sreng怎么用？建議使用SREng刪除掉/編輯/注釋注冊(cè)表啟動(dòng)項(xiàng)目可以使用SREng刪除注冊(cè)表啟動(dòng)項(xiàng)目可以打開(kāi)SREng，排列再點(diǎn)擊“啟動(dòng)項(xiàng)目”-“注冊(cè)表”，列表中會(huì)顯示注冊(cè)表中啟動(dòng)信息內(nèi)容。然后點(diǎn)

sreng怎么用？

建議使用SREng刪除掉/編輯/注釋注冊(cè)表啟動(dòng)項(xiàng)目

可以使用SREng刪除注冊(cè)表啟動(dòng)項(xiàng)目

可以打開(kāi)SREng，排列再點(diǎn)擊“啟動(dòng)項(xiàng)目”-“注冊(cè)表”，列表中會(huì)顯示注冊(cè)表中啟動(dòng)信息內(nèi)容。然后點(diǎn)擊你選擇需要?jiǎng)h掉的項(xiàng)目，然后再直接點(diǎn)擊“刪出”按鈕，彈出對(duì)話框刪除確認(rèn)對(duì)話框，點(diǎn)擊“是”刪除，再點(diǎn)“否”能取消。

注：徹底刪除注冊(cè)表啟動(dòng)項(xiàng)目的操作接受Ctrl/Shift按鍵多選。

可以使用SREng編輯注冊(cè)表啟動(dòng)項(xiàng)目

打開(kāi)SREng，順次排列直接點(diǎn)擊“啟動(dòng)項(xiàng)目”-“注冊(cè)表”，列表中顯示注冊(cè)表中啟動(dòng)信息內(nèi)容。再點(diǎn)中,選擇需要編輯的項(xiàng)目，然后再再點(diǎn)擊“編輯”按鈕，彈出來(lái)編輯對(duì)話框，這個(gè)可以編輯的內(nèi)容有“名字”和“值”，編輯能完成后再點(diǎn)擊“判斷”，放棄可以編輯再點(diǎn)擊“可以取消”。

使用SREng注釋注冊(cè)表啟動(dòng)項(xiàng)目

再打開(kāi)SREng，由前到后再點(diǎn)“啟動(dòng)項(xiàng)目”-“注冊(cè)表”，列表中沒(méi)顯示注冊(cè)表中啟動(dòng)時(shí)信息內(nèi)容。點(diǎn)擊是需要注釋項(xiàng)目前的取消勾選框，去掉勾選即為注釋?zhuān)硗庵禂?shù)據(jù)內(nèi)容前自動(dòng)添加“;”做標(biāo)記，該啟動(dòng)項(xiàng)目將不起作用；而且打勾恢復(fù)原狀，該啟動(dòng)項(xiàng)目重新恢復(fù)作用。

注：有些注冊(cè)表位置下的項(xiàng)目不意見(jiàn)注釋操作，諸如：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

otify

那就證明1，SREng會(huì)自動(dòng)啟動(dòng)檢查以下位置的值數(shù)據(jù)如何確定與系統(tǒng)設(shè)置成是一樣的，假如差別會(huì)不提示該值被可以修改為非算正常值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows

Load

Run

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

AppInit_DLLs

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

UIHost

那就證明2，SREng會(huì)手動(dòng)檢查一下200以?xún)?nèi)位置的值數(shù)據(jù)有無(wú)與系統(tǒng)設(shè)置完全相同，要是差別會(huì)不提示該值被如何修改為非正常了值并問(wèn)是否需要建議使用SREng自動(dòng)出現(xiàn)能修復(fù)：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell%userinit

不使用SREng可以編輯/刪出服務(wù)

服務(wù)，可分“Win32服務(wù)應(yīng)用程序”和“驅(qū)動(dòng)程序”兩部分，對(duì)它們的編輯/徹底刪除操作類(lèi)似。

再打開(kāi)SREng，由前到后再點(diǎn)“啟動(dòng)項(xiàng)目”-“服務(wù)”，點(diǎn)擊“Win32服務(wù)應(yīng)用程序”或“驅(qū)動(dòng)程序”，彈出新窗口中會(huì)顯示“Win32服務(wù)應(yīng)用程序”或“驅(qū)動(dòng)程序”的內(nèi)容。

如果沒(méi)有取消勾選“刻意隱藏已認(rèn)證的微軟項(xiàng)目”，列表中將追蹤認(rèn)證的微軟項(xiàng)目，只列下非微軟項(xiàng)目和就沒(méi)通過(guò)認(rèn)證的微軟項(xiàng)目。

