nbsp;

　　系统管理员在部署工具前，搭建环境进行测试，以保证程序运行的可靠性、稳定性，这是非常有益的。另外，有的时候我们需要要进行病毒、木马分析。诸如此类，除了要搭建实验环境还需要相应的监控软件。对于系统监控来说，注册表及文件监控是重点。在Sysinternals Suite工具有两个非常不错的工具，其中Regmon.exe是用来进行文件监控的，Filemon.exe可用用于文件监控。

　　下面以木马分析为例演示这两个工具的使用。笔者最近帮朋友杀毒获取了一个危险的VB脚本文件，文件名为config.vbs。我们在虚拟机中运行Regmon.exe和Filemon.exe，然后执行config.vbs脚本看它对系统都做了哪些操作。需要说明的是，默认情况下Regmon.exe和Regmon.exe会记录系统中所有的注册表及其文件操作，这不利于我们进行分析。首先需要对软件进行设置，过滤掉无用的信息使其只记录与config.vbs相关的信息。以Regmon.exe为例，运行该软件，然后依次点击“Options(选项)→Filter/Highlight(过滤/高亮)”打开设置对话框。在Include(包含)后面的文本框中输入config.vbs，Exclude(排除)后输入explorer.exe，Highlight(高亮)后输入config.vbs(见图3)，最后点击“OK”退出，Filemon.exe的过滤设置方法类似。(图3)

   

    
    设置完成后，首先分别单击Regmon.exe和Filemon.exe工具栏中的“Clear(清除)”按钮以清除此前的记录。然后双击执行config.vbs，Regmon.exe和Filemon.exe开始对其操作进行记录。记录完毕后分别分别单击Regmon.exe和Filemon.exe工具栏中的“Capture(捕捉)”按钮，此时看到Regmon.exe和Filemon.exe高亮显示的注册表及文件监控结果。

　　图4是Regmon.exe监控的结果，可以看到config.vbs脚本在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中添加

　　"system"="wscript.exe C:\\windows\\config.vbs"自启动项目，双击该监控结果可自动运行注册表编辑器并且定位到该注册表项下。这样我们就知道了病毒脚本对注册表的操作，然后删除该键值即可。(图4)

   

    
    图5是Filemon.exe监控的结果，可以看到该病毒脚本进行了多项操作。通过分析看到其操作有：在每个分区的根目录下创建了config.vbs文件，另外还生成了一个autorun.inf文件及其名为“System Volume Information”的一个快捷方式。此外，在系统C:\Windows\目录下，

　　config.vbs脚本对自身进行了备份。分析完成后，我们双击相应的监控项就会进入对于的磁盘路径，然后可删除恶意脚本创建的文件。(图5)

   

    
    除了可用Regmon.exe、Filemon.exe进行病毒、木马监控了解其运行机制外，这两个工具在软件测试、破解中也非常有用，大家可以挖掘其更多的功用。另外，除了这两个工具外，在Sysinternals Suite还有几个监控工具，Diskmon.exe用于磁盘监控，portmon.exe用于系统中网络端口的监控，Procmon.exe用于进程监控。 　　  4、挑战系统，完成特殊任务

　　微软出于安全性考虑，对系统做了很多限制，比如隐藏某些系统功能、限制用户进行某些操作等等。而作为系统管理员，在系统操作过程中因为某些特殊需求需要挑战系统进行某些非常规操作。对于这样的任务，利用系统自带的工具几乎是不能完成的，而借用Sysinternals Suite工具包的工具就能轻松搞定。其实Sysinternals Suite中工具不也是微软的技术人员基于某些特殊需要，方便自己而开发出来。下面列举几个例子，利用Sysinternals Suite中的工9 7 3 1 2 3 4 8 :