星期二, 1月 06, 2009

[Linux]registry-tools

由於太座的大意,使得 NB 中了 USB 病毒,而小紅傘解不掉。我知道進 Linux 以後就能把 USB 病毒埋的檔案砍掉,但砍了再砍,重開機進 Windows 以後,病毒還是繼續作怪,看來,病毒還是有埋我不知道的暗樁。
Registry 裡面有兩個機碼 Run 跟 RunOnce,在每次開機、登入時,都會去執行這裡有指定的程式。

本來不奢求 Linux 有工具可以存取 Windows Registry 的,沒想到用 apt-cache 一找,還真的有,這個套件叫做 registry-tools。
套件提供了 regshell、regpatch、regdiff、regtree 這幾個工具,可以讓你存取 Windows Registry。
但 Windows Registry 檔案在哪裡呢?Windows 2000 以後,HKEY_CURRENT_USER 改放到使用者的 Home 目錄下,也就是 c:\documents and settings\your_name\ntuser.dat
所以只要進 Linux,把 Windows 分割區掛載起來,用 regshell -f ntuser.dat 開啟以後就可以對 Registry 操作了。
regshell 的命令列介面也不難,基本上就是 cd、ls、rm 這幾個,用 help 可以看詳細的指令列表,這裡不多說了。
總之切到 Software\Microsoft\Windows\CurrentVersion\Run 跟 Software\Microsoft\Windows\CurrentVersion\RunOnce 下把一些奇怪的項目刪掉以後,就大功告成了。

沒有留言: