Porównanie rejestru przed i po. Jak wyświetlić zmiany w rejestrze systemu Windows
W jednym z artykułów wspomniano już, że program Reg Organizer posiada funkcję instalowania programów z tworzeniem dziennika zmian, który pozwala śledzić wszystkie zmiany wprowadzone w systemie podczas instalacji aplikacji. Spowoduje to śledzenie wszystkich zmian wprowadzonych w rejestrze, a także na dyskach komputera (to, które dyski będą monitorowane, zależy od ustawień programu).
Jednak śledzenie wprowadzonych zmian może być przydatne nie tylko podczas instalowania nowych aplikacji, ale także podczas pracy z już zainstalowanymi. Ten typ śledzenia ma zwykle na celu sprawdzenie, jak program radzi sobie z upływem czasu. W tym celu można skorzystać z funkcji tworzenia i porównywania migawek rejestru.
Dostęp do funkcji migawki rejestru można uzyskać z menu Dezinstalatora aplikacji. Po wybraniu tej sekcji, w oknie, które zostanie otwarte, wybierz zakładkę „Migawki rejestru” i rozpocznij procedurę, po uprzednim dokonaniu wymaganych ustawień. Ustawienia pozwalają wybrać klucze główne, które zostaną uwzględnione w utworzonej migawce. Po pracy z badaną aplikacją wykonaj tę samą procedurę ponownie. Dowolny utworzony obraz można usunąć, korzystając z trzeciej procedury - „Usuwanie obrazów”.
Jeśli masz dwa lub więcej zdjęć, możesz je porównać. W tej samej zakładce „Migawki rejestru” znajduje się procedura porównawcza. Wystarczy wskazać, które obrazy będą porównywane. Wyniki porównania zostaną zapisane w logu (podobnie jak ten tworzony podczas instalacji aplikacji przy pomocy programu Reg Organizer).
Aby wyświetlić log porównania obrazów należy wybrać zakładkę „Logi zmian”, gdzie z rozwijanej listy należy wybrać żądany log. Następnie program wyświetli zmiany zapisane w tym pliku. Zmiany w rejestrze prezentowane są w formie drzewa (drzewo kluczy rejestru). Przycisk „Rozwiń wszystko” znajdujący się pod listą rozwijaną umożliwia jednoczesne rozwinięcie wszystkich węzłów drzewa zmian. Za jego pomocą jednym kliknięciem szybko i łatwo uwidocznisz wszystkie elementy drzewa.
Menu kontekstowe zakładki „Zmiany rejestru” posiada ciekawą funkcję pozwalającą na zapisanie wybranego w drzewie klucza rejestru do pliku. Należy pamiętać, że nie będzie zapisywana aktualna wartość klucza rejestru, ale to, co zostanie zapisane w logu. W niektórych przypadkach jeden zapisany klucz będzie odpowiadał kilku zmienionym parametrom. Podczas zapisywania jako plik każdy parametr zostanie zapisany w osobnym pliku reg i aby się z nimi nie pomylić, pliki te zostaną umieszczone w tym samym folderze, którego nazwę możesz nadać podczas zapisywania wartości kluczy.
Jak utworzyć migawkę rejestru?
Tworzenie i porównywanie migawek rejestru można wykonać na różne sposoby. Możesz skorzystać z narzędzia RegShot lub nowego programu RegistryChangesView, o którym szczegółowo opowiem w tej instrukcji.
Migawka rejestru z RegistryChangesView
To mały darmowy program słynnego izraelskiego programisty Nira Sofera. Na naszej stronie internetowej znajduje się duża liczba instrukcji do jego programów (jedną z nich jest USBDeview).
Narzędzie służy do tworzenia i porównywania migawek rejestru. Może się przydać, jeśli chcesz śledzić zmiany podczas instalacji nowego oprogramowania lub analizować złośliwe oprogramowanie.
Pobierz RegistryChangesView
Pobierz RegistryChangesView możesz to zrobić za darmo na stronie dewelopera. W tej chwili interfejs programu jest w języku angielskim, ale podobnie jak wszystkie inne narzędzia NirSoft, wkrótce zostanie przetłumaczony na język rosyjski i będzie dostępny do pobrania z oficjalnej strony internetowej.
