注册表监视器Reg

注册表监视器Reg可以用于监视注册表的敏感部位，帮助用户第一时间发现进入系统的后门，木马，可以作为杀毒的辅助手段使用，支持文件记录功能，方便用户的查询习惯，软件兼容xp和windows7。

软件使用简介说明：

请将快捷方式加入开始菜单里面的启动.并加上以管理员运行此程序.

软件主要敏感区域包括：

1、启动项：

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]（仅运行一次）

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]（仅运行一次）

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]（WIN2000/XP）

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]（WIN2000/XP）

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]（WIN2000/XP）

2、服务：

“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services”

3、驱动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWINEVTPublishers

HKLMSYSTEMCurrentControlSetServices

HKLMSYSTEMCurrentControlSetControl

HKLMSYSTEMCurrentControlSetEnum

（基本可以发现rootkit)

软件使用步骤教程：

1、打开电脑上安装的Regmon工具软件。

2、进入到软件操作的主界面，默认情况下，RegMon工具可以监视当前Windows系统正在进行读写的所有注册表数据。

3、运行需要被RegMon工具监视注册表数据变动的工具软件"Disk Driver Administrator"中的"disklock.exe"可执行应用程序。

4、打开"任务管理器"，查看"Disk Driver Administrator"工具的应用进程名称确认为"disklock.exe"。

5、选择"工具栏"上的"过滤器"图标按钮，会弹出"Regmon Filter"操作对话框。默认的Include的内空为*，即表示监视所有。

6、将Include的内容更改为"disklock.exe"，再点击"OK"按钮应用生效。

7、进入到disklock工具的主界面，选择需要隐藏的磁盘盘符，如C: 盘。再点击"Apply"按钮应用生效。

8、查看disklock.exe应用程序相关的setValue的节点，设置应用生效的注册表路径 HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrivers

9、用"鼠标左键"双击打开Regmon工具上述的路径栏，可跳转到注册表编辑器相应的节点项。

注册表监视器同类软件推荐：

【RegSnap】

RegSnap它可以详细地向你报告注册表及其他与系统有关项目的修改变化情况。 RegSnap 对系统的比较报告非常具体，对注册表可报告修改了哪些键，修改前 、后的值各是多少；增加和删除了哪些键以及这些键的值。报告结果既可以 以纯文本的方式，也可以 html 网页的方式显示，非常方便。

【RegFrom】

RegFrom监视您选定的进程对注册表的更改，并创建一个包含该程序更改内容的标准注册表文件(.reg)，需要的时候您可以使用生成的.reg文件来导入注册表更改的内容。系统需求这个工具可以在Windows 2000, Windows XP, Windows Server 2003, 以及Windows Vista (仅32位)上运行，更早版本的Windows不被支持。