利用Sysinternals Suite加强Windows系统管理

核心提示： 图4是Regmon.exe监控的结果，可以看到config.vbs脚本在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中添加"system"="wscript.exe C:\w

图4是Regmon.exe监控的结果，可以看到config.vbs脚本在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中添加

"system"="wscript.exe C:\windows\config.vbs"自启动项目，双击该监控结果可自动运行注册表编辑器并且定位到该注册表项下。这样我们就知道了病毒脚本对注册表的操作，然后删除该键值即可。(图4)

图5是Filemon.exe监控的结果，可以看到该病毒脚本进行了多项操作。通过分析看到其操作有：在每个分区的根目录下创建了config.vbs文件，另外还生成了一个autorun.inf文件及其名为“System Volume Information”的一个快捷方式。此外，在系统C:Windows目录下，

config.vbs脚本对自身进行了备份。分析完成后，我们双击相应的监控项就会进入对于的磁盘路径，然后可删除恶意脚本创建的文件。(图5)

除了可用Regmon.exe、Filemon.exe进行病毒、木马监控了解其运行机制外，这两个工具在软件测试、破解中也非常有用，大家可以挖掘其更多的功用。另外，除了这两个工具外，在Sysinternals Suite还有几个监控工具，Diskmon.exe用于磁盘监控，portmon.exe用于系统中网络端口的监控，Procmon.exe用于进程监控。

4、挑战系统，完成特殊任务