Как отслеживать изменения, внесенные в реестр Windows

Реестр является одним из основных компонентов Windows, появление которого восходит к Windows 3.0 (1990 г.). Несмотря на то, что за прошедшие годы он претерпел многочисленные улучшения, системный реестр продолжает широко использоваться даже в самых последних версиях Windows (например, в Windows 7). Как известно, это своего рода «база данных», содержащая большой объем информации, которая регулирует предпочтения и функционирование операционной системы и постепенно устанавливаемых приложений. Принятие реестра позволило разработчикам Microsoft и Windows освободиться от использования исторических файлов с расширением .INI, которые теперь используются гораздо реже, чем в прошлом.

Как часто отмечается, реестр имеет иерархическую структуру, состоящую из ключей, подразделов и значений. Ключи первого уровня состоят из префикса HKEY, который часто сокращается до HK.

На страницах IlSoftware.it мы представили множество инструментов, позволяющих проверять изменения, внесенные не только в файловую систему, но и в содержимое системного реестра.

Вооружитесь немного терпения, такая утилита, как, например, Process Monitor, позволит вам установить с предельной точностью все операции, которые выполняются в вашей системе. Чтобы использовать приложение, просто загрузите его, а затем извлеките содержимое Zip-файла в папку по вашему выбору.

Если дважды щелкнуть файл Procmon.exe, сначала появится пользовательское лицензионное соглашение (которое необходимо принять), а затем следующий экран:

По умолчанию Process Monitor будет исключать, чтобы не отображать в списке целую серию событий, связанных с активностью приложения, а также с операциями, выполняемыми Windows на низком уровне.

Воздействуя на раскрывающиеся меню под фразой «Показать записи, соответствующие этим» (т. е. «Просмотреть элементы, соответствующие следующим критериям»), пользователь может установить пользовательские фильтры. Например, если вы намерены отслеживать только активность приложения ABC.exe, вы можете выбрать пункт Имя процесса в первом меню и ввести ABC.exe в соответствующем поле:

Нажав кнопку «Добавить», а затем кнопку «ОК», Process Monitor ограничится записью операций чтения и записи (как на уровне реестра, так и на уровне файловой системы), выполняемых указанным приложением.

В противном случае, нажав ОК, ничего не указывая, Process Monitor будет отслеживать активность всей системы и всех запущенных приложений постепенно.

Process Monitor — отличное программное обеспечение, потому что оно позволяет узнать интересные вещи о поведении каждой отдельной интересующей программы (более подробная информация доступна в наших статьях).

Чтобы проверить, что происходит «за кулисами», запустив любой софт, есть не только Process Monitor, который следит в режиме реального времени. В качестве альтернативы (или рядом с Process Monitor) вы можете использовать одну из многочисленных утилит, позволяющих автоматически записывать все изменения, внесенные в конфигурацию Windows, а затем предлагать их пользователю в виде итогового отчета. Вот несколько предложений:

Узнайте, что происходит «за кулисами», запустив программное обеспечение
Отслеживание изменений, внесенных процедурами установки программы
Отслеживайте системные изменения с Integra
Как проверить внесенные в систему изменения с помощью ZSoft Uninstaller
Проверяйте системные изменения с помощью Tiny Watcher

Однако есть еще одна очень полезная программа, которая позволяет определить, какие изменения были внесены в конфигурацию реестра Windows, например, за определенный период времени. Его зовут RegScanner, и это одна из многих утилит, разработанных программистом Ниром Софером.

Программа доступна в двух версиях: первая, предназначенная для 32-битных систем Windows, доступна для скачивания нажмите здесь а второй предназначен для тех, у кого 64-битная версия Windows (загружаемая по этой ссылке).

После извлечения файлов, содержащихся в сжатом архиве, размещенный файл .INI можно сохранить в той же папке. в этом зипе. Это файл, который позволяет вам перевести интерфейс RegScanner на итальянский язык.

Дважды щелкнув RegScanner.exe, появится окно, показанное на рисунке:

Работа RegScanner описана здесь. Чтобы получить список всех изменений, внесенных в реестр Windows за определенный период времени, просто выберите «Элемент реестра содержит любое значение» в раскрывающемся меню «Соответствие», а затем установите флажок «Показать только ключи», время изменения которых находится в следующем поле «. Воздействуя на элементы управления ниже, вы можете определить интересующее вас временное окно.

В поле «Сканировать следующие основные ключи» (последнее справа внизу) можно указать основные ветки системного реестра, которые необходимо проверить.

При нажатии на кнопку OK поиск начнется немедленно, и RegScanner предоставит вам полный список вмешательств, примененных за указанный период времени.

Используя меню «Соответствие», можно ограничить поиск определенными словами, значениями DWORD, двоичными файлами или использовать регулярные выражения.

Флажок Исключить следующие ключи из проверки реестра позволяет сделать так, чтобы RegScanner не учитывал содержимое определенных ключей и подразделов (они должны быть введены последовательно, один за другим и разделены запятой).

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.