一、注冊表的備份
（1）直接將注冊表文件System.dat和User.dat拷貝到硬盤指定的目錄下或直接拷貝到軟盤上作為備份。恢復時將該備份替換覆蓋回原處即可。
（2）利用Windows自帶regedit備份注冊表。
（3）利用Windows95自帶的緊急事故恢復工具(Emergency Recovery Utility)，僅適合Windows 9x系統(tǒng)。
（4）利用Ghost工具備份整個系統(tǒng)。

　　注冊表與系統(tǒng)的備份相當重要，在你嘗試一個新的軟件時，建議你先備份一下注冊表，這樣在必要時可分析出安裝程序在注冊表里做的標志。

二、監(jiān)視工具

（1）注冊表"監(jiān)視員"Regmon

　　Regmon（Registry Monitor）是一個出色的注冊表數(shù)據(jù)庫實時監(jiān)視軟件，它將與注冊表數(shù)據(jù)庫相關(guān)的一切操作（如讀取、修改、出錯信息等）全部記錄下來以供用戶參考，并允許用戶對記錄的信息進行保存、過濾、查找等處理，這就為用戶對系統(tǒng)的維護提供了極大的便利r。

（2）注冊表監(jiān)視器Regsnap

　　RegSnap是一個專門用于比較Windows注冊表及系統(tǒng)啟動設(shè)置文件變化的工具。Regsnap的原理非常簡單：在需要的時候，通過"File/New"菜單或工具條按鈕將當前注冊表及相關(guān)內(nèi)容保存到擴展名為rgs的文件中（如在安裝新軟件之前和軟件安裝結(jié)束后分別保存一次），然后通過"File/Compare"菜單比較這兩個文件，Regsnap就會詳細地報告注冊表及與系統(tǒng)有關(guān)的其他內(nèi)容的變化情況。
　　Regsnap對系統(tǒng)的比較報告非常具體。對注冊表可報告修改了哪些鍵，修改前、后的值各是多少；增加和刪除了哪些鍵以及這些鍵的值。報告結(jié)果既可以以純文本的方式，也可以html網(wǎng)頁的方式顯示，非常便于查看。
　　除系統(tǒng)注冊表以外，Regsnap還可以報告系統(tǒng)的其他情況：Windows的系統(tǒng)目錄（缺省是c:/Windows）和系統(tǒng)的system子目錄下文件的變化情況，包括刪除、替換、增加了哪些文件；Windows的系統(tǒng)配置文件win.ini和system.ini的變化情況，包括刪除、修改和增加了哪些內(nèi)容；自動批處理文件autoexec.bat是否被修改過。

（3）注冊表監(jiān)視器RegShot

　　RegShot是一個國產(chǎn)免費軟件，作者是TiANWEi。這個軟件可以比較注冊及系統(tǒng)配制文件的變化。它的原理是在運行該軟件之前作個記錄，在運行它之后作個記錄，比較二者的差別。

（4） 文件監(jiān)視器FileMon

　　FileMon是Sysinternals推出的一款自由軟件，適用于Windows NT/2000和Windows 95/98/ME系列平臺。憑著它的強大功能，用戶可以了解系統(tǒng)的工作情況、可查看應用程序的文件和DLL庫的使用情況，甚至還可以捕捉到底層文件訪問的各種細節(jié)所在。而且當文件的讀寫等事件發(fā)生的時候，F(xiàn)ileMon還能精確記錄下這些事件的發(fā)生時刻、持續(xù)時間以及操作結(jié)果等重要數(shù)據(jù)，因此，F(xiàn)ileMon便成了分析人員們必備的工具之一。

(編輯：天命孤獨)