注册表作为一项关键的系统数据文件，系统无时不刻不在读和写。病毒当然也不例外，也爱上了它。所以了解注册表对于防预病毒和杀病毒有很好的作用。

    首先我们了解下病毒喜欢的位置，具体可以参见《window注册表中几个关键的地方》一节。

     然后我们使用注册表的权限和审计功能来实现对注册表的防护与跟踪，具体操作如下：

    权限的设置：

    （1）在本地安全策略中的审核策略中启用审核项（根据需求）：成功或失败

    （2）选择要设置权限的注册表分支，右键先择权限，然后加上一个everyone用户群上去，点everyone的高级，对everyone的权限给予读取权限，并设置拒绝的项：修改、删除、设置、写入。这是防改写，以防病毒在系统启动时自动运行。

   （3）接（2）的同一面版中的审核标签项，添加everyone用户群，在出现的审核项里选择要审核的内容，如设置、写入等（成功或失败），具体根据要求，对病毒来说最有可能就是写入、设置等工作。

  （4）使用事件查看器中的全安性功能查看注册表的审核记录-----对事件双击即可看到详细信息。（这可以发现病毒插入或感染的文件，然后结合冰剑软件进行分析）

   当然本方法还可以用到文件夹，像Internet Iexplorer 等病毒常进的文件夹。但要注意权限的设置。否则不小心系统启动不了呵！~

    以上方法不一定能查所有的病毒，但有这也是系统安全设置的内容，对系统有一定的加固作用。

本文出自 “aiu46” 博客，请务必保留此出处http://youlu890.blog.51cto.com/71134/16448