活用注册表监视器RegMon

作为Windows 95／NT用户，你是否曾对系统注册表感到困惑？面对频繁出现错误的注册表对话框而不得不重装系统时，是否希望找到一个能帮助你探索注册表的工具。下面就为你介绍这样一个实用工具软件RegMon（Registry Monitor，注册表监视器）及它的一些特殊用法。

　　RegMon其时并不是一个特别新的工具，它的最新版V3．3是98年1月推出的。RegMon小巧玲珑，可执行文件加起来只有70多K，但这个小工具却因其十分实用的功能而相当出名。RegMon由两部分组成，一是虚拟设备驱动程序Regvxd．vxd；二是图形界面部分Regmon．exe，后者在启动时自动装载前者，前者将捕获此后所有读写注册表的操作，记录下操作类型、数据及结果，图形界面部分定时取回这些信息并将其显示在列表框中，RegMon运行时的图形界面如下图所示。

　　RegMon的菜单选项不多，File用于把列表框中的内容以文本格式存盘，供用户以后分析；Search可在列表框中查找指定的关键字；Events菜单的用处最大，其中Filter子菜单设置过滤选项，可让RegMon有选择性地记录下部分注册表操作而舍弃另一部分，例如指定要监视的进程、注册表的分支、操作的类型及结果（读、写、成功或出错）以及保留记录的条数。由于Windows 95及其应用程序对注册表的操作非常频繁，灵活使用这些选项来缩小监视范围将有助于你避开大量无用的记录，迅速找到自己感兴趣的信息。

　　监视进程Rundll32

　　控制面板是Windows 95的控制中心，其中绝大多数设置都存放在注册表中，如果你想知道某项设置到底对应着注册表中哪个键的话，可以让RegMon监视进程Rundll32，然后启动控制面板中相应的组件，改变设置并观察RegMon中的记录，找出键名，再运行RegEdit来查看该键。有时，控制面板的组件可能会出现不能正常工作的情况，有了RegMon和RegEdit的帮助，你就可以手工更改注册表来达到改变设置的目的。当然，更改前一定要对注册表做备份。笔者在为中文Windows 95 OSR2装上Microsoft的英文版网络升级部件和中文IE4后，发现TCP／IP协议属性的IP地址输入框不响应任何键盘输入，无法设置本机的IP地址，因此不能连接网络上其它机器，利用RegMon，很快找到了IP地址存放的位置，手工设置后重启系统，网络恢复正常。

找出未公开的键值

　　与系统功能函数一样，Windows 95的注册表也有很多未公开的键值，在普通系统的注册表中，这些键名或键值并不存在，如果手工加入这些键，可能会带来意想不到的效果，RegMon可以帮助找出部分未公开的键值。运行RegMon，监视Explorer或其它一些系统组件，注意观察那些结果为“Notfound”的键值，未公开的键值就隐藏在其中。为了监视到Explorer的早期活动，应尽早启动RegMon，笔者发现按如下方式启动RegMon可以达到最佳效果。首先把Regvxd．vxd拷贝到Windows 95的系统目录下，然后运行RegEdit，打开键名“HKEY－LOCAL－MA CHINEιSOFTWAREιMicrosoftιWindowsιCurrentVersionιRunServices”，给该键新建一个串值，取名为“RegMon”，将其值设为regmon．exe的全路径名，最后重启系统，发现RegMon已成功地记录下Windows 95启动时对注册表进行的部分操作。

　　“检修”系统注册表

　　如果在安装软件或运行程序时系统掉电，那么很容易造成系统注册表损坏，轻则数据出现混乱或丢失，重则致使系统瘫痪。错误严重时可能需要重装系统，但轻微错误仍有望恢复。运行RegMon监视RegEdit，注意一定要限制记录的条数，然后使用RegEdit的查找功能来枚举注册表的各个分支，再次出现错误时可从RegMon的记录中确定错误的位置，并用RegEdit进行合理的修改。

　　许多共享软件在Windows 95的注册表中存放试用期和已使用的次数，当然这些数据都是以加密方式存放的，并且所取的键名往往具有一定的隐蔽性和分散性，例如把某个子键存放在HKLM/SoftWare/Microsoft/Windows下，而把另一个子键放在HKCR下，只要有一个子键不符合使用条件，那么软件就不再运行。因此，延长试用期的关键是找出该软件建立的所有键名，将之删除，然后再重装该软件就行了。利用RegMon，在软件安装时和第一次运行时监视所有的注册表操作，仔细分析所建立的新键，在做好备份的情况下试着删除这些子键，便可试验出如何延长试用期。另外，当你不想使用某个软件时，也可依此将注册表中废弃的信息删除，以提高系统效率。