Сравнение реестра до и после. Как посмотреть изменения в реестре Windows

В одной из статей уже говорилось о том, что в программе Reg Organizer есть функция установки программ с созданием лога изменений, позволяющая отследить все изменения, вносимые в систему при установке какого-либо приложения. При этом будут отслеживаться все изменения, вносимые в реестр, а также на диски компьютера (какие диски будут отслеживаться, определяется настройками программы).

Но отследить вносимые изменения бывает полезно не только при установке новых приложений, но и при работе уже установленных. Такое отслеживание обычно выполняется для просмотра работы какой-либо программы в течение определенного времени. Для этого можно воспользоваться функцией создания и сравнения снимков реестра.

Доступ к функции создания снимков реестра находится в меню «Деинсталлятор приложений». После выбора этого раздела, в открывшемся окне выберите закладку «Снимки реестра» и запустите процедуру, предварительно выполнив требуемые настройки. Настройки позволяют выбрать корневые ключи, которые будут включены в создаваемый снимок. После того, как вы поработаете с исследуемым приложением, запустите эту же процедуру повторно. Любой созданный снимок можно удалить, воспользовавшись третьей процедурой – «Удаление снимков».

Когда есть два или более снимков, можно выполнить их сравнение. На той же закладке «Снимки реестра» есть процедура сравнения. Вам потребуется лишь указать, какие снимки будут сравниваться. Результаты сравнения будут записаны в лог (аналогичный тому, что создается при установке приложений с помощью программы Reg Organizer).

Для просмотра лога сравнения снимков выберите закладку «Логи изменений», где в выпадающем списке выберите требуемый лог. После этого программа выведет изменения, которые записаны в этот файл. Изменения в реестре показываются в виде древовидной структуры (дерево ключей реестра). Кнопка «Развернуть все», расположенная под выпадающим списком, позволяет одновременно развернуть все узлы дерева изменений. С ее помощью можно быстро, за один клик, сделать видимыми все элементы дерева.

Контекстное меню закладки «Изменения в реестре» имеет интересную функцию, позволяющую сохранять выбранный в дереве ключ реестра в файл. Обратите внимание, что будет сохраняться не текущее значение ключа реестра, а то, что записано в логе. В ряде случаев одному сохраняемому ключу будет соответствовать несколько измененных параметров. При сохранении в виде файла каждый параметр будет записываться в отдельный reg-файл, а чтобы не запутаться с ними, эти файлы будут помещаться в одну и ту же папку, имя которой вы можете присвоить при сохранении значений ключа.

Как создать снимок реестра?

Создание и сравнение снимков реестра можно реализовать разными способами. Вы можете использовать утилиту RegShot или новую программу RegistryChangesView, о которой я вам подробно расскажу в этой инструкции.

Снимок реестра с RegistryChangesView

Это небольшая бесплатная программа от известного израильского программиста Nir Sofer. У нас на сайте представлено большое количество инструкций к его программам (одна из них USBDeview).

Утилита предназначена для создания и сравнения снимков реестра. Она может пригодиться при необходимости проследить изменения во время установки нового софта или для анализа вредоносных программ.

Скачать RegistryChangesView

Скачать RegistryChangesView вы можете бесплатно с сайта разработчика. На данный момент интерфейс программы на английском языке, но как и все другие утилиты NirSoft она вскоре будет переведена на Русский язык, и будет доступна для скачивания с официального сайта.

Существуют версии как для 32 , так и для 64 бит. Узнать разрядность вашего компьютера вы можете в панели управления.

Если не получилось выяснить разрядность, то просто попробуйте запустить оба файла. Один из них должен сработать.

Установка RegistryChangesView

Это портабельная утилита, для ее работы не требуется установка. Просто разархивируйте скаченный архив и запустите файл.

Использование RegistryChangesView

После запуска утилиты появится главное окно программы. Первым делом необходимо создать снимок реестра Windows.

Перед созданием снимка можно отметить галочкой необходимые ветки реестра. По умолчанию ветка «SAM’ и ветка «Security» не отмечены.

Создание снимка реестра

Снимки реестра сохраняются в папке программы. Каждый снимок в отдельной папке.