建議使用SREng編輯服務(wù)吧

這里指如何修改服務(wù)的啟動(dòng)類(lèi)型。再點(diǎn)你選必須編輯時(shí)的服務(wù)，在下方下拉列表中你選需要變動(dòng)到的啟動(dòng)類(lèi)型：

AutoStart：自動(dòng)啟動(dòng)

ManualStart：手動(dòng)

Disabled：已自動(dòng)禁用

驅(qū)動(dòng)程序的啟動(dòng)類(lèi)型有：BootStart和SystemStart。

點(diǎn)選“直接修改啟動(dòng)時(shí)類(lèi)型”，再直接點(diǎn)擊“可以設(shè)置”按鈕，自動(dòng)彈出修改確認(rèn)對(duì)話框，再點(diǎn)擊“是”再確認(rèn)，直接點(diǎn)擊“否”能取消。

建議使用SREng刪除服務(wù)

再點(diǎn)擊你選需要?jiǎng)h除的服務(wù)，點(diǎn)選“徹底刪除服務(wù)”，再直接點(diǎn)擊“設(shè)置中”按鈕，彈出對(duì)話框刪除確認(rèn)對(duì)話框，直接點(diǎn)擊“否”確定，點(diǎn)擊“是”或“可以取消”能取消。

注：刪除掉服務(wù)的確認(rèn)與常規(guī)見(jiàn)過(guò)完全不同，請(qǐng)一定要認(rèn)真確定對(duì)話框后再然后點(diǎn)擊“是”、“否”、“取消后”按鈕避免操作錯(cuò)誤。

使用SREng刪除瀏覽器運(yùn)行程序項(xiàng)

然后打開(kāi)SREng，順次排列直接點(diǎn)擊“系統(tǒng)修復(fù)”-“瀏覽器運(yùn)行程序項(xiàng)”，列表中不顯示瀏覽器加載項(xiàng)的內(nèi)容。直接點(diǎn)擊你選要?jiǎng)h掉的瀏覽器加載項(xiàng)，再點(diǎn)擊“刪出所選內(nèi)容”，彈出刪掉確認(rèn)對(duì)話框，點(diǎn)擊“是”最后確認(rèn)，再點(diǎn)擊“否”取消。

注：刪出瀏覽器讀取項(xiàng)的操作支持Ctrl/Shift按鍵多選。

不使用SREng自動(dòng)禁用瀏覽器加載項(xiàng)

先打開(kāi)SREng，排列直接點(diǎn)擊“系統(tǒng)修復(fù)”-“瀏覽器讀取項(xiàng)”，列表中會(huì)顯示瀏覽器加載項(xiàng)的內(nèi)容。直接點(diǎn)擊選擇要啟用的瀏覽器程序加載項(xiàng)，然后點(diǎn)擊下方“已禁用”打勾框，可以去掉勾選即為自動(dòng)禁用該瀏覽器讀取項(xiàng)，重新恢復(fù)打鉤即為禁用該瀏覽器打開(kāi)程序項(xiàng)。

不使用SREng修復(fù)Winsock

打開(kāi)SREng，由前到后再點(diǎn)擊“系統(tǒng)修復(fù)”-“Winsock企業(yè)供應(yīng)者”，列表中總是顯示系統(tǒng)Winsock供應(yīng)者的內(nèi)容。

相對(duì)于被先添加的項(xiàng)目（如病毒再添加）也可以采取什么措施刪除操作。直接點(diǎn)擊中,選擇需要?jiǎng)h掉的Winsock項(xiàng)目，再點(diǎn)“刪掉所選內(nèi)容”，彈出來(lái)徹底刪除確認(rèn)對(duì)話框，再點(diǎn)擊“是”再確認(rèn)，然后點(diǎn)擊“否”能取消。

如果不是系統(tǒng)原Winsock供應(yīng)者內(nèi)容被覆蓋，或是大部分被改，也可以嘗試修改密碼所有內(nèi)容為默認(rèn)值。點(diǎn)擊“不重置所有內(nèi)容為默認(rèn)值”，提示框重置不能操作的說(shuō)明及繼續(xù)操作確定對(duì)話框，直接點(diǎn)擊“是”再確認(rèn)，直接點(diǎn)擊“否”取消后。

使用SREng通過(guò)正確系統(tǒng)修復(fù)

可以修復(fù)文件關(guān)聯(lián)

