盡管殺毒軟件曾經(jīng)剿滅木馬、病毒無數(shù)，但是如今黑客在也不像以前那樣“單

純”，他們幾乎都會將所侵入的木馬，或者病毒加上一層厚厚的“偽裝盔甲”，來防止殺毒軟件的追殺。其不僅可以起到迷惑殺毒軟件的作用，而且還

可以使其潛伏的惡意程序，正常的運作在操作系統(tǒng)內。如果碰到這種情況，大家不妨通過程序監(jiān)視軟件，知道系統(tǒng)前后發(fā)生的變化，從而找到搗亂的罪魁禍首。

    一、監(jiān)視程序安裝的整個過程
    用戶在安裝完操作系統(tǒng)后，都會對自己以后所要用到第三方應用軟件，進行一番快

速安裝。但是在安裝完畢后，有些用戶卻發(fā)現(xiàn)自己的系統(tǒng)，出現(xiàn)了一

些莫名其妙的變化，比如流氓軟件的惡意插入，以及未安裝過的助手軟件也來湊熱鬧等情況。

“客戶端”程序，在彈出的“Inctrl程序監(jiān)視”軟件界面內。單擊“安裝程序”標簽后的“瀏覽”按鈕，從中選擇想要檢測的安裝程序，然后單擊“開

始”按鈕，此時就會檢測安裝程序的各個指標，同時還會保存所檢測出來的數(shù)據(jù)（如圖1）。

windows安裝控制
   等到檢測完畢后，就會自動彈出其應用程序的安裝向導，用戶可根據(jù)提示操作完成即可。

    接下來順“原路”返回到剛才的檢測界面，單擊“安裝完成”按鈕，這時Inctrl程序監(jiān)視軟件，就會將安裝完程序后的數(shù)據(jù)報告反饋給大家（如圖2）。

報告預覽
    通過其反饋的信息，就會很容易找到其所安裝的程序文件，以及惡意插件等，這樣一來刪除其惡意插件也就易如反掌了。

二、注冊表變化我知道
    病毒木馬在侵入系統(tǒng)后，除了會在其系統(tǒng)安放自己的后門，還會在注冊表里寫入

一些相關的惡意鍵值，以便其系統(tǒng)重啟會自動調用加載的木馬，所以說

監(jiān)控注冊表的日常變化，也是尤為重要的。
    1. 查找共享程序的注冊碼鍵值

    在系統(tǒng)安裝完軟件后，其所謂加載的注冊表鍵值到底保存在哪呢？如果大

家通過手動在注冊表里，對其鍵值進行一一查詢，這有如大海撈針一樣難上加難。不

過有了Regmon監(jiān)控軟件，就會使的一切操作變的很簡單，它是一款出色的注冊表數(shù)據(jù)庫監(jiān)視軟件，它將與注冊表數(shù)據(jù)庫相關的一切操作(如讀取、修

改、出錯信息等)全部記錄下來以供用戶參考，并允許用戶對記錄的信息進行保存、過

濾、查找等處理，從而為用戶對系統(tǒng)的維護提供了極大的便利。
    為了查找到軟件注冊碼，首先我們將想要查找的軟件運行，然后按住

Ctrl+Alt+Del的組合鍵，打開“Windows任務管理器”對話框。此時默認切入的是“應用程序”標簽，從中我們找到并且右擊剛才所運行的軟件名稱，選擇

“轉到進程”選項，這樣其“Windows任務管理器”，就會自動跳轉到該軟件應用程序所運行的進程處（如圖3）。

任務管理器
   記錄其程序運行的進程名后，打開“Regmon監(jiān)控軟件”客戶端程序，為了便于監(jiān)視

其程序所運行的進程，這里在界面內依次單擊上方“選項”→“

regmon過濾

    并且勾選上下面所有功能子項，這樣以后Regmon監(jiān)控軟件，就會只監(jiān)視你所設定

的程序進程了。
    不過對于此前還沒有開始輸入注冊碼，其軟件就已經(jīng)執(zhí)行了監(jiān)視且記錄，

我們要將其刪除要不很容易會弄混淆。這里單擊“編輯”菜單，選擇“清除顯示”的選項，編輯區(qū)里所記錄的監(jiān)視數(shù)據(jù)就會被清空。而后重新啟動一下所要記錄的軟件，