Изменения в реестре вы увидите в главном окне программы.

Изменение в реестре

Правым кликом открывается контекстное меню, в котором можно редактировать, сохранять записи или просматривать ее свойства:

Свойства

В целом это довольно мощный инструмент для создания и сравнения снимков реестра. К сожалению, нет возможности выполнить операцию восстановления непосредственно из Registry Changes View. Это означает, что вы должны будете использовать сам реестр, чтобы восстановить значения или использовать другие сторонние программы.

На этом все. Всем удачи, хорошего настроения и информационной безопасности!

www.spy-soft.net

Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» - до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)

PS: Единственное - внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки - отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).

Отслеживание изменений в реестре программой Regshot

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр - это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр - это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot - небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать RegShot

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

Снимок - Только снимок

Снимок + Сохранить - Снимок и бекап реестра

Открыть - Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Примеры мониторинга системного реестра

Более половины всех пользователей ПК в какой-то момент задумываются об автоматизации настроек своей операционной системы. Всем известно, что в операционных системах Windows централизованным хранилищем для большинства настроек самой системы и установленных приложений является системный реестр. В реестре хранятся сотни тысяч параметров, которые отвечают за различные настройки. Зная, что в разделе HKEY_CURRENT_USER расположены настройки учетной записи пользователя, в HKEY_LOCAL_MACHINE – настройки компьютера, а раздел HKEY_CLASSES_ROOT отвечает за запуск необходимой программы при открытии файла с помощью проводника, область поиска необходимого параметра сокращается, хотя найти нужный параметр все равно очень сложно. Использовать твикеры реестра не рекомендуется, так как они могут записывать в реестре ненужные разделы и параметры, а поиск в интернете ничего не дает. В этом случае вам следует воспользоваться программами, предназначенными для мониторинга реестра. В этой статье речь пойдет о RegShot и Process Monitor – утилите Sysinternals, предназначенной для мониторинга операционной системы Windows, которая в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.

Использование программы RegShot

RegShot – это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения. Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации. Рассмотрим принципы работы этой утилиты на простом примере.

В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:

Загрузите программу, перейдя по следующей ссылке, распакуйте содержимое архива и запустите файл regshot.exe;

Перед тем как вы начнете вносить изменения в настройки браузера, сделайте первый снимок реестра, нажав на кнопку «1й снимок» ;

После того как первый снимок будет сделан, откройте настройки браузера («Сервис» > «Свойства обозревателя» или введите inetcpl.cpl в поле поиска меню «Пуск» или в диалоге «Выполнить» ). Перейдите на вкладку «Дополнительно» , на опции «Подчеркивать ссылки» установите переключатель на «Никогда» и нажмите на кнопку «Применить» ;

Вернитесь в программу RegShot и нажмите на кнопку «2й снимок» для создания снимка реестра с измененным параметром;

Программа RegShot позволяет сохранять изменения реестра в текстовый и в HTML форматы. Для того чтобы выбрать формат отчетов, установите переключатель на нужной опции в разделе «Сохранить файл отчетов как:» .

В утилите RegShot вы можете также указать путь для сохранения файлов. Для этого введите путь вручную в поле «Путь для сохранения» или воспользуйтесь кнопкой обзор для выбора папки при помощи диалогового окна «Обзор папок» .

После того как второй снимок реестра будет доделан нажмите на кнопку «Сравнить» .

По завершению сравнения снимков реестра откроется программа установленная по умолчанию, предназначенная для открытия выбранного вами типа файла. В данном случае, так как был выбран текстовый формат, отчет открывается в программе «Блокнот» . На следующем скриншоте выделены строки, отвечающие за изменение данной настройки.

После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.

Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.

Теперь, после того как изменения видны, можно написать reg-файл, отвечающий за данную настройку. Если вы боитесь сделать в reg-файле ошибку, зайдите в редактор реестра и внесите изменения. После этого экспортируйте изменения в reg-файл и в блокноте удалите все ненужные строки.

В данном случае должен получиться такой reg-файл:

Если вам нужно найти сразу несколько параметров реестра, отвечающих за разные настройки, лучше всего находить эти параметры поочередно.

