利用Sysinternals Suite加强Windows系统管理

核心提示： 3、注册表及文件监控进行程序分析系统管理员在部署工具前，搭建环境进行测试，利用Sysinternals Suite加强Windows系统管理(3)，以保证程序运行的可靠性、稳定性，这是非常有益的，Regmon.exe和Filemon.exe开始对其操作进行记录，记录完毕后分别分别单击Reg

3、注册表及文件监控进行程序分析

系统管理员在部署工具前，搭建环境进行测试，以保证程序运行的可靠性、稳定性，这是非常有益的。另外，有的时候我们需要要进行病毒、木马分析。诸如此类，除了要搭建实验环境还需要相应的监控软件。对于系统监控来说，注册表及文件监控是重点。在Sysinternals Suite工具有两个非常不错的工具，其中Regmon.exe是用来进行文件监控的，Filemon.exe可用用于文件监控。

下面以木马分析为例演示这两个工具的使用。笔者最近帮朋友杀毒获取了一个危险的VB脚本文件，文件名为config.vbs。我们在虚拟机中运行Regmon.exe和Filemon.exe，然后执行config.vbs脚本看它对系统都做了哪些操作。需要说明的是，默认情况下Regmon.exe和Regmon.exe会记录系统中所有的注册表及其文件操作，这不利于我们进行分析。首先需要对软件进行设置，过滤掉无用的信息使其只记录与config.vbs相关的信息。以Regmon.exe为例，运行该软件，然后依次点击“Options(选项)→Filter/Highlight(过滤/高亮)”打开设置对话框。在Include(包含)后面的文本框中输入config.vbs，Exclude(排除)后输入explorer.exe，Highlight(高亮)后输入config.vbs(见图3)，最后点击“OK”退出，Filemon.exe的过滤设置方法类似。(图3)

设置完成后，首先分别单击Regmon.exe和Filemon.exe工具栏中的“Clear(清除)”按钮以清除此前的记录。然后双击执行config.vbs，Regmon.exe和Filemon.exe开始对其操作进行记录。记录完毕后分别分别单击Regmon.exe和Filemon.exe工具栏中的“Capture(捕捉)”按钮，此时看到Regmon.exe和Filemon.exe高亮显示的注册表及文件监控结果。