在其界面單擊“關于”菜單，開始輸入注冊碼。操作完畢后，順

原路返回到Regmon監(jiān)控界面，此時你就可以在編輯區(qū)里，找到監(jiān)測用戶名和密碼所對

應的鍵值，我們將其選中后，依次單擊上方“編輯”→“注冊表跳轉”選項，這時就會自動打開“注冊表”編輯器，并且展開到與其鍵值相同的位置

后，我們將其鍵值導出后，重裝所記錄鍵值的軟件程序，再將其鍵值注冊表導入，即

可快速執(zhí)行注冊。
2. 提取優(yōu)化軟件功能，實現(xiàn)自身快速優(yōu)化

    眾所周知，優(yōu)化軟件對其系統(tǒng)進行優(yōu)化，除了在文件方面做以清除垃圾外，還會在注冊表里進行清理優(yōu)化。而到底它們是如何做到的呢？相信有很多朋友為此會感到

好奇，并且也想擁有其屬于自己的優(yōu)化功能，下面筆者將會教

大家如何從超級兔子優(yōu)化軟件身上，扒下其優(yōu)化功能的“外衣”。
    這里打開“超級兔子上網(wǎng)精靈”客戶端程序，同上方操作方法一樣在

“Windwos任務管理器”對話框內，找到“超級兔子上網(wǎng)精靈”所運行的進程Iepro.exe（如圖5），

任務管理器列表
    將其添加到Regmon監(jiān)控進程中后。順原路返回到“超級兔子上網(wǎng)精靈”界面，在

其左側單擊“IE免疫”標簽，然后在編輯區(qū)內單擊限制網(wǎng)站和屏蔽網(wǎng)址

后的“詳細設置”按鈕，此時就會彈出“限制網(wǎng)站和屏蔽網(wǎng)址”的對話框（如圖6）。

超級兔子上網(wǎng)精靈
    從中切入至上方“屏蔽網(wǎng)址”標簽，并且勾選上里面任意一個惡意網(wǎng)址后，單擊

“確定”按鈕使其設置生效。操作完畢后，返回到Regmon監(jiān)控界面，

找到你所監(jiān)視屏蔽的惡意網(wǎng)址，單擊“編輯”→“跳轉注冊表”選項，這時系統(tǒng)就會

打開“注冊表編輯器”對話框，并且自動展開到其所對應的鍵值。而后我們在將其鍵值導出，如果以后你要想用到超級兔子的站點免疫功能，無須運

行其軟件，只要運行其導出的注冊表，即可實現(xiàn)免疫效果，當然對于其他網(wǎng)站的免

疫，你只要將其注冊表里面，所屏蔽的網(wǎng)站換成想要免疫的網(wǎng)址，也可實現(xiàn)相同的防御效果。

三、系統(tǒng)服務的監(jiān)視更為重要
    之前我們說過木馬病毒在侵入系統(tǒng)后，會在其系統(tǒng)安放自己的后門，但是殊不知

其后門，還會在系統(tǒng)內開放屬于它自己的危險服務。一般情況下這種服

務，會將其服務名稱偽裝成與系統(tǒng)服務相近的名字，從而達到迷惑我們將它誤認為正常服務的目的。不過現(xiàn)在有了Winservices軟件，其騙術伎倆就會如影隨形的暴露出

來，但是有個條件就是需要你要按照以下的方法進行操作。

    在做Winservices快照操作之前，請務必保證系統(tǒng)是純凈的，換句話說就是沒有

病毒和木馬的侵入痕跡。然后在從網(wǎng)上下載安裝Winservices軟件，運行其里面的客戶端程序，接下來在彈出的軟件界面內，依次單擊上方“文件”