Использование программы Process Monitor

Если утилита RegShot предназначена только для фиксации изменений в системном реестре, то утилита Process monitor от Sysinternals, которая написана на основе утилит FileMon и RegMon, предназначена для мониторинга операционной системы Windows. Она в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. При помощи этой утилиты вы можете выполнять следующие действия:

отслеживать запуск и завершения работы процессов и потоков, включая информацию о коде завершения;
собирать данные о параметрах операций ввода и вывода;
устанавливать фильтры для отображения только нужной информации;
записывать в журнал все операции во время загрузки системы.

и многое другое.

В этой части статьи я расскажу только о том, как можно следить за изменениями системного реестра при помощи этой утилиты. На примере мы попробуем проследить за изменениями в реестре при изменении браузера, используемого по умолчанию. Для этого выполните следующие действия:

Загрузите программу ProcessMonitor с сайта Sysinternals.com, распакуйте содержимое архива и запустите файл Procmon.exe. Для работы утилиты Process Monitor необходимо зайти под учетной записью, входящей в группу «Администраторы» ;
Перед запуском этой утилиты в первый раз отобразится диалоговое окно с лицензионным соглашением. Прочитайте его и нажмите на кнопку «Agree» ;

В случае появления запроса контроля учетных записей пользователей предоставьте подтверждение.

В окне Process Monitor вы можете увидеть все изменения системы в режиме реального времени. Вы можете перетаскивать колонки, изменить их порядок и настроить отображение столбцов утилиты. Для этого в меню «Options» выберите команду «Select Columns» или нажмите правой кнопкой мыши на любом месте заголовка столбцов и в контекстном меню выберите команду «Select Columns» . В рамках этой статьи я не буду акцентировать внимание на значении выбираемых столбцов.

По умолчанию, утилита Process Monitor следит за системными файлами, реестром, процессами, сетевой активностью, а также за событиями профилирования. Так как в этом примере нужно проследить только за системным реестром, оставьте активной только кнопку «Show Registry Activity» , как показано на следующем скриншоте:

Даже после того, как вы оставите только мониторинг системного реестра, вам будет трудно разобраться во всех создаваемых записях. Для облегчения поиска нужного параметра реестра и его значения, вам нужно настроить фильтр. Чтобы открыть диалоговое окно фильтра, выполните одно из следующих действий:

В меню «Filter» выберите команду «Filter» ;
Воспользуйтесь комбинацией клавиш Ctrl+L ;
Нажмите на кнопку «Filter» на панели инструментов программы.

Диалоговое окно фильтра позволяет указывать атрибуты, которые будут отображаться или исключаться событиями, соответствующими значениям атрибутов. В этом примере нужно воспользоваться только тремя типами атрибутов:

EventClass – тип события, охватывающий один из основных классов событий (FileSystem, Network, Process, Profiling или Registry);

Operation – действия, которые выполняет система;

Process Name – имя процесса, за которым необходимо следить.

В этом примере будут использоваться только некоторые значения атрибута Operation . Краткое описание некоторых действий:

RegCloseKey – закрывает дескриптор указанного раздела реестра;

RegOpenKey – открывает дескриптор указанного раздела реестра;

RegCreateKey – создает дескриптор указанного раздела реестра;

RegQueryKey – возвращает значение параметров, связанных с открытым разделом реестра;

RegEnumKey – перечисляет подразделы указанного открытого раздела реестра;

RegDeleteKey – удаляет дескриптор указанного раздела реестра;

RegSetValue – изменяет значение указанного параметра реестра;

В диалоговом окне «Process Monitor Filter» для начала удалите все фильтры. Затем выполните следующие действия:

«EventClass» «is» . В третьем раскрывающемся списке выберите значение «File System» , а затем выберите «Exclude» . Нажмите на кнопку «Add» .

Повторите эти действия для классов «Network» , «Process» и «Profiling» .

Из первого раскрывающегося списка выберите атрибут «Process Name» . Во втором раскрывающемся списке оставьте значение «is» . В третьем раскрывающемся списке введите имя процессов, за которыми нужно проследить. В этом примере мы будем следить за процессами iexplore.exe и opera.exe .

