注册表是一项很重要的类似Windows系统的内置数据库，里面存放了很多键值关系表的对应。很多木马病毒会通过改注册表的方式来实现自启动，本期小编带您分享使用Procmon工具来监视注册表的改动变化情况。工具/原料more演示软件：Process Monitor v3.53方法/步骤1/9分步阅读

百度一下，从资源网站下载Process Monitor工具。

2/9

解压.zip格式压缩包，找到Process Monitor的ProcMon64.exe的可执行文件。

3/9

打开运行ProcMon64.exe的可执行文件，软件主界面如图所示。

4/9

选择Filter-Filter...。

5/9

过滤出Process Name进程名称，如SharpKeys.exe。

6/9

只过滤出Process Name进程名称为SharpKeys.exe的进程。

7/9

在SharpKey软件添加End键-UP键的映射关系。

8/9

再点击Write to regist按钮，将映射关系写入注册表。

9/9

对比查看Process Monitor工具，可监视查看注册表变化情况。

注意事项

在过滤进程名称需要注意进程名称的后缀，以本Demo演示为例，过滤字符串是SharpKeys.exe而不是SharpKeys。

SHARPKEYS进程注册表注册表监视PROCESS