(以下分割符內的內容，摘自《用Rguard注冊表哨兵堵住Windows9x得后門》 作者：路遠 )

　　用Rguard注冊表哨兵堵住Windows9x得后門

　　 現在，網上治安越來越不好，一不小心就會踏中地雷。一些開后門的軟件日益增多，這些開后門軟件利用了Windows9x的漏洞，在你的系統中為別人留一扇后門，如果你沒有上網，不會感到這有什么；如果你已經上網，就會被別有用心的人利用，你的計算機就成了他人的靶子，隨意受人擺布，不僅物質上受損失，精神上也受打擊，因此，我們應該對這類開后門的軟件有所防范，提高警惕。

　　這類開后門的程序統稱為特洛伊木馬（Trojan horses），雖然功能一樣，但是名稱可能多種多樣，如Back orifice等。為了達到控制你的計算機的目的，它們都要在Windows9x的注冊表中或者啟動文件中作一番手腳，以便在Windows啟動時不知不覺地先運行它。因此，就要經常地監測Windows的各種啟動文件，看看是不是有我們不熟悉的可執行文件，如果感到可疑的話，就要毫不留情的刪除掉，特別是你不熟悉的人通過電子函件Email寄給你的一些軟件，運行后又看不出有什么功能的軟件更要小心。

　　特洛伊木馬程序運行后，根據程序的不同，修改的啟動文件也不同，它們修改的啟動文件有：autoexec.bat、config.sys、wininit.ini、dosstart.bat、system.dat、user.dat、winstart.bat和VXD驅動文件等。如果我們能夠經常監測這些啟動文件的話就能夠發現可疑程序，但是經常對這些文件監測是相當麻煩的，特別是注冊表文件，如果不是高手的話，查找哪些鍵值和字串發生了改變是不可能的。雖然用Regsnap能夠監測到注冊表的改變，但是如果用來監測這類特洛伊木馬程序還是顯得力不從心，因此我們就要尋找能夠專門針對特洛伊木馬程序的特點，即對Windows9x系統文件中進行修改的文件監測的程序。經過本人的搜尋，發現The Registry Run Guard v.2.6（以下簡稱Rguard）專門監測所有的能夠用“Load”、“Runonce”和“Run”等命令和其他方式裝入文件的啟動文件。這些裝入系統的文件，不但包括執行文件，也包括VxD文件，對付這類程序是手到擒來，它們的任何蛛絲馬跡在Rguard的監視下都一覽無余。

　　Rguard是烏克蘭的ANNA Ltd公司出品的一個軟件，http://annaltd.webjump.com/rguard26.html ，下載的rguard26.zip只有220K，解壓縮后就可以安裝到系統中了。Rguard是一個共享軟件，如果沒有注冊，只能當DEMO使用，功能不減，但是只能使用15天。

　　Rguard運行后界面如圖1所示，在圖中我們可以看到，在“Main Option"選項中，可運行時的主界面已選擇RGuard自動檢查的文件，如注冊表文件Registry,配置文件Win.ini，批處理文件有：Autoexec.bat、Config.sys、Dosstart.bat、Winstart.bat，菜單中的“啟動”中的文件。另外，我們也可以在“Advanced Options"高級選項中配置“LOG Format”記錄文件的格式，如圖2。

　　如果你選擇了“Advanced Option "中的“View last record from LOG file after checking" 后，RGyard在Windows啟動后將顯示一個對話框，列出從上次監測到本次開機后的注冊表的修改和變化情況。其它選項為：

　　（1）Add BEGIN/END marks

　　如果選擇了該項，就要在LOG記錄文件中增加下列字串：
　　－=BEGIN OF CHECKING|=－
　　－=END OF CHECKING|=－

　　（2）Add date to BEGIN/END marks

　　如果選擇了該項，就要在LOG記錄文件中增加記錄開始檢查和結束檢查的日期。

　　（3）Add time to BEGIN/END marks

　　如果選擇了該項，就要在LOG記錄文件中增加記錄開始檢查和結束檢查的時間。
　　選擇完成后，就可以退出RGuard，這時你就可以放心地使用軟件了。如果你新安裝的軟件需要重新啟動計算機，計算機重新啟動后，RGuard首先出現圖3，在圖3中你就可以發現你安裝的軟件對系統做了那些修改，點擊“View Changes”，出現圖4。

　　Rguard以不同的顏色表示各個鍵值或者鍵名，其中：紅色的FREE表示這個文件夾沒有包含數據，如Run Once等；紅色的箭頭表示新增加的鍵值；綠色的箭頭表示該鍵值沒有改變，藍色的箭頭表示這個鍵值已經刪除。因此可以根據不同顏色的箭頭了解軟件對系統所作的改變。如果你認為一個軟件是危險的軟件，就可以在RGuard列出軟件對系統的修改表時，選中該項，用“Delete Item”命令把它刪除。如果刪除錯誤的話，也可以利用“Undo"命令恢復已經刪除的鍵值。

　　Rguard檢查的注冊表中的項目為：

　　1. HKEY_USERdefaultsoftwaremicrosoftwindowscurrentVersionRUN項下的各個鍵值和Runonce,Runservice和RunservicesOnce文件夾中的各個項，如果該項下是空的，就用紅色的FREE表示；

　　2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun項下的各個鍵名，這里列出的是Windows啟動后就要運行的執行文件，因此，如果看到這些執行文件有可疑的地方，就要（1）把該鍵名刪除，（2）把該鍵名列出的執行文件刪除；

　　3.HKEY_LOCAL_MACHINESYSTMCURRENTCONTROSETSERVICEVXD項下的各個VXD文件是否改變，這里可以防止特洛伊木馬程序的VXD改頭換面出現。

　　經過以上的檢查，如果沒有發現可疑的地方，就可以確定你的系統是安全的，可以放心地使用計算機，因此利用Rguard注冊表哨兵，為你的計算機站好崗，堵住系統的后門，確保計算機的安全。