Из первого раскрывающегося списка выберите атрибут «Operation» . Во втором раскрывающемся списке оставьте значение «is». В третьем раскрывающемся списке выберите значения, которые отображены на следующем скриншоте.

Также вместо того чтобы исключать некоторые действия, вы можете просто установить «Include» для действия «RegSetValue» .

После того как нужные фильтры будут выбраны, нажмите на кнопку «ОК» . Во время применения фильтров вы увидите следующий диалог:

Остановите мониторинг реестра до того как вам нужно будет проверять изменения. Для этого нажмите на кнопку «Capture» на панели инструментов, или воспользуйтесь комбинацией клавиш Ctrl+E . Очистите содержимое программы, нажав на кнопку «Clear» или при помощи комбинации клавиш Ctrl+X .

Если у вас установлен по умолчанию браузер Internet Explorer, откройте Opera и дождитесь появления диалога с предложением сделать его по умолчанию. После появления этого диалога перейдите в Process Monitor и включите мониторинг при помощи кнопки «Capture». Снова перейдите в Opera и установите его браузером по умолчанию.

После выполнения этих действий вернитесь в Process Monitor и остановите мониторинг. Окно программы Process Monitor будет выглядеть примерно следующим образом:

Среди отобразившихся значений нетрудно заметить, что все изменения, которые относятся к установке браузера по умолчанию, хранятся в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Значение измененного параметра вы можете увидеть в столбце Details или открыв диалог свойств события:

Как отследить изменения в системе после установки программы?

А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st ,
это Process Monitor от Sysinternals - это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂) И спрятать какие либо движения от этой утилиты, при правильной ее настройке - крайне затруднительно. (Хотя возможно, знаю как но не скажу - ибо нехер)

Программа Regshot представляет собой небольшую утилиту для работы с системным реестром. Она позволяет создавать и сравнивать снимки реестра. Использовать Regshot удобно, например, когда необходимо знать, какие изменения в реестр вносит при инсталляции та или иная программа.

Назначение и функциональные возможности

Задачи, решаемые с помощью программы Regshot, можно сформулировать следующим образом:

Создание и сравнение в любой момент времени снимков системного реестра;

Сравнение содержимого папок, хранящихся на компьютере;

Добавление к отчету произвольного комментария;

Выбор языка интерфейса и построения отчета;

Формирование отчета в текстовом либо HTML-формате.

Описание режимов работы

При запуске программы Regshot на экране появляется окно, представленное на рис. 5.57.

Рис. 5.57. Настройка параметров сравнения

Данное окно содержит перечисленные ниже элементы.

Учет папок – при установленном флажке появляется поле для указания папок, содержимое которых требуется сравнить. Заполнение данного поля возможно как с клавиатуры (при этом следует учитывать, что пути к соответствующим папкам должны разделяться точкой с запятой), так и с помощью расположенной справа от поля кнопки выбора. При нажатии этой кнопки на экране отображается окно Обзор папок, в котором по обычным правилам Windows указывается требуемый путь.

Путь для сохранения – в данном поле указывается путь, по которому будет сохранен файл отчета. Возможно заполнение поля как с клавиатуры, так и с помощью расположенной справа от него кнопки выбора.

Добавить комментарий к отчету – в этом поле при необходимости можно ввести произвольный комментарий к отчету, сформированному по итогам сравнения. Этот комментарий будет содержаться в верхней части отчета в строке Комментарий; кроме того, в соответствии с комментарием будет называться файл отчета.

1й снимок – при нажатии этой кнопки открывается подменю, содержащее команды Снимок, Снимок+сохранить и Открыть. С помощью команды Снимок запускается процесс создания снимка. Команда Снимок+сохранить, помимо создания снимка, позволяет сохранить его по указанному пути в файле с расширением HIV (окно Сохранить как, в котором по обычным правилам Windows указывается требуемый путь, открывается сразу после создания снимка). Команда Открыть используется, когда для сравнения требуется взять не заново созданный снимок, а сохраненный ранее. При выполнении команды на экране отображается окно Открыть, в котором указывается путь к открываемому HIV-файлу с сохраненным ранее снимком.

