Что изменило реестр: ищем виновника и причину

5 инструментов для мониторинга изменений реестра в windows

Удаление программ в Reg Organizer

При помощи программы Reg Organizer можно будет удалять программы с компьютера, а также отслеживать установку новых программ на компьютер. Удаление программ будет производиться с помощью технологии Full Uninstall.

Далеко не все программы, при удалении с помощью собственного деинсталлятора, полностью удаляют свои следы с компьютера. Программа уже удалена, а на компьютере все равно остаются ее данные: папки, файлы, записи в реестре и т. п.

Для удаления программы с компьютера при помощи Reg Organizer, нужно будет нажать на кнопку «Удаление программ». После этого откроется окно «Удаление программ». В этом окне выделите программу, которую вам необходимо будет удалить со своего компьютера.

После сканирования, в верхней части окна будет отражена информация об удаляемой программе, а также о следах программы в системе.

Вы можете посмотреть на следы данной программы в системе, если нажмете на ссылку «Показать все следы». В окне «Следы программы в системе», во вкладках «Реестр» и «Файловая система», вы можете посмотреть на следы, которые имеет данная программа в операционной системе.

Для удаления программы с компьютера, кликните правой кнопкой мыши по выбранной программе, а в контекстном меню выберите пункт «Удалить».

Далее будет запущена утилита деинсталляции данной программы. После удаления программы, Reg Organizer будет искать следы удаленной программы, оставшиеся на компьютере. В завершении, вам будет предложено удалить со своего компьютера найденные данные.

Как отследить изменения в реестре Windows

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.

↑ Как отследить изменения в реестре Windows

Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.

Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2. Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

chcp 1251

fc D:/1.reg D:/2.reg > D:/compare.log

Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог. Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

↑ Regshot

Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить». Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего). Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

↑ Registry Live Watch

Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом. Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

↑ CRegistry Comparison

Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его. Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.

Скачать утилиты можно по ссылкам:

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

Как использовать Process Explorer для поиска ключей реестра, которые меняют настройки

Настраивая операционную систему мы устанавливаем флажок или меняем значение раскрывающегося списка, но задумывались ли вы, где на самом деле хранятся эти значения? Многие приложения и практически все настройки Windows хранятся в реестре… где-то.

В сегодняшнем примере мы определим, в каком именно ключе реестра хранится первая настройка Панели задач под названием «Закрепить панель задач», которая должна присутствовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где именно этот параметр хранится в реестре. Вы можете следить за этим конкретным параметром, или вы можете попробовать один из других параметров в том же диалоговом окне — или в любом другом месте, для которого вы хотите найти место в реестре, где он хранится.

Первое, что вам нужно сделать, пытаясь захватить набор данных, — это запустить Process Monitor, а затем изменить настройку. На этом этапе вы можете запретить Process Monitor продолжать регистрацию событий, чтобы список событий не разросся слишком сильно. (Подсказка: в меню «File» для остановки записи событий снимите галочку с опции «Capture Events» или это третий значок слева).

Теперь, когда у нас есть масса данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придётся просматривать. Поскольку мы рассматриваем значение реестра, которое изменяется, нам необходимо выполнить фильтрацию по «RegSetValue», которое Windows использует для фактической установки нового параметра в разделе реестра. Используйте опцию «Include», чтобы показать только эти события.

Теперь ваш список должен быть ограничен только ключами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, какой это может быть раздел реестра. Поскольку мы проверяем параметр «Заблокировать панель задач», а один из настраиваемых разделов реестра содержит в названии слово «Панель задач», это хорошее место для начала. Щёлкните правой кнопкой мыши путь и выберите Jump To («Перейти к месту»).

Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко определить. Взгляните на настройку, а затем посмотрите на ключ. Сейчас настройка включена, а ключ установлен на 0.

Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определённо выбрали правильный параметр, поэтому теперь вы можете видеть, что для параметра TaskbarSizeMove установлено значение 1.

Если вы выбрали неправильное значение, вы не увидите изменений при повторном тестировании настроек. Так что идите и найдите следующий логичный вариант и начните заново.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле «Find what» пишем то, что хотим искать. В «Top-level-keys» выбираем разделы реестра для поиска.

