inotify怎么用 sreng怎么用？

sreng怎么用？

建议使用SREng删除掉/编辑/注释注册表启动项目

可以使用SREng删除注册表启动项目

可以打开SREng，排列再点击“启动项目”-“注册表”，列表中会显示注册表中启动信息内容。然后点击你选择需要删掉的项目，然后再直接点击“删出”按钮，弹出对话框删除确认对话框，点击“是”删除，再点“否”能取消。

注：彻底删除注册表启动项目的操作接受Ctrl/Shift按键多选。

可以使用SREng编辑注册表启动项目

打开SREng，顺次排列直接点击“启动项目”-“注册表”，列表中显示注册表中启动信息内容。再点中,选择需要编辑的项目，然后再再点击“编辑”按钮，弹出来编辑对话框，这个可以编辑的内容有“名字”和“值”，编辑能完成后再点击“判断”，放弃可以编辑再点击“可以取消”。

使用SREng注释注册表启动项目

再打开SREng，由前到后再点“启动项目”-“注册表”，列表中没显示注册表中启动时信息内容。点击是需要注释项目前的取消勾选框，去掉勾选即为注释，另外值数据内容前自动添加“;”做标记，该启动项目将不起作用；而且打勾恢复原状，该启动项目重新恢复作用。

注：有些注册表位置下的项目不意见注释操作，诸如：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

otify

那就证明1，SREng会自动启动检查以下位置的值数据如何确定与系统设置成是一样的，假如差别会不提示该值被可以修改为非算正常值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows

Load

Run

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

AppInit_DLLs

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

UIHost

那就证明2，SREng会手动检查一下200以内位置的值数据有无与系统设置完全相同，要是差别会不提示该值被如何修改为非正常了值并问是否需要建议使用SREng自动出现能修复：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell%userinit

不使用SREng可以编辑/删出服务

服务，可分“Win32服务应用程序”和“驱动程序”两部分，对它们的编辑/彻底删除操作类似。

再打开SREng，由前到后再点“启动项目”-“服务”，点击“Win32服务应用程序”或“驱动程序”，弹出新窗口中会显示“Win32服务应用程序”或“驱动程序”的内容。

如果没有取消勾选“刻意隐藏已认证的微软项目”，列表中将追踪认证的微软项目，只列下非微软项目和就没通过认证的微软项目。

建议使用SREng编辑服务吧

这里指如何修改服务的启动类型。再点你选必须编辑时的服务，在下方下拉列表中你选需要变动到的启动类型：

AutoStart：自动启动

ManualStart：手动

Disabled：已自动禁用

驱动程序的启动类型有：BootStart和SystemStart。

点选“直接修改启动时类型”，再直接点击“可以设置”按钮，自动弹出修改确认对话框，再点击“是”再确认，直接点击“否”能取消。

建议使用SREng删除服务

再点击你选需要删除的服务，点选“彻底删除服务”，再直接点击“设置中”按钮，弹出对话框删除确认对话框，直接点击“否”确定，点击“是”或“可以取消”能取消。

注：删除掉服务的确认与常规见过完全不同，请一定要认真确定对话框后再然后点击“是”、“否”、“取消后”按钮避免操作错误。

使用SREng删除浏览器运行程序项

然后打开SREng，顺次排列直接点击“系统修复”-“浏览器运行程序项”，列表中不显示浏览器加载项的内容。直接点击你选要删掉的浏览器加载项，再点击“删出所选内容”，弹出删掉确认对话框，点击“是”最后确认，再点击“否”取消。

注：删出浏览器读取项的操作支持Ctrl/Shift按键多选。

不使用SREng自动禁用浏览器加载项

先打开SREng，排列直接点击“系统修复”-“浏览器读取项”，列表中会显示浏览器加载项的内容。直接点击选择要启用的浏览器程序加载项，然后点击下方“已禁用”打勾框，可以去掉勾选即为自动禁用该浏览器读取项，重新恢复打钩即为禁用该浏览器打开程序项。

不使用SREng修复Winsock

打开SREng，由前到后再点击“系统修复”-“Winsock企业供应者”，列表中总是显示系统Winsock供应者的内容。

相对于被先添加的项目（如病毒再添加）也可以采取什么措施删除操作。直接点击中,选择需要删掉的Winsock项目，再点“删掉所选内容”，弹出来彻底删除确认对话框，再点击“是”再确认，然后点击“否”能取消。

如果不是系统原Winsock供应者内容被覆盖，或是大部分被改，也可以尝试修改密码所有内容为默认值。点击“不重置所有内容为默认值”，提示框重置不能操作的说明及继续操作确定对话框，直接点击“是”再确认，直接点击“否”取消后。

使用SREng通过正确系统修复

可以修复文件关联

先打开SREng，左面点击“系统修复”-“文件关联”，SREng手动检查文件关联正确性并显示结果，“状态”为“错误`”的项目默认，点击中,选择（而选项卡）是需要再修复的项目，直接点击“修复”选择按钮接受再修复。