2й снимок – данная кнопка работает аналогичным образом, с той разницей, что предназначена для создания второго снимка. В процессе создания снимков в нижней части окна отображается информация о количестве просканированных разделов реестра, параметров и прошедшем с начала сканирования времени.

Сравнить – при нажатии этой кнопки запускается процесс сравнения снимков с формированием отчета в соответствии с заданными настройками.

Примечание

Кнопки 1й снимок, 2й снимок и Сравнить становятся доступными последовательно: сначала доступна кнопка 1й снимок, после создания снимка – кнопка 2й снимок, а после создания второго снимка – кнопка Сравнить. При открытии доступа к последующей кнопке предыдущая вновь становится недоступной.

Очистить – при нажатии этой кнопки удаляется старая информация.

К несомненным достоинствам данной программы можно отнести то, что она является многоязычной. Выбрать требуемый язык можно в раскрывающемся списке, который расположен в правом нижнем углу окна настройки параметров сравнения. На рис. 5.57 в качестве языка интерфейса и построения отчета выбран русский (значение Russian).

Пример сформированного отчета о сравнении снимков в текстовом формате приведен на рис. 5.58.

Рис. 5.58. Отчет о сравнении снимков реестра

Кратко проанализируем содержимое данного отчета.

Первая строка отчета содержит информацию о названии и версии программы Regshot.

Далее в строке Комментарий отображается комментарий к отчету (в этом случае – Отчет) в соответствии со значением, введенным в поле Добавить комментарий к отчету в окне настройки параметров отчета. Надо отметить, что в соответствии с заданным значением называется и файл отчета (см. рис. 5.58).

В строке Текущая дата указывается дата и время создания каждого снимка (через разделитель).

В строке Имя компьютера отображается имя компьютера, на котором был сделан каждый снимок (через разделитель).

Строка Имя пользователя указывает имя пользователя, создавшего каждый снимок (через разделитель).

Примечание

В рассматриваемом примере имя компьютера для каждого снимка идентично; это же касается и имени пользователя.

Далее в отчете следует информация, подробно характеризующая обнаруженные изменения. Все элементы списка сгруппированы в зависимости от изменений и функционального назначения. В частности, отдельно собраны новые разделы реестра, измененные разделы, удаленные разделы, новые параметры, измененные параметры, удаленные параметры и т. д. Если включен режим учета папок (для этого в окне настройки параметров сравнения (см. рис. 5.57) должен быть установлен флажок Учет папок), то отдельно показываются изменения в папках (приводится перечень новых, измененных и удаленных файлов). При этом для каждой группы показывается количество содержащихся в ней элементов списка.

Последняя строка отчета содержит информацию об общем количестве выявленных изменений.

Как создать снимок реестра?

Создание и сравнение снимков реестра можно реализовать разными способами. Вы можете использовать утилиту или новую программу RegistryChangesView, о которой я вам подробно расскажу в этой инструкции.

Снимок реестра с RegistryChangesView

Скачать RegistryChangesView

Существуют версии как для , так и для бит. Узнать разрядность вашего компьютера вы можете в панели управления.

Установка RegistryChangesView

Запуска программы

Использование RegistryChangesView

После запуска утилиты появится главное окно программы. Первым делом необходимо создать снимок реестра Windows.

Снимки реестра сохраняются в папке программы. Каждый снимок в отдельной папке.

Изменения в реестре вы увидите в главном окне программы.

Изменение в реестре

Свойства

Программа Advanced Registry Tracer (сокращенно - ART, раньше программа называлась RegFix) предназначена для анализа изменений в системном реестре Windows путем сравнения двух копий реестра в разное время. Создаются и сравниваются копии реестра, хранящиеся в своем собственном формате, поэтому называть их именно копиями, на мой взгляд, не совсем корректно, и далее я буду называть их "слепками" реестра. ART показывает все новые, удаленные или измененные ключи, также можно создавать REG-файлы для отката или повторения аналогичных обнаруженным изменений реестра.