Нажав кнопку «Data Types» вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку «Search only hidden keys«

Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем «Find»

На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

  • —help — Печатает справочное сообщение.
  • —computerName arg — Указывает имя или IP-адрес компьютера для подключения.
  • —navigate arg — Определяет раздел реестра для навигации. Если для этого параметра установлено значение «буфер обмена», то путь берется из буфера обмена.
  • —reopenLocal arg — Восстановить или не открывать ранние локальные окна реестра при запуске Registry Finder (arg: true или false, по умолчанию true).
  • —reopenRemote arg — Восстановить или не открывать ранее удаленные окна реестра (arg: true или false, по умолчанию true).
  • —dataFolder arg — Определяет папку для хранения настроек и отмены истории.
  • —import arg — Импортирует указанный файл .reg в реестр.
  • Работа всегда выполняется в отдельном экземпляре (то есть подразумевается —multiInst).
  • —importSilent Не отображать подтверждение импорта.
  • —multiInst Когда экземпляр Registry Finder уже запущен, запускается новый экземпляр. По умолчанию запущенный экземпляр активируется вместо запуска другого.

Устранение проблем с помощью Process Monitor

На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, слишком много путей, по которым что-то может пойти не так.

Однако мы можем показать, как на самом деле мы использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то вредоносное ПО, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезла.

Каждый раз, когда мы нажимали «Изменить», чтобы удалить её, мы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, она уже была удалена. Вы хотите удалить AwfulApp из списка «Программы и компоненты? ».

Это было бы здорово, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка программ и функций. Пожалуйста, обратитесь к системному администратору».

Первое, что нужно было сделать, это снова попробовать процесс удаления с запущенным Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию Find («Найти») (CTRL+F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым и, к счастью, сработало в первый раз.

Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с программой удаления, но на самом деле их не было в реестре в том месте, которое искала Windows. Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом УСПЕХ для какого-то объекта в HKLM\Software\Wow6432Node.

Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED (доступ запрещён), когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!

Первое, что нужно сделать, — это использовать функцию Jump To («Перейти к»), чтобы найти ключ в реестре и посмотреть.

Конечно же, посмотрите на все эти ключи реестра! Неудивительно, что он до сих пор фигурирует в списке.

Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы посмотреть, остались ли какие-либо файлы, но очевидно, что приложение уже было стёрто с ПК.

Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.

К счастью, удаление сработало немедленно, и теперь список программ удаления стал чистым.

Это лишь некоторые из множества способов использования Process Monitor — это чрезвычайно важная и полезная утилита, освоение которой займёт некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Как сделать резервную копию реестра

Обязательно необходимо сделать бэкап реестра перед внесением правок. Процедура выполняется двумя способами: при помощи функции редактора или с использованием точки восстановления.

При помощи функции «Редактора реестра»

Открываем реестр через команду regedit, нажимаем меню «Файл», далее «Экспорт».

Скриншот №5. Меню «Файл».

Откроется диалоговое окно, в котором указываем наименование резервной копии и выбираем пункт «Весь реестр».

Скриншот №6. Создать резервную копию.

Копия создается в течение 2-3 минут.

Если необходимо восстановить реестр, то в меню «Файл» выбираем раздел «Импорт». Указываем путь к бэкапу, нажимаем открыть. Процесс займет не более 3-4 минут.

Точка восстановления

Второй метод – создание точки отката. Она сохраняет состояние операционной системы на текущий момент, после чего пользователь всегда может вернуться к ней.

Важно! При создании точки восстановления все произведенные после изменения удаляются. Как создать точку отката? Нажимаем «Пуск», вводим строку «Восстановление», выбираем пункт, отмеченный красным на скриншоте

Как создать точку отката? Нажимаем «Пуск», вводим строку «Восстановление», выбираем пункт, отмеченный красным на скриншоте.

Скриншот №7. Выбор раздела «Восстановление».

Откроется новое меню.

Скриншот №8. Свойства системы.

Нажимаем кнопку «Создать». Процесс займет 3-5 минут, после чего точка отката появится в списке. В нее входит копия реестра.

9 ответов

Решение

Может отслеживать изменения реестра, сделанные определенной программой.

ОБНОВЛЕНИЕ: Просто скачайте NirLauncher (который включает в себя все приложения от NirSoft). Это одно из лучших дополнений к вашей панели инструментов Windows. http://launcher.nirsoft.net/

41

2012-12-08 21:12

Process Monitor позволяет отслеживать активность файлов и реестра различных процессов.