Istnieją wersje dla 32 i 64 bitów. Możesz sprawdzić bitowość swojego komputera w panelu sterowania.
Jeśli nie możesz sprawdzić głębi bitowej, po prostu spróbuj uruchomić oba pliki. Jeden z nich powinien zadziałać.
Ustawianie RegistryChangesView
Jest to narzędzie przenośne, które do działania nie wymaga instalacji. Po prostu rozpakuj pobrane archiwum i uruchom plik.
Korzystanie z RegistryChangesView
Po uruchomieniu narzędzia pojawi się główne okno programu. Pierwszym krokiem jest utworzenie migawki rejestru systemu Windows.
Przed utworzeniem migawki możesz sprawdzić wymagane gałęzie rejestru. Domyślnie gałęzie „SAM” i „Security” nie są zaznaczone.
Wykonywanie migawki rejestru
Zrzuty rejestru są zapisywane w folderze programu. Każde zdjęcie znajduje się w osobnym folderze.
Zmiany w rejestrze zobaczysz w głównym oknie programu.
Zmiana w rejestrze
Kliknięcie prawym przyciskiem otwiera menu kontekstowe, w którym możesz edytować, zapisywać wpisy lub przeglądać jego właściwości:
Nieruchomości
Ogólnie rzecz biorąc, jest to dość potężne narzędzie do tworzenia i porównywania migawek rejestru. Niestety nie ma możliwości wykonania operacji przywracania bezpośrednio z widoku zmian w rejestrze. Oznacza to, że będziesz musiał użyć samego rejestru, aby przywrócić wartości lub skorzystać z programów innych firm.
To wszystko. Życzę wszystkim powodzenia, dobrego nastroju i bezpieczeństwa informacji!
www.spy-soft.net
Istnieje specjalne narzędzie SysTracer zaprojektowane specjalnie do śledzenia zmian w systemie, w tym celu poprzez porównanie dwóch „migawek systemu” – przed i po. W rezultacie otrzymujemy dane o zmianach przedstawione w wygodnej formie w trzech kategoriach „Rejestr”, „Pliki”, „Inne ustawienia” (n/a zasady grupowe, narzędzia systemowe Route vel netsh)
(Szczerze powiem, że nie zbiera wszystkiego, chociaż w większości przypadków wystarczy)
PS: Jedyną rzeczą jest uważne przeczytanie dokumentacji dotyczącej filtrowania, ponieważ Monitor procesu domyślnie rejestruje wszystkie zdarzenia. Przede wszystkim należy go skierować na identyfikator procesu instalatora, a także (jeśli nie jest używany podczas procesu instalacji - wyłączyć zrzut sieciowy; jest w nim dużo „śmieci”, co bardzo utrudnia rozumieć).
Śledzenie zmian w rejestrze za pomocą Regshot
Jak zrobić Migawki rejestru systemu Windows porównywać i śledzić zmiany?
Zmiany w rejestrze można śledzić na różne sposoby, ręcznie lub za pomocą specjalnych programów. W tym artykule powiem Ci, jak to zrobić za pomocą programów, co moim zdaniem jest znacznie wygodniejsze.
Tak jak obiecałem, w artykule „Skąd pobrać wirusy” tą publikacją rozpoczynamy serię artykułów poświęconych analizie złośliwego oprogramowania. W tych artykułach będę mówił o narzędziach, które pozwalają badać wirusy i ich zachowanie.
Dzisiejszy artykuł przyda się nie tylko badaczom wirusów, ale także zwykłym użytkownikom, którzy chcą stać się bardziej zaawansowani w obsłudze komputera. Powiem Ci, jak używać programu Regshot do robienia migawek rejestru systemu Windows w celu porównywania i śledzenia zmian.
Co to jest rejestr systemu Windows?
Rejestr jest jedną z głównych części systemu operacyjnego Microsoft Windows. Mimo to większość użytkowników korzysta z systemu operacyjnego i nie jest świadoma istnienia rejestru.
Niedoświadczony użytkownik nawet nie zdaje sobie sprawy, że przy zmianie wszystkich parametrów: instalowaniu programów, zmianie samego systemu Windows i podłączonych do niego urządzeń, wszystkie zmiany dokonywane są w rejestrze systemu Windows.