Программа не поддерживает операции по сравнению разных версий файлов и не производит поиск новых и изменившихся файлов. Для этих целей вы можете использовать файловые мониторы, например, Adinf, KAV Inspector и другие.

Краткие возможности программы

Сканирование реестра в файл с возможностью просмотра и поиска.

Сканирование реестра на удаленном компьютере.

Сравнение различных слепков реестра.

Сравнение отдельных ветвей различных слепков реестра.

Функции отмены и повтора внесенных изменений.

Сохранение любого ключа реестра в REG-файл

Использование закладок.

Открытие выбранных ключей в редакторе реестра RegEdit.

Поддержка параметров командной строки.

Добавление комментариев к каждому слепку реестра.

Сканирование реестра

Прежде всего, необходимо создать первоначальный слепок реестра. Когда вы запускаете ART в первый раз, программа сканирует реестр, создает первоначальный слепок реестра и автоматически записывает его под именем ART_DB.rgf.

Для самостоятельного создания слепка реестра вы можете воспользоваться пунктом New меню File и просканировать состояние реестра в данный момент выбором пункта Scan меню Registry или нажав на кнопку Scan Registry (Сканировать реестр) на панели инструментов. Еще одной возможностью создания нового слепка реестра является его экспорт из REG-файла. Результат сканирования также может быть загружен при открытии сохраненного слепка реестра.

Каждый новый слепок реестра сохраняется в файл автоматически. Одновременно в памяти могут находиться два слепка реестра, называемых активными. Они обозначены желтым цветом, в противовес неактивным, обозначенным белым. Для неактивных слепков доступен единственный пункт контекстного меню с возможностью добавления комментария. Если вы хотите просмотреть, сравнить или осуществить поиск в сохраненном слепке реестра, для этого вам необходимо его открыть, т.е. загрузить в память. Если в память уже загружены два слепка реестра, то при попытке открыть еще один слепок, или создать при сканировании новый, программа, согласно заданным установкам, закрывает один из открытых слепков, или предлагает пользователю самому сделать выбор или отменить операцию.

В зависимости от размера реестра и мощности компьютера, процедура сканирования может занимать от нескольких секунд до минуты (на 486-ых компьютерах). Продолжительность сканирования реестра (в секундах) отображается в статусной строке после сканирования.

Сравнение различных состояний реестра

ART позволяет сравнивать следующие объекты :

два целых слепка реестра (за исключением ветви HKEY_DYN_DATA);
две одинаковых ветви реестра из различных слепков;
две различных ветви реестра из одного и того же или разных слепков реестра;
различные ветви из существующих слепков реестра, и эти же ветви в реестре на данный момент.

В отличие от программ мониторинга реестра типа RegMon или Win-Expose Registry, а также деинсталляторов типа CleenSweep, ART сравнивает именно слепки реестра, а не следит за ключами, к которым обращаются программы. Таким образом, ART выявляет все изменения в реестре (кроме ветви HKEY_DYN_DATA) и к тому же не занимает системных ресурсов.

ART хранит все слепки реестра в одной базе данных, в которой может находиться до 100 слепков реестра, сделанных в разное время (разработчики тестировали программу с 50-ю слепками). База данных имеет расширение ".RDF", что означает аббревиатуру Registry Database File (Файл базы данных реестра). В ней могут выполняться такие операции, как поиск и сравнение.

ART ищет изменения в реестре на всех уровнях: в названиях ключей, названиях строковых или двоичных данных и в самих данных. Результат сравнения показывается в виде трех деревьев - по одному для новых, удаленных и измененных данных.

Добавленные и удаленные данные показываются аналогично редактору реестра, измененные данные показаны в виде дублированного списка со старыми и новыми значениями.

Все изменения в структуре реестра, а также изменения в комментариях к ним автоматически сохраняются в базе данных, поэтому в меню File нет пункта Save (Сохранить). При автоматическом сохранении слепок получает имя, состоящее из даты и времени сохранения.

