sreng怎么用？建議使用SREng刪除掉/編輯/注釋注冊表啟動項目可以使用SREng刪除注冊表啟動項目可以打開SREng，排列再點擊“啟動項目”-“注冊表”，列表中會顯示注冊表中啟動信息內(nèi)容。然后點

sreng怎么用？

建議使用SREng刪除掉/編輯/注釋注冊表啟動項目

可以使用SREng刪除注冊表啟動項目

可以打開SREng，排列再點擊“啟動項目”-“注冊表”，列表中會顯示注冊表中啟動信息內(nèi)容。然后點擊你選擇需要刪掉的項目，然后再直接點擊“刪出”按鈕，彈出對話框刪除確認對話框，點擊“是”刪除，再點“否”能取消。

注：徹底刪除注冊表啟動項目的操作接受Ctrl/Shift按鍵多選。

可以使用SREng編輯注冊表啟動項目

打開SREng，順次排列直接點擊“啟動項目”-“注冊表”，列表中顯示注冊表中啟動信息內(nèi)容。再點中,選擇需要編輯的項目，然后再再點擊“編輯”按鈕，彈出來編輯對話框，這個可以編輯的內(nèi)容有“名字”和“值”，編輯能完成后再點擊“判斷”，放棄可以編輯再點擊“可以取消”。

使用SREng注釋注冊表啟動項目

再打開SREng，由前到后再點“啟動項目”-“注冊表”，列表中沒顯示注冊表中啟動時信息內(nèi)容。點擊是需要注釋項目前的取消勾選框，去掉勾選即為注釋，另外值數(shù)據(jù)內(nèi)容前自動添加“;”做標記，該啟動項目將不起作用；而且打勾恢復原狀，該啟動項目重新恢復作用。

注：有些注冊表位置下的項目不意見注釋操作，諸如：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

otify

那就證明1，SREng會自動啟動檢查以下位置的值數(shù)據(jù)如何確定與系統(tǒng)設置成是一樣的，假如差別會不提示該值被可以修改為非算正常值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows

Load

Run

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

AppInit_DLLs

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

UIHost

那就證明2，SREng會手動檢查一下200以內(nèi)位置的值數(shù)據(jù)有無與系統(tǒng)設置完全相同，要是差別會不提示該值被如何修改為非正常了值并問是否需要建議使用SREng自動出現(xiàn)能修復：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell%userinit

不使用SREng可以編輯/刪出服務

服務，可分“Win32服務應用程序”和“驅(qū)動程序”兩部分，對它們的編輯/徹底刪除操作類似。

再打開SREng，由前到后再點“啟動項目”-“服務”，點擊“Win32服務應用程序”或“驅(qū)動程序”，彈出新窗口中會顯示“Win32服務應用程序”或“驅(qū)動程序”的內(nèi)容。

如果沒有取消勾選“刻意隱藏已認證的微軟項目”，列表中將追蹤認證的微軟項目，只列下非微軟項目和就沒通過認證的微軟項目。

建議使用SREng編輯服務吧

這里指如何修改服務的啟動類型。再點你選必須編輯時的服務，在下方下拉列表中你選需要變動到的啟動類型：

AutoStart：自動啟動

ManualStart：手動

Disabled：已自動禁用

驅(qū)動程序的啟動類型有：BootStart和SystemStart。

點選“直接修改啟動時類型”，再直接點擊“可以設置”按鈕，自動彈出修改確認對話框，再點擊“是”再確認，直接點擊“否”能取消。

建議使用SREng刪除服務

再點擊你選需要刪除的服務，點選“徹底刪除服務”，再直接點擊“設置中”按鈕，彈出對話框刪除確認對話框，直接點擊“否”確定，點擊“是”或“可以取消”能取消。

注：刪除掉服務的確認與常規(guī)見過完全不同，請一定要認真確定對話框后再然后點擊“是”、“否”、“取消后”按鈕避免操作錯誤。

使用SREng刪除瀏覽器運行程序項

然后打開SREng，順次排列直接點擊“系統(tǒng)修復”-“瀏覽器運行程序項”，列表中不顯示瀏覽器加載項的內(nèi)容。直接點擊你選要刪掉的瀏覽器加載項，再點擊“刪出所選內(nèi)容”，彈出刪掉確認對話框，點擊“是”最后確認，再點擊“否”取消。

