В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре - нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.
Отследить изменения в реестре
Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.
Скриншоты программы RegFromApp
|
|
Как сделать снимки реестра Windows для сравнения и отслеживания изменений?
Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.
Как я и обещал, в статье « », этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.
Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.
Что такое реестр Windows?
Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.
Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.
Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.
Отслеживание изменений в реестре
Зачем анализировать реестр и отслеживать изменения?
Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.
Снимок реестра с помощью RegShot
RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.
Скачать RegShot
Скачать программу RegShot бесплатно вы можете по прямой ссылке.
Установка RegShot
После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.
Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.
Настройка и использование RegShot
После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.
Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:
- Снимок — Только снимок
- Снимок + Сохранить — Снимок и бекап реестра
- Открыть — Открыть уже сделанный снимок реестра
Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.
Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.
После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».
Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.
Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.
Во время установки софта отчет будет конечно побольше.
Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.
Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.
Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл , о котором вы просто обязаны знать!
На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики
11.04.2016 9489
Р
еестр Windows
является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она . Эта небольшая портативная утилита от Nirsoft
позволяет производить наблюдение за работой установленных на компьютере программ.
А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в чаще всего завершается ошибкой.
П римечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию , даже на 64-битной системе.
Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок . Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG .
Режима отображения в два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.
Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.
Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.
Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.
Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:
fc D:/1.reg D:/2.reg > D:/compare.log
Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.
Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.
Regshot
Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».
Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).
Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.
Registry Live Watch
Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.
Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.
CRegistry Comparison
Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.
Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.
Regshot: sourceforge.net/projects/regshot
Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html
CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv
Process Monitor: мониторинг реестра
Опытные пользователи со стажем, давно работающие с реестром, хорошо знают программу Regmon, которая отслеживала изменения в реестре в режиме реального времени. Очень часто она использовалась в паре с другой известной утилитой, Filemon. Некоторое время назад авторы этих программ Марк Руссинович (Mark Russinovich) и Брайс Когсуэлл (Bryce Cogswell) объединили обе программы и создали новую утилиту – Process Monitor.
Эту программу нужно обязательно иметь в своем арсенале любому системному администратору и опытному пользователю, которые всерьез изучают реестр.
Скачать программу можно на http://sysinternals.com . После скачивания архива с программой достаточно распаковать этот архив и запустить файл Procmon.exe.
Process Monitor (рис. 5.4) позволяет следить за активностью файловой системы и сети, за доступом к реестру, за процессами и потоками.
Рис. 5.4. Process MonitorЕсли вы попытаетесь отследить с помощью Process Monitor все виды поддерживаемых им событий, вы рискуете буквально утонуть в море информации. Для того чтобы в реальном времени следить за текущей активностью системы, в частности за доступом к реестру следует отфильтровать показываемые в окне программы события, нажав кнопку Show Registry Activity (Показывать активность реестра) на панели инструментов программы.
При необходимости данные, собранные программой, можно сохранять в виде файла. Это очень полезная возможность, так как, если вы хотите проанализировать какие-то события, в режиме реального времени это сделать очень сложно.
В частности, в группе параметров Events to save (События для-сохранения) можно выбирать события, информацию о которых вы хотите сохранить в файл. По умолчанию это – Events displayed using current filter (События, отображаемые с использованием текущего фильтра) . Если вам нужно сохранить все события, информацию о которых накопила программа, выберите опцию All events .
В группе параметров Format (Формат) нужно выбрать формат сохранения данных.
Формат– CSV (Comma Separated Values – данные, разделенные запятыми) позволит открыть сохраненный файл в любом текстовом или табличном редакторе.
Формат PML , который является «родным» форматом Process Monitor, позволяет работать с сохраненными файлами в программе.
Формат XML является универсальным форматом передачи данных.