→“保存快照”選項，根據(jù)出現(xiàn)的提示將其服務快照保存為“*.rpt”文件。操作完畢后，其程序會時時刻刻監(jiān)視系統(tǒng)服務的一舉一動，如果服務與快照印入的服務有出

入，它會給予相應的警告提示。當然你要想恢復快照時的安全系

統(tǒng)，只要在安全模式下運行Winservices軟件，并且單擊“Winservices軟件”→“恢復服務”選項，從中找到快照保存的系統(tǒng)服務文件。然后在系統(tǒng)服務顯示前后變化結

果里，按照程序提示展開非法系統(tǒng)服務的注冊表，將其惡意

鍵值進行刪除，另外別忘了根據(jù)服務路徑將其非法文件也一起刪除。
    四、跟蹤監(jiān)視自啟動功能

   病毒木馬加載到系統(tǒng)后，都會在其自啟動功能里，載入其危險的啟動程序，

以便系統(tǒng)重啟后會連同病毒也一起激活。如果你要想鏟除所加載進來的病毒啟動程序，首先需要定制一套全面監(jiān)控的自啟動防御措施，這樣當自啟動程序與原來正常狀

態(tài)發(fā)生變化時，我們就可以輕易發(fā)現(xiàn)其作惡的程序，從而可以將

其“連根拔起”。
    不過實現(xiàn)以上跟蹤監(jiān)視，需要借助第三方Startup Agent工具，來實現(xiàn)監(jiān)視自啟

動功能。它是一款計算機安全保護軟件，能夠在系統(tǒng)啟動過程中，監(jiān)視

系統(tǒng)的注冊表、啟動文件和系統(tǒng)服務，以防止廣告程序、蠕蟲病毒和特洛伊木馬。如果發(fā)現(xiàn)注冊表等有所改變，就會發(fā)出一個報警信息，可以由你來決定是

否刪除它。這里打開Startup Agent軟件的操作界面，將里面隨系統(tǒng)啟動和監(jiān)視所有的功能選項全部勾選上（如圖7），

Startup Agent軟件的操作界面
    而后單擊“Save(保存)”按鈕，就會開始執(zhí)行以上所勾選的監(jiān)視項。以后倘若有

馬進入，并且試圖在注冊表里加載自啟動，此時正在全程監(jiān)視的

Startup Agent軟件，就會彈出危險警告的提示對話框，我們點擊“NO”按鈕，即可禁

止其加載自啟動項。
    五、手動也可輕松制作監(jiān)視器

    如果你不想通過以上的監(jiān)視工具，來完成對系統(tǒng)的全程監(jiān)視，也可以自己手動制

作一個功能強大的監(jiān)視器，對其系統(tǒng)做以全面跟蹤。具體方法如下所示：依次單擊“開始→所有程序→附件→系統(tǒng)工具→備份”選項，在彈出的

“備份”對話框內，選擇所要備份的內容，一般情況下我們會將其定位到系統(tǒng)目錄

下。然后在執(zhí)行向導的下步操作，將備份文件保存到任意盤符，不過你要將其位置記住，接下來單擊“高級”，將備份類型設置為“增量備份”后。再

次繼續(xù)執(zhí)行向導的下步操作到設定備份時間內，單擊“設定備份計劃”按鈕，時間可

以根據(jù)自己的情況來確定。
    然后進入C：\Windows\tasks目錄，找到剛才建立的備份系統(tǒng)目錄計劃，

并且右擊其計劃選擇“運行”選項，這樣就會對其系統(tǒng)目錄實施備份。這樣以后當系統(tǒng)遇到病毒或者木馬侵入，并且在系統(tǒng)目錄載入危險文件后，等到下次

開機時備份計劃就會把增加的文件，添加到備份文件夾內，即可快速找到所加入的危險文件，從而我們可以立即將其刪除。