任务描述:相信你曾有过类似经历，家人经常用你的电脑上网，可是在你使用该电脑后发现IE的首页不知道被哪个恶心的家伙“绑架”了！虽然你可以恢复到原来样子，却不知道在哪家网站上遭的殃！怎么才能在下次IE被“绑架”时抓住真凶呢？

战前分析:我们知道修改IE首页，其实就是在注册表中添加一些键值，只要监视注册表中记录这些信息的键，找出“绑匪”应该不是什么难事了 。

第一步:在“审核对象访问”中设置审核“成功” 。打开注册表编辑器，找到[HKEY_CURRENT_USERSoftware MicrosoftInternet ExplorerMain]，右击“Main”项选择“权限” 。

小提示
如果有必要也可把[HKEY_LOCAL_MACHINE SoftwareMicrosoftInternet ExplorerMain]一并监视了 。

第二步:单击“高级”，切换至“审核”，输入当前用户账户，在访问审核项目中勾选“设置数值”后应用此规则 。

第三步:打开http://www.cfan.com.cn，依次选择“工具→Internet选项”，在“常规”项下把当前页面设置为默认首页 。这时，打开事件日志查看器，根据日志记录就轻易地找到了被修改了的注册表项目(见图6) 。



实战任务3:怎么揪出注册表中的“内鬼”？

任务描述:一些软件在安装后在不提示用户的情况下就自动添加启动程序，更有甚者还附带木马程序！而这些可恶的行为通常是很难直观察觉的，那么怎么才能识别和揪出它们在注册表中所放置的“内鬼”呢？

战前分析:这个任务在本刊2004年第17期的《捉出注册表中的内鬼——注册表监听器》一文中有过介绍，该作者是通过许多注册表监控软件来完成的 。其实用软件监视的原理就是对控制系统自启动组的注册表键值进行了监控，然后根据前后监控目标数据的变化来判断的，现在用“审核对象访问”策略完成这项任务 。以安装MSN Messenger后，自动添加一个自启动项为例 。

第一步:按同样方法，建立一个审查修改注册表中[HKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersionRun]键的策略 。

第二步:打开事件日志查看器清空一下列表，然后安装MSN Messenger 。

第三步:再次打开日志查看器，在右侧窗口中就可以找到修改自启动的事件记录(见图7) 。





附表:注册表中自启动程序的9个藏身之所

Load注册键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload

Userinit注册键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit

ExplorerRun注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorerRun

RunServicesOnce注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

和HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServicesOnce

RunServices注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices

和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

RunOnceSetup注册键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
和HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunOnceSetup

RunOnce注册键 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Run注册键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

推荐阅读

• 

  花叶万年青有毒吗 可以室内养吗，花叶万年青有毒吗 可以室内养吗？
• 

  子宫内膜异位症的症状原因引起 子宫内膜异位症的症状
• 

  本科有无学位的区别
• 

  火箭时速多少公里
• 

  吃草莓的好处 常吃草莓好处不要太多
• 

  特大交通事故处理规定
• 

  小米6发布会在哪里开？小米6售价多少钱？
• 

  飞利浦Xenium X800全屏触控手机评测
• 

  ie系列浏览器都有哪些 IE浏览器网页版入口
• 

  淘宝上的视频怎么保存手机
• 

  猪肝可以冷冻吗 猪肝怎么保存
• 

  哪个app看书好,看书哪个app比较好
• 

  为什么西瓜种子在果实内不会发芽
• 

  购房置业|买房不选13楼、14楼、18楼、24楼？内行：这三个楼层才不建议买
• 

  为什么显示不出来运营商
• 

  华硕笔记本A550C 华硕a550c怎么样

• 董源善画原文及翻译董源的画属于什么画法
• 冰心的原名是什么字什么 冰心原名叫什么名
• 酸萝卜鱼的做法
• 硫的相对原子质量是多少整数
• 外婆菜的原材料是什么
• 绥中稀溜豆腐怎么做
• 君威火花塞什么型号
• 蒜叶变黄变干是什么原因
• 居里夫人的原名是什么 居里夫人是谁
• 衣服上沾有铁锈常用草酸去洗的原理