Из книги Блоги. Новая сфера влияния автора Попов Антон ВалерьевичМониторинг блогосферы Маркетинговые исследования в режиме наблюдения Метки: аудитория, внимание, репутация, мониторингВ последние несколько лет многие бренды теряют контроль над мнениями своих покупателей, а продавцы-консультанты из поставщиков информации
Из книги Мобильный интернет автора Леонтьев Виталий ПетровичSpb GPRS Monitor Страница программы: http://www.spbsoftwarehouse.comСтатус: Shareware, $12В отличие от большинства развитых стран, где обладатели коммуникатора давно уже подключаются к Сети через Wi-Fi, а то и через сети третьего поколения, у нас по-прежнему правит бал мобильный протокол GPRS/EDGE. А это
Из книги Fedora 8 Руководство пользователя автора5.2.1.5. Секции Monitor и Modes В данной секции описывается монитор. Обратите внимание на параметр Identifier, задающий идентификатор монитора (листинг 5.6). В вашем файле конфигурации может быть описано несколько мониторов, но к секции Screen будет определен только один монитор. Чтобы
Из книги ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ВСТРОЕННЫХ СИСТЕМ. Общие требования к разработке и документированию автора Госстандарт России Из книги Документация NetAMS автора Автор неизвестенСервис monitor позволяет осуществлять запись данных из заголовков пакетов, относящихся к указанным юнита. При этом в базе данных сохраняется не только информация о локальном источнике–получателе пакета, размере и времени, но и об удаленной стороне. Таким образом,
Из книги 200 лучших программ для Интернета. Популярный самоучитель автора Краинский Иmonitor monitor to { storage N | file XXXX | netflow IP PORT}no monitor to …monitor unit { N | XXXX }no monitor unit { N | XXXX }show
Из книги Тонкости реестра Windows Vista. Трюки и эффекты автора Клименко Роман АлександровичМониторинг Начиная с версии 1120.5 NeTAMS поддерживает мониторинг заданных юнитов для сбора информации по относящемуся к ним трафику. Для включения этой функции необходимо задать сервис monitor и направление вывода статистики. Она может сохраняться как в текстовом файле, так и в
Из книги Язык программирования С# 2005 и платформа.NET 2.0. автора Троелсен ЭндрюBandwidth Monitor Pro Производитель: Sindre Helleseth (http://www.bandwidthmonitorpro.com).Статус: коммерческая.Страница для скачивания: http://www.bandwidthmonitorpro.com/download.htm.Размер: 1,4 Мбайт.Разработчики Bandwidth Monitor Pro уделили очень много внимания настройке окна мониторинга трафика (рис. 5.50). Если в BMExtreme его внешний
Из книги Интернет. Новые возможности. Трюки и эффекты автора Баловсяк Надежда Васильевна5.5. Мониторинг реестра Registry Monitor Статус: Freeware.Размер: 271 Кбайт.Разработчик: http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx.Программа не предназначена для внесения в реестр каких-либо изменений. Тем не менее целесообразность ее использования не вызывает сомнений, поскольку она
Из книги SAP R/3 Системное администрирование автора Хагеман СигридRegistry Monitor Статус: Freeware.Размер: 271 Кбайт.Разработчик: http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx.Программа не предназначена для внесения в реестр каких-либо изменений. Тем не менее целесообразность ее использования не вызывает сомнений, поскольку она предоставляет возможность
Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни МСинхронизация с помощью типа System.Threading.Monitor Оператор C# lock на самом деле является лишь ключевым словом, обозначающим использование типа класса System.Threading.Monitor. После обработки компилятором C# контекст блокировки превращается в следующее (вы можете убедиться в этом с помощью
Из книги Linux и UNIX: программирование в shell. Руководство разработчика. автора Тейнсли ДэвидDialUp Monitor Программа DialUp Monitor (http://leo-soft.narod.ru) – удобный многофункциональный инструмент для ведения статистики по модемному подключению. Программа собирает и хранит статистику, а также обладает рядом других возможностей, делающих ее незаменимой при работе в Сети.После
Из книги Анонимность и безопасность в Интернете. От «чайника» к пользователю автора Колисниченко Денис Николаевич Из книги автора15.17.6 Мониторинг NFS Команда nfsstat из Unix выводит сведения о действиях NFS. Подобные команды доступны и в других операционных системах. В представленном ниже примере локальная система работает и как сервер, и как клиент. Ее деятельность в качестве сервера почти незаметна.
Из книги автора Из книги автораП1.2. Программа Process Monitor Очень давно, еще во времена Windows 98, я открыл для себя две очень полезные программы: FileMon и RegMon. Первая программа отображала все операции с файловой системой в реальном времени, то есть позволяла наблюдать, какая программа выполняет те или иные
