使用regsnap查看注册表和文件改动情况

 

 

除了杀毒软件的主动防御或实时监控功能外，还有哪些软件能让我们查看注册表的更改情况呢？

RegSnap可以详细地向你报告注册表及其他与系统有关项目的修改变化情况。
RegSnap 对系统的比较报告非常具体，对注册表可报告修改了哪些键，
修改前、后的值各是多少；增加和删除了哪些键以及这些键的值。
报告结果既可以以纯文本的方式，也可以 html 网页的方式显示，非常便于查看。
除系统注册表以外，RegSnap 还可以报告系统的其他情况：Windows 的系统目录和
系统的 system 子目录下文件的变化情况，包括删除、替换、增加了哪些文件；
Windows 的系统配置文件win.ini 和 system.ini 的变化情况，包括删除、修改和
增加了哪些内容；自动批处理文件 autoexec.bat 是否被修改过。该软件可以在需
要的时候方便地恢复注册表，可以直接调用 regedit 程序查看或修改注册表，还可
以查看当前机器的机器名和用户名。

打开regsnap出现启动向导，可以在这里进行一些快速的操作，如：打开最近使用的快照文档等。
如图1：

（图1）

我们做个实验测试一下该软件的功能。
首先在没修改注册表或对磁盘上的文件进行操作前，给注册表等系统关键地方新建一个快照，如图2：

（图2）

在右边的视图中有相关选项的说明，我们可以给该快照添加注释：修改注册表启动项前。确定之后regsnap就会
开始为我们创建快照，如图3：

（图3）

创建完成后出现一个对话框会显示相关信息，如图4：

（图4）

现在我们打开注册表编辑器
开始->运行，输入：regedit回车。
找到Run子键，地址是：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
新建一个字符串键值“taskmgr”，值为“taskmgr.exe”。如图5：

（图5）

现在我们开始比较快照，点击“比较”按钮，打开比较快照对话框，选择好要比较的两个快照，然后
作一些相关设置，输入比较结果文件名，确定。如图6：

（图6）

完成比较后就会在regsnap中显示比较结果，我们可以把比较结果文件保存下来用web浏览器打开浏览，
如图7：

（图7）

值得一提的是regsnap还有导出reg文件的功能，可以方便快速地帮助我们恢复注册表。