关于这款工具,可以在B站搜谁动了我的注册表,UP主名字为有限的未知。该注册表对比分析工具视频教程链接如下。谁动了我的注册表?注册表比对分析工具 & 手动实现右键菜单自由_哔哩哔哩_bilibili
声明:该款注册表分析软件,任何人都可以随意使用和传播。
一、基本简介
这是一款非常好的一款注册表对比分析工具,对于注册表的监控和分析,最大的麻烦就是系统无时无刻都在对注册表进行操作,干扰项是在太多了,就算是不对电脑做任何操作,等几秒钟都会发现注册表有很多出新的改动。这款注册表分析工具不同于其他的,抛开复杂的界面,保留简洁精要的功能,能够做到发挥所需要的作用。
二、工具操作
工具说明
首先该注册表分析工具程序需要以管理员身份运行(右键点击以管理员身份运行),是只读的,不具备任何改写注册表功能,纯本地操作,不联网,无需登录确认权限,不会自动记录系统任何数据,仅当用户需要备份注册表时,进行本地记录。
注册表项目与键值对比工具
在这个注册表项目与键值对比页面,上面的窗口为对比的主页面,白色大窗口和被黑色线条分成2边的绿色背景窗口。这里主要就是用于点击开始比对后,在对比过程中会显示注册表的改动情况,并且可以在绿色背景窗口中看到值的差异。
而左下角的两个下拉菜单,上方为参照的注册表,在这个工具中自带了windows10,windows11,windows7的初装注册表,可以提供快照,当然也可以是自己生成的注册表快照。而下方的下拉菜单可以是实时比对当前(此时此刻)的注册表变化情况,也可以是在不同时期生成的注册表快照。对于注册表快照的生成可以参考下面
在右下角这里就可以对注册表生成快照,点击生成快照按钮,等待一段时间后就可以为当前注册表生成一份快照,包含有时间信息。同时生成的快照信息会出现在与这个程序同一个文件夹下。命名为REG-快照时间。同时左边的勾选可以指定分析五个主键中的一个或多个。可以全选,当然对比时间可能会增加。可以是分析对比注册表的修改、增量、减量。这里的修改是指对注册表中值有所修改、改动,增量的话是注册表中原本没有,现在有的东西,减量于增量类似。
点击了开始比对后,就会对注册表变化进行分析,比如这里假设就用windows10初装系统与这台windows10虚拟机进行简单的比对。对于对比阶段可以不用选择保留注册表快照,对于子键修改时间,虽然比对速度会降慢,但是如果拥有了修改时间也可能对于后续的研究有帮助,这里可以选择是后就正式进入对比阶段了
对比的过程中可以看到白色窗口中不断的显示不同的地方,毕竟对于目前注册表来说,与初装注册表相比变化非常的大。左键点击开始比对就会停止继续比对注册表,右键则是暂停。暂停后左键便是继续比对,右键便是终止注册表比对。比对的结果可以保存结果在自己指定的文件夹中,这里建议在程序所在文件夹下新建一个文件夹用于保存对比结果,以便以后的分析,同时也可以点击类型进行按照类型来排序。
屏蔽/指定对比项目与定位工具
其实在这个界面主要是两个功能:一是对注册表的某个位置进行定位,方便随时查看变化。二是有着屏蔽和指定的黑白名单功能。也就是说,当指定勾选了某些注册表项,当在对比工具页面进行分析是会提示是否启动白名单功能,也就是只比对选定的项目。
比如我们想在
HKEY_CURRENT_USER\Software\Microsoft\InputMethod\Siuf\中进行增加一个项aaa
通过使用对比可以看到,启动白名单后发现新增了一个aaa项,说明分析成功,用户可以通过定位工具中进行指定或者屏蔽。关于屏蔽其实和指定差不多,只是指定的反面情况,也就是说在对比分析过程中不会对比我们所屏蔽的项。
病毒对注册表的修改
由于不可抗力因素的影响,病毒在物理机和虚拟机运行后都被不小心删除了,再重新下载该病毒可能会引起网警的注意,这里就简单阐述一下。在运行病毒之前,我们通过工具进行了当前病毒没有运行时的快照生成,与运行病毒后的注册表的四个主键的增量、修改、减量进行对比分析,发现就已经接近2000处变化了。如果按照类型排序,可以将结果导出,进行统计分析增、改、减的具体情况。由此可见,仅仅是一个小病毒就能够对注册表进行非常广泛的修改,病毒与注册表之间还需要我们更加努力地去研究。