第五节 相关工具

一、注册表的备份

（1）直接将注册表文件System.dat和User.dat拷贝到硬盘指定的目录下或直接拷贝到软盘上作为备份。恢复时将该备份替换覆盖回原处即可。
（2）利用Windows自带regedit备份注册表。
（3）利用Windows95自带的紧急事故恢复工具(Emergency Recovery Utility)，仅适合Windows 9x系统。
（4）利用Ghost工具备份整个系统。

注册表与系统的备份相当重要，在你尝试一个新的软件时，建议你先备份一下注册表，这样在必要时可分析出安装程序在注册表里做的标志。

二、监视工具

（1）注册表"监视员"Regmon

Regmon（Registry Monitor）是一个出色的注册表数据库实时监视软件，它将与注册表数据库相关的一切操作（如读取、修改、出错信息等）全部记录下来以供用户参考，并允许用户对记录的信息进行保存、过滤、查找等处理，这就为用户对系统的维护提供了极大的便利r。

（2）注册表监视器Regsnap

RegSnap是一个专门用于比较Windows注册表及系统启动设置文件变化的工具。Regsnap的原理非常简单：在需要的时候，通过"File/New"菜单或工具条按钮将当前注册表及相关内容保存到扩展名为rgs的文件中（如在安装新软件之前和软件安装结束后分别保存一次），然后通过"File/Compare"菜单比较这两个文件，Regsnap就会详细地报告注册表及与系统有关的其他内容的变化情况。
Regsnap对系统的比较报告非常具体。对注册表可报告修改了哪些键，修改前、后的值各是多少；增加和删除了哪些键以及这些键的值。报告结果既可以以纯文本的方式，也可以html网页的方式显示，非常便于查看。
除系统注册表以外，Regsnap还可以报告系统的其他情况：Windows的系统目录（缺省是c:\Windows）和系统的system子目录下文件的变化情况，包括删除、替换、增加了哪些文件；Windows的系统配置文件win.ini和system.ini的变化情况，包括删除、修改和增加了哪些内容；自动批处理文件autoexec.bat是否被修改过。

（3）注册表监视器RegShot

RegShot是一个国产免费软件，作者是TiANWEi。这个软件可以比较注册及系统配制文件的变化。它的原理是在运行该软件之前作个记录，在运行它之后作个记录，比较二者的差别。

（4） 文件监视器FileMon

FileMon是Sysinternals推出的一款自由软件，适用于Windows NT/2000和Windows 95/98/ME系列平台。凭着它的强大功能，用户可以了解系统的工作情况、可查看应用程序的文件和DLL库的使用情况，甚至还可以捕捉到底层文件访问的各种细节所在。而且当文件的读写等事件发生的时候，FileMon还能精确记录下这些事件的发生时刻、持续时间以及操作结果等重要数据，因此，FileMon便成了分析人员们必备的工具之一。