Базируясь на результатах сравнения при помощи ART можно создавать файлы отката (Undo) и повторного выполнения сделанных изменений (Redo) в формате REG. Эти файлы могут быть использованы для изменения значений реестра и перехода от новых версий реестра к более ранним версиям, и наоборот.
ART проверяет только ветви реестра HKEY_LOCAL_MACHINE и HKEY_USERS, так как:

ветвь HKEY_CURRENT_CONFIG является копией ветви HKEY_LOCAL_MACHINE\Config\000x,

HKEY_CLASSES_ROOT - копия ветви HKEY_LOCAL_MACHINE\Software\Classes,

HKEY_CURRENT_USER - часть HKEY_USERS,

а ветвь HKEY_DYN_DATA обычно используется только системой, что, по мнению автора программы, не должно быть интересно пользователю.

Интерфейс программы

Меню File (Файл) для работы с файлами базы данных и экспортом/импортом REG-файлов.

New - создание нового файла базы данных со слепками реестра.
Open - открыть существующую базу данных со слепками реестра.
Reopen - открыть ранее открывавшуюся базу данных, при этом в этом пункте доступен список из ранее открывавшихся баз данных.
Save As - сохранение базы данных в другом файле. По умолчанию файл с базой данных находится в папке с программой и называется ART_DB.rgf.
Close - закрыть файл с базой данных.
Export to REG file - экспорт выбранной части реестра в REG-файл.
Import from REG file - импорт значений REG-файла в слепок реестра.
Exit - выход из программы.

Меню Edit (Редактировать) для редактирования REG-файлов и реестра.

Edit REG file - открыть в установленном редакторе REG-файл. По умолчанию редактором для REG-файлов является Блокнот, его можно поменять в настройках.
Jump to Regedit

Меню Tree (Дерево) для навигации в древовидной структуре слепков реестра.

Expand - раскрыть ветви дерева реестра, находящиеся в данном ключе.
Collapse - закрыть ветви дерева реестра в данном ключе.
Collapse all
Goto the same key - перейти к такому же ключу в другом слепке реестре.
Switching mode - настройка режима переключения при выборе перехода к другому ключу: переход осуществляется между двумя активными или двумя выбранными пользователем слепками реестра.

Меню Registry (Реестр) для работы с реестром.

Scan Registry - создание слепка реестра путем его сканирования.
Scan Remote Registry - создание слепка путем сканирования реестра на удаленном компьютере.
Find - поиск в слепке реестра заданного значения.

Compare From Here - сравнить два слепка реестра начиная с указанного места.
Compare 2 chosen keys - сравнение двух выбранных ключей.
- сравнение слепка реестра с содержимым реестра на данный момент.
Bookmarks - вызов закладок. Этот пункт меню в зависимости от установок программы может меняться на пункт Exclude From Comparison (Исключить из сравнения). Для исключения из сравнения отдельных отдельных ключей в программе существует список исключений, который также может выполнять роль списка закладок, в зависимости от установок программы.

Expand Marked Keys - раскрытие всех помеченных ключей.
UnMark All Subkeys - снятие пометок со всех ключей, размещенных в заданном ключе.

При нажатии правой кнопки мыши доступно контекстное меню.

Copy Path - копировать путь к выбранному ключу в буфер обмена.
Properties - просмотр свойств выбранного ключа.

Compare here - начать сравнение двух слепков реестра с выбранного ключа.
Compare 2 chosen keys - сравнить два выбранных ключа.
Compare with current registry - сравнить два активных слепка реестра.
Mark key (check) - пометить выбранный ключ.
UnMark All Subkeys - снять пометку со всех вложенных ключей в данном ключе.
Jump to Regedit - открыть выбранный ключ в редакторе реестра Regedit.
UpOneLevel - перейти на один уровень вверх по дереву реестра.
Expand - раскрыть все ветви дерева реестра, находящиеся в данном ключе.
Collapse - закрыть все ветви дерева реестра в данном ключе.
Goto the same key - перейти к такому же ключу в другом реестре.

Контекстное меню для корня реестра немного отличается. Помимо того, что в нем не активна примерно половина пунктов меню и отсутствует Copy Path, наличествует 2 новых пункта:

Delete - удалить данный слепок реестра.
Comment - добавить/редактировать к данному слепку реестра комментарий длиной до 2000 символов. По умолчанию все слепки реестра уже имеют комментарий с именем компьютера.