注：刪出瀏覽器讀取項的操作支持Ctrl/Shift按鍵多選。

不使用SREng自動禁用瀏覽器加載項

先打開SREng，排列直接點擊“系統(tǒng)修復”-“瀏覽器讀取項”，列表中會顯示瀏覽器加載項的內(nèi)容。直接點擊選擇要啟用的瀏覽器程序加載項，然后點擊下方“已禁用”打勾框，可以去掉勾選即為自動禁用該瀏覽器讀取項，重新恢復打鉤即為禁用該瀏覽器打開程序項。

不使用SREng修復Winsock

打開SREng，由前到后再點擊“系統(tǒng)修復”-“Winsock企業(yè)供應者”，列表中總是顯示系統(tǒng)Winsock供應者的內(nèi)容。

相對于被先添加的項目（如病毒再添加）也可以采取什么措施刪除操作。直接點擊中,選擇需要刪掉的Winsock項目，再點“刪掉所選內(nèi)容”，彈出來徹底刪除確認對話框，再點擊“是”再確認，然后點擊“否”能取消。

如果不是系統(tǒng)原Winsock供應者內(nèi)容被覆蓋，或是大部分被改，也可以嘗試修改密碼所有內(nèi)容為默認值。點擊“不重置所有內(nèi)容為默認值”，提示框重置不能操作的說明及繼續(xù)操作確定對話框，直接點擊“是”再確認，直接點擊“否”取消后。

使用SREng通過正確系統(tǒng)修復

可以修復文件關聯(lián)

先打開SREng，左面點擊“系統(tǒng)修復”-“文件關聯(lián)”，SREng手動檢查文件關聯(lián)正確性并顯示結(jié)果，“狀態(tài)”為“錯誤`”的項目默認，點擊中,選擇（而選項卡）是需要再修復的項目，直接點擊“修復”選擇按鈕接受再修復。

再修復WindowsShell/IE相關內(nèi)容

然后打開SREng，排列直接點擊“系統(tǒng)修復”-“WindowsShell/IE”，點擊你選擇（同時打鉤）必須能修復的項目，再點“修復”菜單按鈕接受能修復。

編輯時/自動重置HOSTS文件

先打開SREng，左面再點擊“系統(tǒng)修復”-“HOSTS文件”，下方框中顯示當前HOSTS文件中的映射內(nèi)容。

刪掉：然后點擊中,選擇需要刪出的項目，再點擊“刪掉”按鈕，提示框刪除確認對話框，然后點擊“是”再確認，點擊“否”能取消。

編輯時：再點擊選擇類型不需要可以編輯的項目，再點“編輯器”按鈕，彈出編輯對話框，這個可以編輯的有“IP 地址”和“主機名字”，如取消勾選“這是一個注釋行”，該行映射前將被添加“#”，瀘州銀行映射將不起作用；如能去掉該取消勾選，該行映射出可以恢復作用。

新建任務：點擊“新建任務”按鈕，彈出來編輯對話框，需要需要填寫的有“IP 地址”和“主機名字”，如勾選“這是一個注釋行”，郵儲銀行映射前將被添加“#”，重慶農(nóng)商行映射將不起作用。

修改密碼：直接點擊“自動重置”，自動彈出重新設定確認對話框，點擊“是”去確認，再點擊“否”取消。

注：HOSTS文件編輯的話完畢是需要直接點擊“能保存”按扭需要保存結(jié)果，原HOSTS文件備份于原目錄下，文件名格式為：

[原始名字]_SREBACK_[操作時間].[遺留下來擴展名]