Jednym słowem rejestr jest w pewnym sensie rdzeniem systemu operacyjnego, w którym zapisywane są wszystkie ustawienia i zmiany.
Śledzenie zmian w rejestrze
Po co analizować rejestr i śledzić zmiany?
Załóżmy, że nie jesteś już tylko biernym użytkownikiem komputera i chcesz dowiedzieć się, co dzieje się za kulisami podczas instalacji nowego programu lub przeanalizować zachowanie wirusa na maszynie wirtualnej. Aby dowiedzieć się, jakie zmiany wprowadza całe oprogramowanie, potrzebujesz programów śledzących rejestr. Jednym z takich narzędzi jest RegShot.
Migawka rejestru przy użyciu RegShot
RegShot to mały, darmowy program typu open source, który umożliwia robienie migawek rejestru i porównywanie ich. Wszystkie zmiany jakie zaszły w rejestrze można zapisać w pliku tekstowym lub html.
Pobierz RegShota
Możesz pobrać program RegShot bezpłatnie, korzystając z tego bezpośredniego łącza.
Instalowanie RegShota
Po pobraniu programu rozpakuj archiwum i przejdź do folderu z plikami. W folderze będzie kilka plików.
Wybierając plik wykonywalny, zwróć uwagę na bitowość systemu operacyjnego.
Konfigurowanie i używanie RegShot
Po uruchomieniu pojawi się małe okno programu, w którym od razu zmieniamy język skórki na rosyjski. Dostępny jest również ukraiński język interfejsu.
Teraz zabierzmy się do pracy. Śledzenie zmian w rejestrze rozpoczyna się od wykonania pierwszej migawki rejestru. Kliknij przycisk migawki, a w rozwijanym oknie zobaczymy 3 opcje:
Wybierz wymaganą opcję. W moim przykładzie nie ma potrzeby tworzenia kopii zapasowej rejestru, więc klikam przycisk „Migawka”. Program ożyje i rozpocznie tworzenie pierwszej migawki rejestru. W dolnej części okna zobaczysz, jak zmieniają się liczby.
Kiedy liczby się zatrzymają, a program się uspokoi, możesz rozpocząć pracę z programami innych firm, instalacją i tak dalej.
Po zakończeniu kliknij przycisk „Drugi obraz”, a po kilku sekundach możesz kliknąć przycisk „Porównaj”.
Jeżeli na początku zostało zaznaczone pole „Tekst”, to wyświetli się okno edytora tekstu Notatnika, w którym będzie zawarty pełny raport zmian w rejestrze.
Nie instalowałem żadnych programów, zmieniłem tylko kilka ustawień w Panelu sterowania systemu Windows. Jak widać, narzędzie Regshot zarejestrowało wszystkie zmiany.
Podczas instalacji oprogramowania raport będzie oczywiście większy.
Jeśli chcesz ponownie przeanalizować rejestr, kliknij przycisk „Wyczyść” i zacznij od nowa.
Jak widać, wykonanie migawki rejestru w celu śledzenia zmian jest bardzo łatwe, szczególnie gdy masz pod ręką odpowiedni program. Jest to bardzo wygodne, jeśli chcesz dowiedzieć się, jakie zmiany program wprowadza w rejestrze podczas instalacji. Nawiasem mówiąc, w ten sposób możesz dowiedzieć się, które elementy rejestru odpowiadają za określone ustawienie systemu Windows.
Korzystając z systemu operacyjnego Windows warto go lepiej poznać. Możesz zacząć od artykułu o mistycznym pliku Thumbs.db, o którym po prostu musisz wiedzieć!
To wszystko, przyjaciele. W przyszłości przyjrzymy się innym narzędziom. I tak, nie zapomniałem, że obiecałem udostępnić szczegółowe instrukcje, jak stworzyć na maszynie wirtualnej niezawodne izolowane laboratorium do sprawdzania oprogramowania i wirusów. Zapraszamy więc na nasze publiczne strony na VKontakte i innych sieciach społecznościowych, aby niczego nie przeoczyć.
