錄下來的文件保存為后綴為rgs的文件。如圖所示：5. 安裝QQ軟件，為了排除不必要的干擾，請在安裝軟件前減少對系統(tǒng)做其它的操作。6. QQ軟件安裝完畢后，再對注冊表及重要的系統(tǒng)文件再做一次拍照。方法同前

4、。7. 兩次拍照完畢，就可以做對比。按下工具欄中的Compare按鈕，彈出一個對話框，用戶在“First snapshot”、“Sencond snapshot”框中中分別選擇前后截取的兩個rgs文件，然后再在“Report options”項里選擇報告的類型。如圖所示： Regsnap提供了兩種報告類型，“show modified key names only”和“show modified key names and key vaules”，前者僅顯示所有被更改過的注冊表主鍵或文件的名稱，后者除了顯示有那些主鍵、文件被修改過外，還提供了具體的舊數(shù)據(jù)和更改過的新數(shù)據(jù)。 Regsnap在比較了兩個注冊表輸出文件后，會輸出一個比較報告。因此還要選擇一下輸出文件的方式。Regsnap提供兩種輸出文件方式，一種是Plain Text（純文本）方式，還有一種是HTML（超文本）方式。如果選擇了純文本輸出方式，那么即使在報告類型中選擇的是“show modified key names and key vaules”方式，系統(tǒng)也無法給出具體的新舊內(nèi)容的比較。要得知具體的變動情況，必須使用HTML（超文本）方式