46

2008-09-27 21:03

Что касается WMI и реестра:

Существует три класса событий WMI, касающихся реестра:

  • RegistryTreeChangeEvent
  • RegistryKeyChangeEvent
  • RegistryValueChangeEvent

Но вы должны знать об этих ограничениях:

  • С RegistryTreeChangeEvent и RegistryKeyChangeEvent невозможно напрямую определить, какие значения или ключи действительно изменились. Для этого вам нужно сохранить состояние реестра до события и сравнить его с состоянием после события.

  • Вы не можете использовать эти классы с кустами HKEY_CLASSES_ROOT или HKEY_CURRENT_USER. Вы можете преодолеть это, создав класс WMI для представления ключа реестра для мониторинга:

и используйте его с производными классами __InstanceOperationEvent.

Таким образом, использование WMI для мониторинга реестра возможно, но не идеально. Преимущество состоит в том, что можно отслеживать изменения в режиме реального времени. Еще одним преимуществом может быть постоянная подписка на WMI:

метод для мониторинга реестра «в любое время», т.е. событие, если ваше приложение не работает.

12

2008-09-28 14:21

Простой способ сделать это без дополнительных инструментов — экспортировать реестр в текстовый файл перед установкой, а затем экспортировать его в другой файл. Затем сравните два файла.

Сказав это, инструменты Sysinternals отлично подходят для этого.

9

2008-09-27 21:23

Regshot заслуживает упоминания здесь. Он сканирует и делает снимок всех параметров реестра, а затем снова запускает его, чтобы сравнить с исходным снимком, и показывает все ключи и значения, которые были изменены.

4

2016-04-11 15:01

Существует python-hids под названием sobek ( http://code.google.com/p/sobek-hids/), который может отслеживать некоторые части SO. Он отлично работает для моего мониторинга изменений файлов, и хотя документ говорит, что он способен отслеживать изменения реестра, он не работает для меня.

Хорошая часть программного обеспечения для простого развертывания скрытых оболочек на основе Python.

2

2011-11-29 14:56

При использовании виртуальной машины я использую эти шаги для проверки изменений в реестре:

  1. Используя 7-Zip, откройте файл vdi/vhd/vmdk и распакуйте папку C:\Windows\System32\config
  2. Запустите OfflineRegistryView, чтобы преобразовать реестр в открытый текст
    • Установите «Config Folder» в папку, которую вы извлекли
    • Установите «Базовый ключ» на или же
    • Установите для параметра «Subkey Depth» значение «Unlimited».
    • Нажмите кнопку «Перейти»

Теперь используйте вашу любимую программу сравнения, чтобы сравнить снимки «до» и «после».

1

2019-05-04 06:33

Есть несколько разных способов. Если вы хотите сделать это самостоятельно на лету, WMI, вероятно, способ. и его родственники — те, на кого можно посмотреть. Там может быть способ контролировать это через , а также занятия тоже.

1

2008-09-27 22:29

PhiLho попутно упомянул AutoRuns, но я думаю, что это заслуживает уточнения.

Он не сканирует весь реестр, только части, содержащие ссылки на вещи, которые загружаются автоматически (EXE, DLL, драйверы и т. Д.), Что, вероятно, вас интересует. Он не отслеживает изменения, но может экспортировать в текст файл, так что вы можете запустить его до и после установки и сделать diff.

2008-10-11 09:43

Я согласен с Франци, все утилиты Sysinternals стоит посмотреть (автозапуск тоже необходим) и Process Monitor, который заменяет старый добрый Filemon, а Regmon очень ценен.

Помимо того, что вы хотите использовать, очень полезно понять, почему происходит сбой процесса (например, попытка получить доступ к файлу или разделу реестра, который не существует) и т. Д.

2008-09-27 21:14

Снимок реестра с помощью RegShot

RegShot
— небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность
вашей операционной системы

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

  • Снимок — Только снимок
  • Снимок + Сохранить — Снимок и бекап реестра
  • Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл , о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики

В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре — нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.

Отследить изменения в реестре

Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.

Скриншоты программы RegFromApp

Размер файла 107 Кб

Еще интересные программы:

СмартЛомбард – первая российская программа, позволяющая оптимизировать процессы управления ломбардным бизнесом

Понравилась статья? Поделиться с друзьями:
Клуб настройки
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: