Как отслеживать изменения, внесенные в реестр Windows

Реестр является одним из основных компонентов Windows, появление которого восходит к Windows 3.0 (1990 г.). Несмотря на то, что за эти годы он претерпел множество усовершенствований, системный реестр продолжает широко использоваться даже в самых последних версиях Windows.
Это своего рода «база данных», которая содержит большое количество информации, регулирующей настройки и функционирование операционной системы и постепенно устанавливаемых приложений.

Реестр имеет иерархическую структуру, состоящую из ключей, подразделов и значений. Ключи верхнего уровня имеют префикс HKEY, который часто сокращается до HK. Программное обеспечение Regedit позволяет открывать системный реестр, проверять и изменять его содержимое.

Взаимодействие с системным реестром доступно не всем, однако знание его фундаментальных аспектов может оказаться полезным во многих ситуациях.
В системном реестре вы можете найти ключи продуктов и лицензионные ключи установленных программ, ссылки на элементы, загруженные в контекстное меню Windows, которые могут вызвать сбой проводника или медленное открытие окна «Открыть и сохранить как», настройки, которые регулируют работу приложения в системе, настройки, которые влияют на поведение Windows и позволяют оптимизировать Windows 11 и ускорить работу Windows 10. И это лишь некоторые из них.

Отслеживайте изменения системного реестра с помощью Process Monitor

Вооружившись небольшим терпением, утилита Microsoft, такая как Монитор процесса помогает установить с предельной точностью все операции, выполняемые в используемой системе, как на уровне файловой системы, так и на уровне реестра.

Для использования приложения просто авторизуйтесь скачать затем извлеките содержимое Zip-файла в папку по вашему выбору (например, C:\Process Monitor).

При двойном щелчке по файлу Procmon.exe появляется пользовательское лицензионное соглашение (которое необходимо принять), а затем экран, аналогичный показанному на рисунке.

По умолчанию Монитор процесса поэтому он исключает и предотвращает отображение целого ряда событий, связанных с активностью самого приложения, а также с операциями, выполняемыми Windows на низком уровне.

Воздействуя на выпадающие меню, расположенные под фразой Отображать записи, соответствующие этим (т.е. «Отображать элементы, которые удовлетворяют следующим критериям»), пользователь имеет возможность установить настраиваемые фильтры.
Например, если вы имели в виду контролировать только деятельностьприложение ABC.exe, вы можете выбрать пункт Имя процесса в первом раскрывающемся меню и ввести ABC.exe в соответствующее поле.

Если выбрать «Включить», затем нажать кнопку «Добавить» и, наконец, «ОК», Process Monitor просто покажет операции чтения и записи (как в реестре, так и на уровне файловой системы), реализованные указанным приложением.

В противном случае, нажав на ОК, ничего не указывая, Process Monitor отслеживает активность всей системы и всех постепенно запускаемых приложений.
Process Monitor — отличное программное обеспечение, потому что оно позволяет вам узнавать интересные вещи о поведении каждой отдельной программы.

Чтобы остановить захват событий, просто нажмите комбинацию клавиш CTRL+E или выберите Файл, Захват событий.
Та же комбинация клавиш или тот же пункт меню позволяет возобновить запись действий, происходящих в системе.

Воздействуя на значки панели инструментов, вы можете заставить Process Monitor отображать, например, только изменения на уровне системного реестра или в файловой системе.

После остановки регистрации событий, нажатием CTRL+X можно отменить все, что ранее было получено Process Monitor и отображено в его окне. Очевидно, что Process Monitor должен быть запущен, и его мониторинг должен быть запущен до того, как программа будет отслеживаться.

Нажав на Фильтр и еще раз на Фильтр, мы предлагаем вам иметь в виду возможность использования фильтр называется RegSetValue.
Выбрав Operation, is, RegSetValue и Include, вы можете попросить Process Monitor ограничить себя отображением только операций модификации, примененных к содержимому системного реестра Windows (не забудьте нажать кнопку «Добавить»).

Обнаружение примененных изменений реестра с помощью RegScanner

Есть и другая программа, менее известная, но очень эффективная, позволяющая определить, какие изменения были внесены в конфигурация реестра ди Виндовс.

Называется RegScanner и может быть загружен с официального сайта разработчика, введя regscanner nirsoft download в поле поиска Google и нажав на первый результат.
В большинстве современных систем Windows 64 бит вам нужно прокрутить всю страницу, а затем нажать на ссылку Download RegScanner for x64.

Двойной щелчок по исполняемому файлу RegScanner.exe открывает экран, аналогичный показанному на рисунке.

Чтобы получить список всех изменений, внесенных в реестр Windows за определенный период времени, вы можете выбрать элемент реестра, содержащий любое значение, в раскрывающемся меню «Соответствие», а затем выбрать параметр «Показать только ключи реестра, измененные в последний…». или Показать только ключи реестра, измененные за указанный период времени.
Таким образом можно восстановить из системного реестра все ключи и значения, измененные за последние секунды, минуты или часы или в течение указанного временного окна.

Нажав на кнопку ОК, RegScanner запускает поиск и выдает полный список вмешательств, примененных за указанный период времени.
По умолчанию RegScanner проверяет основные ключи HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER, в которых обычно сосредоточены изменения, применяемые установленными программами. Однако также можно расширить поиск и на другие ключи в реестре Windows.

Меню «Сопоставление» в конечном итоге позволяет вам ограничить поиск определенными словами, значениями DWORD, двоичными файлами или использовать регулярные выражения.
Поле Исключить следующие ключи из проверки реестра позволяет сделать так, чтобы RegScanner не учитывал содержимое определенных ключей и подразделов: они должны быть введены последовательно, один за другим и разделены запятой.