Regsnap——给注册表拍照

要了解注册表中的各种变化,用regsnap也是一个不错的选择,虽然这个软件与regmon比起来对系统没有那么深入,但它的构思比较巧,使用起来会发现它也确实不错。

  软件名称:RegSnap 2.8 Build 638
  软件类型:共享软件
  使用平台:Win9x/Me/NT/2000
  软件大小:114KB
  
  ·工作原理

  regsnap是通过“比较”注册表的变化来发现注册表中各种键和键值的变化的。你先让它给你的注册表“snap”(噗哧一声的快照)一下,得到一个注册表数据的文件;然后你对注册表做某个操作;做完这个操作后再让它给你“snap”一下;最后,你只要给个命令,叫它把两个文件比较一下,把两个文件中出现的变化——哪些删除了,哪些修改了,哪些新建。

  其实,regsnap这个“snap”的操作没有什么技术可言,它跟注册表编辑器的导出动能十分相似,经过它的导出文件是“.rgs”,但你可以将它转化为“.reg”,就变成了注册表编辑器的导出文件。它的精巧之处在于“比较”。

  ·功能丰富

  regsnap的主要功能是对注册表“拍照”,但它的功能不限与此。regsnap不仅可以拍注册表,还可以拍许多其他系统文件,包括win.ini,system.ini(win95),autoexec.bat,以及许多config.sys文件。在拍照时,你可以设定包括这些信息或不包括这些信息。

  regsnap可以给远程的计算机拍照,这个与注册表编辑器是一致的,注册表编辑器也能够远程编辑,前面讲过了,regsnap的“snap”跟注册表中的“导出”很相象,这一点上也是一样。

  regsnap还可以扫描所有可能的系统文件的版本信息,并将这些信息在结构中显示出来,但这会拉长扫描的过程,所以一般不需要这样做。


·基本操作




  1.先拍照。实现这一操作可以在工具栏(如图),也可以在“file->startup wizard”里做。后者在你一打开regsnap是就打开了。你在regsnap里要做的几乎所有操作几乎都能在这里做完。这里讲一下前者。按下图中方框所圈的按钮中的左边那个,会有一个叫“save snap”的对话框弹出,在这个对号框里,你要选择拍多少内容,具体内容前面已有所涉及,这里就不具体介绍。然后“ok”,regsnap就给你拍照了。

  2.再拍照。你做完某个操作后,或者过一段时间后,可以拍第二张照,方法同上。

  3.比较。两张照拍好了(如图),就可以比较了。很简单,只要按一下图中所框的右边一个键。软件工作一段时间后就会在默认文件夹(一般在\mydocuments)里产生一个html的文件。这个文件就是这两个“照片”比较后的报告。


·分析报告

  regsnap产生的这个报告是值得好好研究的。在我所做的一个“比较”里。有如下数据:

  deleted keys:363;

  modified keys:716;

  new keys: 938;

  这些数据说明什么呢?报告中详细地给出了所有这些“key”的内容,我研究了一下这些“key”,发现我根本没删过这些key,而且这段时间内,我也没用过清洁注册表的软件,怎么会有这么多的key被删呢?我看了一下这些键代表的内容之后得出结论,是系统的各种驱动程序,服务,组件在做删除键值的动作——原来,这些系统的东东自己也做“清理”阿。

  修改的key有716个,说明每天我们的系统都在修改注册表。不过我长期分析后,发现修改的键总是在一定的范围内,想想也是,否则,系统经过若干时间后岂不面目全非。

  新增的键值有938个是最多的。这就是注册表不断增大的原因。所以朋友们要注意经常清理注册表。

  我的分析怎么样?通过这个工具还可以发现很多注册表的知识,赶快去发现吧!