Как мы видим, в контекстные меню вошли наиболее часто используемые пункты различных меню программы.

Полезной возможностью ART является экспорт выбранной части реестра, начиная с одного ключа и заканчивая целой ветвью. Впоследствии вы можете использовать полученный REG-файл для изменения системного реестра, в том числе и на других компьютерах. Вы можете просмотреть этот файл в указанном вами в свойствах программы текстовом редакторе (по умолчанию им является Блокнот) нажав на кнопку Edit REG file (Редактировать REG-файл) на панели инструментов, или выбрав тот же пункт в меню Edit (Редактировать).

Параметры командной строки

ART поддерживает работу из командной строки. На данный момент из командной строки возможно только сканирование реестра.
art/<команда> .rgf {-o|-a}[-b][-m:\\][-l:<файл отчета>]
Команды :

s - Сканирование реестра. RGF-файл может быть как новым файлом, так и уже содержащим слепки реестра.

Ключи :

-o - перезаписать RGF-файл, если он существует
-а - добавить запись в конец RGF-файла, если он существует
-b - если RGF-файл существует, замещать его, оставляя копию в BAK-файле
-m - сканировать реестр на удаленном компьютере с названием "remote machine".
-l - если при выполнении операции возникнет ошибка, то она сохраняется в файле отчета

Особенности работы под под Windows 2000/NT/XP

При работе под Windows 2000/NT/XP некоторые ключи изначально (по умолчанию) недоступны для чтения или изменения даже с привилегией администратора. Для изменения прав доступа для отдельных ключей реестра используйте Regedt32 (у вас должны быть соответствующие полномочия). С недоступными для изменения ключами функции Undo/Redo не работают. При невозможности прочитать значения ключей ART выдает соответствующие сообщения.

В таких случаях удобно использовать файл отчета, в который будут записываться все подобные сообщения (вместо того, чтобы выдаваться на экран), т.к. их может быть довольно много.

Для примера приведу подобный файл отчета: ссылка

Что нового в версии 1.60

Основным изменением является возможность импорта REG-файла в слепок реестра, при этом поддерживается импорт форматов как regedit 4, так и regedit 5 (Windows 2000).

Остальные изменения :

Выбор формата экспорта в REG файл (regedit 4, так и regedit 5).

Значительно улучшилась читабельность и функциональность созданных при помощи функций Undo/Redo REG-файлов.

За счет использования недокументированных возможностей формата REG-файлов исключена генерация INF-файлов.

Теперь возможно сканирование не только всего реестра, но и любой его части.

В пункте меню Find добавлено открытие ключа по пути (Find Path).

Поддержка стилей XP.

Небольшие изменения в дизайне, улучшены удобства интерфейса некоторых окон.

Исправленные ошибки :

Сканирование в режиме командной строки вызывало ошибку.

После закрытия слепков реестра оставался видимым один корень слепка реестра.

В списке исключений при добавлении пути некорректно определялась подстрока.

Белая иконка главного слепка реестра (если он один), а также невозможность его открытия.

В очень редких случаях после сканирования возникал пустой экран.

Заключение

Программа может быть полезна для создания слепков системного реестра перед и после установки различного программного обеспечения для сравнения и анализа внесенных в реестр изменений. Вы также можете смотреть, какие изменения в системный реестр вносит установка новых аппаратных компонентов. Более того, программа ART может быть использована для сравнения конфигураций различных компьютеров. Вы также можете использовать программу для поиска ключа в реестре, отвечающего за различные системные настройки - сравнивая слепки реестра до и после внесенных изменений. Программу полезно использовать для обнаружения запуска "троянов" и шпионских компонентов, а также для решения различных проблем, связанных с установкой аппаратного и программного обеспечения.

Программа работает под Windows 95/98/Me/NT/2000/XP и распространяется по принципам Shareware. Стоимость однопользовательской лицензии - 40$.

Advanced Registry Tracer 1.60 (размер 990Kb): линк