先打開(kāi)SREng，左面點(diǎn)擊“系統(tǒng)修復(fù)”-“文件關(guān)聯(lián)”，SREng手動(dòng)檢查文件關(guān)聯(lián)正確性并顯示結(jié)果，“狀態(tài)”為“錯(cuò)誤`”的項(xiàng)目默認(rèn)，點(diǎn)擊中,選擇（而選項(xiàng)卡）是需要再修復(fù)的項(xiàng)目，直接點(diǎn)擊“修復(fù)”選擇按鈕接受再修復(fù)。

再修復(fù)WindowsShell/IE相關(guān)內(nèi)容

然后打開(kāi)SREng，排列直接點(diǎn)擊“系統(tǒng)修復(fù)”-“WindowsShell/IE”，點(diǎn)擊你選擇（同時(shí)打鉤）必須能修復(fù)的項(xiàng)目，再點(diǎn)“修復(fù)”菜單按鈕接受能修復(fù)。

編輯時(shí)/自動(dòng)重置HOSTS文件

先打開(kāi)SREng，左面再點(diǎn)擊“系統(tǒng)修復(fù)”-“HOSTS文件”，下方框中顯示當(dāng)前HOSTS文件中的映射內(nèi)容。

刪掉：然后點(diǎn)擊中,選擇需要?jiǎng)h出的項(xiàng)目，再點(diǎn)擊“刪掉”按鈕，提示框刪除確認(rèn)對(duì)話框，然后點(diǎn)擊“是”再確認(rèn)，點(diǎn)擊“否”能取消。

編輯時(shí)：再點(diǎn)擊選擇類(lèi)型不需要可以編輯的項(xiàng)目，再點(diǎn)“編輯器”按鈕，彈出編輯對(duì)話框，這個(gè)可以編輯的有“IP 地址”和“主機(jī)名字”，如取消勾選“這是一個(gè)注釋行”，該行映射前將被添加“#”，瀘州銀行映射將不起作用；如能去掉該取消勾選，該行映射出可以恢復(fù)作用。

新建任務(wù)：點(diǎn)擊“新建任務(wù)”按鈕，彈出來(lái)編輯對(duì)話框，需要需要填寫(xiě)的有“IP 地址”和“主機(jī)名字”，如勾選“這是一個(gè)注釋行”，郵儲(chǔ)銀行映射前將被添加“#”，重慶農(nóng)商行映射將不起作用。

修改密碼：直接點(diǎn)擊“自動(dòng)重置”，自動(dòng)彈出重新設(shè)定確認(rèn)對(duì)話框，點(diǎn)擊“是”去確認(rèn)，再點(diǎn)擊“否”取消。

注：HOSTS文件編輯的話完畢是需要直接點(diǎn)擊“能保存”按扭需要保存結(jié)果，原HOSTS文件備份于原目錄下，文件名格式為：

[原始名字]_SREBACK_[操作時(shí)間].[遺留下來(lái)擴(kuò)展名]

有高級(jí)修復(fù)

打開(kāi)SREng，依次然后點(diǎn)擊“系統(tǒng)修復(fù)”-“高級(jí)修復(fù)”。

手動(dòng)自動(dòng)修復(fù)級(jí)別有兩個(gè)：我推薦修復(fù)級(jí)別和兵刃修復(fù)級(jí)別

游標(biāo)移到下方為推薦修復(fù)級(jí)別，可以修復(fù)所有已知Windows注冊(cè)表查找錯(cuò)誤。

游標(biāo)移到上方為付火修復(fù)級(jí)別，刪出系統(tǒng)中所有的策略項(xiàng)。

移動(dòng)游標(biāo)選擇一個(gè)修復(fù)級(jí)別，再點(diǎn)“自動(dòng)啟動(dòng)修復(fù)”設(shè)置按鈕通過(guò)自動(dòng)修復(fù)。

中級(jí)手動(dòng)可以修復(fù)有三個(gè)按鈕：重新設(shè)定Winsock和自動(dòng)修復(fù)安全模式和APIHOOK檢查

重置Winsock，請(qǐng)參照建議使用SREng修復(fù)Winsock相關(guān)內(nèi)容。

修復(fù)安全模式，當(dāng)安全模式被病毒破壞時(shí)，這個(gè)可以嘗試可以使用此修復(fù)功能。

APIHOOK檢查，請(qǐng)見(jiàn)在用SREng并且APIHook檢查相關(guān)內(nèi)容。

使用SREng接受APIHook檢查

SREng運(yùn)行時(shí)會(huì)自動(dòng)啟動(dòng)檢查APIHook，如果沒(méi)有全面檢查到問(wèn)題會(huì)以屏幕右下角氣泡提示框會(huì)顯示。

