注册表是一项很重要的类似Windows系统的内置数据库,里面存放了很多键值关系表的溏胃釜阼对应。很多木马病毒会通过改注册表的方式来实现自启动,本期小编带您分悖栽刑岁享使用Procmon工具来监视注册表的改动变化情况。
工具/原料
演示软件:ProcessMonitorv3.53
方法/步骤
1、百度一下,从资源网站下载ProcessMonitor工具。
2、解压.zip格式压缩包,找到ProcessMonitor的ProcMon64.exe的可执行文件。
3、打开运行ProcMon64.exe的可执行文件,软件主界面如图所示。
4、选择"Filter"->"Filter..."。
5、过滤出ProcessName进程名称,如"SharpKeys.exe"。
6、只过滤出ProcessName进程名称为"SharpKeys.exe"的进程。
7、在SharpKey软件添加"End键"->"U绯摺驼予P键"的映射关系。
8、再点击"Writetoregist"按钮,将映射关系写入注册表。
9、对比查看ProcessMonitor工具,可监视查看注册表变化情况。