有高級修復

打開SREng，依次然后點擊“系統(tǒng)修復”-“高級修復”。

手動自動修復級別有兩個：我推薦修復級別和兵刃修復級別

游標移到下方為推薦修復級別，可以修復所有已知Windows注冊表查找錯誤。

游標移到上方為付火修復級別，刪出系統(tǒng)中所有的策略項。

移動游標選擇一個修復級別，再點“自動啟動修復”設置按鈕通過自動修復。

中級手動可以修復有三個按鈕：重新設定Winsock和自動修復安全模式和APIHOOK檢查

重置Winsock，請參照建議使用SREng修復Winsock相關內(nèi)容。

修復安全模式，當安全模式被病毒破壞時，這個可以嘗試可以使用此修復功能。

APIHOOK檢查，請見在用SREng并且APIHook檢查相關內(nèi)容。

使用SREng接受APIHook檢查

SREng運行時會自動啟動檢查APIHook，如果沒有全面檢查到問題會以屏幕右下角氣泡提示框會顯示。

手動再打開APIHook檢查：先打開SREng，順次排列點擊“系統(tǒng)修復”-“低級修復”，再點“初級不自動修復”處的“API HOOK檢查”按鈕，屏幕右下角將彈出來氣泡不顯示API Hook信息。直接點擊自動彈出氣泡窗口中的“查找具體點”按鈕，提示框“API Hook檢測詳細信息”窗口，會顯示具體點的APIHook信息，點擊“可以修復入口點錯誤”菜單按鈕可以不選擇還原入口點出錯類型的API。

注：API Hook修復功能只關于修改〈專利法〉的決定當前SREng進程，假如再修復以后再再打開SREng，則肯定會見到APIHook的提示信息。

更多關于APIHook和APIHook

不使用SREng通過智能掃描

然后打開SREng，直接點擊“智能掃描”，打勾不需要掃描后的項目（默認為ctrl a），然后點擊“掃描后”設置按鈕開始掃描后。

系統(tǒng)掃描能夠完成后出現(xiàn)“詳細報告”對話框，再點“存放報告”菜單按鈕需要保存掃描儀報告為LOG文件，默認文件名：SREngLOG.LOG。

linux平臺下數(shù)據(jù)文件被誤刪后，如何及時得知并進行恢復？

我這里可以提供一個思路，詳細實現(xiàn)方法樓主可以自己實現(xiàn)程序。

一.咋及時處理得到消息文件被刪

在Linux下面一個文件監(jiān)控工具inotify-tools，通過命令完全安裝即可

#yuminstallinotify-tools

inotify-tools它提供兩種工具，一是inotifywait，它是用處監(jiān)控設備文件或目錄的變化，二是inotifywatch，它是單獨統(tǒng)計文件系統(tǒng)ftp訪問的次數(shù)。

在我們今天討論的議題里面我們不使用inotifywait，只需要監(jiān)控inotifywait的move和delete事件，假如發(fā)生了這兩個事件代表文件被刪了，后再發(fā)送短信或者郵件告警，這樣就可以不打探出文件被刪除掉了。

二.怎摸參與趕快的恢復，有好幾種辦法。

a).要是是文件被刪除，但是它還被其他進程然后打開著，是可以這樣的話一段時間。

#lsof|grep/path/to/file

特別注意第二列的數(shù)字是5559，第四列的數(shù)字是22。復原該文件的命令如下:

#cp/proc/5559/fd/22

b).要是lsof一直找不到你的文件，這樣把分區(qū)設為只讀或者程序卸載分區(qū)

#mount-oremount,ro/dev/partition

或是

#umount/dev/partition

這里的/dev/partition是指你的數(shù)據(jù)盤，的或/dev/sda2或則sdb1等等，這時候你是可以用追加命令把整個數(shù)據(jù)盤系統(tǒng)備份不出來。

#ddbs4Mif/dev/partition

這個時候可以不用extundelete，它可以是對某一個分區(qū)接受全量的恢復。要是extundelete都又不能可以恢復你的文件，那么你也可以不一段時間用debugfs，每一個工具都可以不發(fā)動了攻擊很小的篇幅來討論，樓主這個可以自己去理論和實踐或則打聽一下我的文章，有機會我寫一個詳細點點的。