手動(dòng)再打開(kāi)APIHook檢查：先打開(kāi)SREng，順次排列點(diǎn)擊“系統(tǒng)修復(fù)”-“低級(jí)修復(fù)”，再點(diǎn)“初級(jí)不自動(dòng)修復(fù)”處的“API HOOK檢查”按鈕，屏幕右下角將彈出來(lái)氣泡不顯示API Hook信息。直接點(diǎn)擊自動(dòng)彈出氣泡窗口中的“查找具體點(diǎn)”按鈕，提示框“API Hook檢測(cè)詳細(xì)信息”窗口，會(huì)顯示具體點(diǎn)的APIHook信息，點(diǎn)擊“可以修復(fù)入口點(diǎn)錯(cuò)誤”菜單按鈕可以不選擇還原入口點(diǎn)出錯(cuò)類(lèi)型的API。

注：API Hook修復(fù)功能只關(guān)于修改〈專(zhuān)利法〉的決定當(dāng)前SREng進(jìn)程，假如再修復(fù)以后再再打開(kāi)SREng，則肯定會(huì)見(jiàn)到APIHook的提示信息。

更多關(guān)于APIHook和APIHook

不使用SREng通過(guò)智能掃描

然后打開(kāi)SREng，直接點(diǎn)擊“智能掃描”，打勾不需要掃描后的項(xiàng)目（默認(rèn)為ctrl a），然后點(diǎn)擊“掃描后”設(shè)置按鈕開(kāi)始掃描后。

系統(tǒng)掃描能夠完成后出現(xiàn)“詳細(xì)報(bào)告”對(duì)話框，再點(diǎn)“存放報(bào)告”菜單按鈕需要保存掃描儀報(bào)告為L(zhǎng)OG文件，默認(rèn)文件名：SREngLOG.LOG。

linux平臺(tái)下數(shù)據(jù)文件被誤刪后，如何及時(shí)得知并進(jìn)行恢復(fù)？

我這里可以提供一個(gè)思路，詳細(xì)實(shí)現(xiàn)方法樓主可以自己實(shí)現(xiàn)程序。

一.咋及時(shí)處理得到消息文件被刪

在Linux下面一個(gè)文件監(jiān)控工具inotify-tools，通過(guò)命令完全安裝即可

#yuminstallinotify-tools

inotify-tools它提供兩種工具，一是inotifywait，它是用處監(jiān)控設(shè)備文件或目錄的變化，二是inotifywatch，它是單獨(dú)統(tǒng)計(jì)文件系統(tǒng)ftp訪問(wèn)的次數(shù)。

在我們今天討論的議題里面我們不使用inotifywait，只需要監(jiān)控inotifywait的move和delete事件，假如發(fā)生了這兩個(gè)事件代表文件被刪了，后再發(fā)送短信或者郵件告警，這樣就可以不打探出文件被刪除掉了。

二.怎摸參與趕快的恢復(fù)，有好幾種辦法。

a).要是是文件被刪除，但是它還被其他進(jìn)程然后打開(kāi)著，是可以這樣的話一段時(shí)間。

#lsof|grep/path/to/file

特別注意第二列的數(shù)字是5559，第四列的數(shù)字是22。復(fù)原該文件的命令如下:

#cp/proc/5559/fd/22

b).要是lsof一直找不到你的文件，這樣把分區(qū)設(shè)為只讀或者程序卸載分區(qū)

#mount-oremount,ro/dev/partition

或是

#umount/dev/partition

這里的/dev/partition是指你的數(shù)據(jù)盤(pán)，的或/dev/sda2或則sdb1等等，這時(shí)候你是可以用追加命令把整個(gè)數(shù)據(jù)盤(pán)系統(tǒng)備份不出來(lái)。

#ddbs4Mif/dev/partition

這個(gè)時(shí)候可以不用extundelete，它可以是對(duì)某一個(gè)分區(qū)接受全量的恢復(fù)。要是extundelete都又不能可以恢復(fù)你的文件，那么你也可以不一段時(shí)間用debugfs，每一個(gè)工具都可以不發(fā)動(dòng)了攻擊很小的篇幅來(lái)討論，樓主這個(gè)可以自己去理論和實(shí)踐或則打聽(tīng)一下我的文章，有機(jī)會(huì)我寫(xiě)一個(gè)詳細(xì)點(diǎn)點(diǎn)的。