再修复WindowsShell/IE相关内容

然后打开SREng，排列直接点击“系统修复”-“WindowsShell/IE”，点击你选择（同时打钩）必须能修复的项目，再点“修复”菜单按钮接受能修复。

编辑时/自动重置HOSTS文件

先打开SREng，左面再点击“系统修复”-“HOSTS文件”，下方框中显示当前HOSTS文件中的映射内容。

删掉：然后点击中,选择需要删出的项目，再点击“删掉”按钮，提示框删除确认对话框，然后点击“是”再确认，点击“否”能取消。

编辑时：再点击选择类型不需要可以编辑的项目，再点“编辑器”按钮，弹出编辑对话框，这个可以编辑的有“IP 地址”和“主机名字”，如取消勾选“这是一个注释行”，该行映射前将被添加“#”，泸州银行映射将不起作用；如能去掉该取消勾选，该行映射出可以恢复作用。

新建任务：点击“新建任务”按钮，弹出来编辑对话框，需要需要填写的有“IP 地址”和“主机名字”，如勾选“这是一个注释行”，邮储银行映射前将被添加“#”，重庆农商行映射将不起作用。

修改密码：直接点击“自动重置”，自动弹出重新设定确认对话框，点击“是”去确认，再点击“否”取消。

注：HOSTS文件编辑的话完毕是需要直接点击“能保存”按扭需要保存结果，原HOSTS文件备份于原目录下，文件名格式为：

[原始名字]_SREBACK_[操作时间].[遗留下来扩展名]

有高级修复

打开SREng，依次然后点击“系统修复”-“高级修复”。

手动自动修复级别有两个：我推荐修复级别和兵刃修复级别

游标移到下方为推荐修复级别，可以修复所有已知Windows注册表查找错误。

游标移到上方为付火修复级别，删出系统中所有的策略项。

移动游标选择一个修复级别，再点“自动启动修复”设置按钮通过自动修复。

中级手动可以修复有三个按钮：重新设定Winsock和自动修复安全模式和APIHOOK检查

重置Winsock，请参照建议使用SREng修复Winsock相关内容。

修复安全模式，当安全模式被病毒破坏时，这个可以尝试可以使用此修复功能。

APIHOOK检查，请见在用SREng并且APIHook检查相关内容。

使用SREng接受APIHook检查

SREng运行时会自动启动检查APIHook，如果没有全面检查到问题会以屏幕右下角气泡提示框会显示。

手动再打开APIHook检查：先打开SREng，顺次排列点击“系统修复”-“低级修复”，再点“初级不自动修复”处的“API HOOK检查”按钮，屏幕右下角将弹出来气泡不显示API Hook信息。直接点击自动弹出气泡窗口中的“查找具体点”按钮，提示框“API Hook检测详细信息”窗口，会显示具体点的APIHook信息，点击“可以修复入口点错误”菜单按钮可以不选择还原入口点出错类型的API。

注：API Hook修复功能只关于修改〈专利法〉的决定当前SREng进程，假如再修复以后再再打开SREng，则肯定会见到APIHook的提示信息。

更多关于APIHook和APIHook

不使用SREng通过智能扫描

然后打开SREng，直接点击“智能扫描”，打勾不需要扫描后的项目（默认为ctrl a），然后点击“扫描后”设置按钮开始扫描后。

系统扫描能够完成后出现“详细报告”对话框，再点“存放报告”菜单按钮需要保存扫描仪报告为LOG文件，默认文件名：SREngLOG.LOG。

linux平台下数据文件被误删后，如何及时得知并进行恢复？

我这里可以提供一个思路，详细实现方法楼主可以自己实现程序。

一.咋及时处理得到消息文件被删

在Linux下面一个文件监控工具inotify-tools，通过命令完全安装即可

#yuminstallinotify-tools

inotify-tools它提供两种工具，一是inotifywait，它是用处监控设备文件或目录的变化，二是inotifywatch，它是单独统计文件系统ftp访问的次数。

在我们今天讨论的议题里面我们不使用inotifywait，只需要监控inotifywait的move和delete事件，假如发生了这两个事件代表文件被删了，后再发送短信或者邮件告警，这样就可以不打探出文件被删除掉了。

二.怎摸参与赶快的恢复，有好几种办法。

a).要是是文件被删除，但是它还被其他进程然后打开着，是可以这样的话一段时间。

#lsof|grep/path/to/file

特别注意第二列的数字是5559，第四列的数字是22。复原该文件的命令如下:

#cp/proc/5559/fd/22

b).要是lsof一直找不到你的文件，这样把分区设为只读或者程序卸载分区

#mount-oremount,ro/dev/partition

或是

#umount/dev/partition

这里的/dev/partition是指你的数据盘，的或/dev/sda2或则sdb1等等，这时候你是可以用追加命令把整个数据盘系统备份不出来。

#ddbs4Mif/dev/partition

这个时候可以不用extundelete，它可以是对某一个分区接受全量的恢复。要是extundelete都又不能可以恢复你的文件，那么你也可以不一段时间用debugfs，每一个工具都可以不发动了攻击很小的篇幅来讨论，楼主这个可以自己去理论和实践或则打听一下我的文章，有机会我写一个详细点点的。