|
|
[注意]深山红叶启动光盘(WinPE&PE Builder)讨论专帖(违令者必删)
[这个贴子最后由wang6071在 2005/06/11 03:13pm 第 2 次编辑]
基本完工,先放上来大家看一下吧。
注册表监视器(无忧内测版)说明:
注册表监视器是保护你的注册表的启动组项目的一个绿色软件,设计它的目的是为了防止某些木马或病毒将自身放在注册表中的启动组中启动以至于杀毒软件难以清除。同时,它也能防止某些恶意搜索软件通过加载到启动组中互相监视而拖慢你的系统速度。
软件运行后将实时监测注册表中的RUN,RUNServices项目(HKEY_Local_Machine及HKEY_CURRENT_USER下都有效),当发现有软件在其中新增启动项目时将自动提示并实时删除这个项目。虽然软件本身并不能删除恶意软件在系统中加入的文件,但一个不能启动的恶意软件将不会影响你的系统。借用KV以前的一句话说,这个不能启动的恶意软件只是一个病毒僵尸,就如IE的临时文件一样,只是一个垃圾文件而已。
功能概述:
1:软件启动后直接最小化到右下角托盘,右键点击可调出界面。
2:软件第一次运行将在软件的同目录下生成set.ini,记录下你当前的启动组设置。如果你不想每次软件启动都重新生成set.ini,请使用软件的锁定启动组功能。
3:使用过程中如你发现有某个软件加入的启动组项目注册表监视器在不断地删除却删不了时,请使用软件的杀进程功能,将这个软件杀死即可。(一般来说,这样的软件在进程列表中都位于启动监视进程名后,很容易找到).如果通过杀进程也阻止不了这个恶意软件时,请在看到软件提示清除了某某某新增键值后立即使用本软件自带的重启计算机功能。
4:为不影响信任软件(指必须通过启动组加载的软件,普通软件的安装不受影响)的安装,你可以退出本软件再安装或使用本软件的关闭监视功能。待安装完成后再重新开启监视(你的配置文件将会在重新开启监视后更新)。
如果你安装的软件要重启(同时你设定了注册表监视器的锁定监视功能时),请先不要重启,重打开软件的开启监视,待配置文件更新后才重启。
当然,虽然注册表监视器占用的系统资源相当少,也允行你在某段比较安全的时间中关闭它的监视功能。
5:拷贝给朋友使用时,只需要拷贝 注册表监视器.exe ,set.ini是你的机器上的,不要拷给朋友了。虽然软件在启动是将检测计算机是否不同,不同则重新生set.ini,但不能保证就一定安全,所以拷贝时只拷贝主执行文件即可。
6:注册表监视器这一版加入一个自定义监测注册表的功能。自定义功能与系统功能是分开的,当存在文件userset.ini时,系统同时使用你的自定义功能。
自定义功能是一双刃剑,要使用的朋友请耐心读完下面的说明
自定义userset.ini的描述如下:
[DelList] //[DelList]段描述需要删除的键值或主键
;注册表解锁
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
rkey=DisableRegistryTools
[locklist] //[locklist]段描述需要锁定的注册表键值。
;保持文本文件的打开方式
root=HKEY_CLASSES_ROOT\txtfile\shell\open\command
rkey=
rval=C:\WINDOWS\NOTEPAD.EXE %1
工作过程如下:
系统每隔一定的时间检查你定义的[DelList]段,发现有你指定的键值或主键存在时,就给出删除提示。
对于[locklist]段,系统检查发现你指定的键值不存在或被更改时,就作出还原提示。
因为NT类系统与98类系统是不同的,所以在写userset.ini也要注意,下面以FAQ形式给予说明:
1:我定义了不正确的userset.ini,系统会删掉或盖我原来正确的数据吗?
注意,对于定义了的userset.ini系统扫描注册表时发现与你定义不符时会跳出对话框提醒你执行删除或恢复,如果此时发现是写错了userset.ini文件,请不要点确定,点取消则会过一会儿再次问你(因为是严格按你定义的执行),所以此时应该不理会对话框,直接在用右键点键托盘图标,选择退出即可,这样才不会误写注册表。
然后你可以修改你的userset.ini后再次打开注册表监视器。
2:98下定义的userset.ini与xp通用吗?
不通用,win2000、xp、win2003等NT类系统对系统分区的描述是%system%(win98是c:\等),某些情况下执行的路径是不同的。
另外,软件目前只能处理字符串类型,dword及2进制类型是不支持的。这字符串类型来说,NT类系统的字符串类型有3种:字符串,多字符串及可扩充字符串,软件目前只支持字符串类型。
这一点一定要注意!举例来说,98下我们可以定义userset.ini的[locklist]来锁定文本文件的打开方式,比如:
[locklis]
;保持文本文件的打开方式
root=HKEY_CLASSES_ROOT\txtfile\shell\open\command
rkey=
rval=C:\WINDOWS\NOTEPAD.EXE %1
但在NT系统下,请不要这么用,有两个原因
A:路径问题
rval=C:\WINDOWS\NOTEPAD.EXE %1 中NT类系统用的是 %SystemRoot%\system32\NOTEPAD.EXE %1
B:类型匹配问题(软件[locklist]只支持REG_SZ字符串值类型)
98下字符串类型只有1种,即字符串值类型(REG_SZ),所以针对字符串值的操作不会出错,而在NT下字符串的类型有三种.上面所说文件的打开方式在NT中其值类型全部都是多字符串值(REG_EXPAND_SZ),用REG_SZ去替换REG_EXPAND_SZ后果不可预料.
3:为什么没有加入全部注册表类型的支持
我们的软件只是防黑而不是注册表编辑器,另外开放太多的接口让用户来改注删表更易发生问题,所以不支持更多的类型.对于NT类系统文件的打开方式不支持锁定的问题,可以考虑在下一版中加入支持.(不过偶倒认为没多大必要,黑这个的很少,一般来说打系统补丁就够了,没必要锁定它占用资源)
4:userset.ini中在NT下可使用的功能有哪些?
[dellist] 段有用,可以清除恶意软件加入的注册信息.
[locklist] 段可适当应用,以保证你的某些字符串值类型不被修改.(比如破解限次软件)
5:更多的注意事项请参考本软件提供的userset98.ini(98下可以更名为userset.ini来使用,xp系统下使用时请删除[locklist]段的内容,原因见FAQ第2条)这个例子中的注解。
由于开放了接口,使得软件在使用自定义功能时具有一定危险性,所以测试使用时请注意备份注册表(98下可以用eru,xp下可以使用erunt).
第一次修正,修正推土机兄弟报告的那个BUG(原因是未定义userset.ini,偶忘了判断)
[UploadFile=myregmon_1118472292.rar]
关于此软件的问题请在:
http://bbs.wuyou.net/cgi-bin/topic.cgi?forum=34&topic=9377&show=0
贴子中报告,同时以后更新也在此贴中。红叶兄的贴子太大了,不要再给他添垃圾啦!:) |
|
[复制链接]
IP卡
狗仔卡
发表于 2005-6-8 21:36:00
显身卡