Przykłady monitorowania rejestru systemowego
Ponad połowa wszystkich użytkowników komputerów PC w pewnym momencie myśli o zautomatyzowaniu ustawień systemu operacyjnego. Każdy wie, że w systemach operacyjnych Windows scentralizowanym miejscem przechowywania większości ustawień samego systemu i zainstalowanych aplikacji jest rejestr systemowy. Rejestr przechowuje setki tysięcy parametrów odpowiedzialnych za różne ustawienia. Wiedząc, że sekcja HKEY_CURRENT_USER zawiera ustawienia konta użytkownika, HKEY_LOCAL_MACHINE zawiera ustawienia komputera, a sekcja HKEY_CLASSES_ROOT odpowiada za uruchomienie niezbędnego programu podczas otwierania pliku za pomocą Eksploratora, obszar wyszukiwania wymaganego parametru jest zmniejszony, chociaż znalezienie pożądanego parametr jest nadal bardzo trudny. Nie zaleca się stosowania tweakerów rejestru, gdyż mogą one zapisywać w rejestrze niepotrzebne sekcje i parametry, a wyszukiwanie w Internecie nic nie daje. W takim przypadku należy skorzystać z programów przeznaczonych do monitorowania rejestru. W tym artykule skupimy się na RegShot i Process Monitor, narzędziu Sysinternals przeznaczonym do monitorowania systemu operacyjnego Windows, które wyświetla w czasie rzeczywistym aktywność systemu plików, rejestru, a także procesów i wątków.
Korzystanie z RegShota
RegShot to małe narzędzie przeznaczone do przechwytywania zmian w rejestrze systemowym systemów operacyjnych Windows. To narzędzie może wykonywać migawki rejestru systemowego, porównywać dwie migawki i znajdować wszystkie zmiany między nimi. Wszystkie ustawienia programu zapisywane są w pliku konfiguracyjnym regshot.inf, natomiast ustawienia językowe zapisywane są w pliku język.inf. Główną zaletą programu jest to, że nie jest zintegrowany z systemem i nie zapisuje żadnych informacji do rejestru. Przyjrzyjmy się zasadom działania tego narzędzia na prostym przykładzie.
W tym przykładzie postaramy się monitorować zmiany związane z jednym z ustawień przeglądarki Internet Explorer. Aby śledzić zmiany, wykonaj następujące kroki:
Po zrobieniu pierwszego zdjęcia otwórz ustawienia przeglądarki ( Narzędzia > Opcje internetowe lub wprowadź inetcpl.cpl w polu wyszukiwania menu "Początek" lub w dialogu "Uruchomić"). Przejdź do zakładki "Dodatkowo", w opcjach „Podkreśl linki” ustaw przełącznik na "Nigdy" i kliknij przycisk "Stosować";
Wróć do programu RegShot i kliknij przycisk „drugi strzał” aby utworzyć migawkę rejestru ze zmienionym parametrem;
Program RegShot umożliwia zapisywanie zmian w rejestrze w formatach tekstowych i HTML. Aby wybrać format raportu, wybierz przycisk opcji odpowiadający żądanej opcji w sekcji „Zapisz plik raportu jako:”.
W narzędziu RegShot możesz także określić ścieżkę do zapisywania plików. Aby to zrobić, wprowadź ścieżkę ręcznie w polu „Ścieżka do zapisania” lub użyj przycisku przeglądania, aby wybrać folder w oknie dialogowym „Przeglądaj foldery”.
Po zakończeniu tworzenia drugiej migawki rejestru kliknij przycisk "Porównywać".
Po zakończeniu porównywania migawek rejestru otworzy się domyślny program przeznaczony do otwierania wybranego typu pliku. W tym przypadku, ponieważ został wybrany format tekstowy, raport otwiera się w programie "Zeszyt". Poniższy zrzut ekranu pokazuje linie odpowiedzialne za zmianę tego ustawienia.
Po wygenerowaniu raportu można wyczyścić 1., 2. obraz z bufora programu, a także oba obrazy na raz.
Raport w formacie HTML wygląda ładniej i jest wygodniejszy, ponieważ linie ze starą wartością są w nim podświetlone na zielono dla lepszej percepcji.
Teraz, gdy zmiany będą widoczne, możesz napisać plik reg odpowiedzialny za to ustawienie. Jeśli boisz się popełnić błąd w pliku reg, przejdź do edytora rejestru i dokonaj zmian. Następnie wyeksportuj zmiany do pliku reg i usuń wszystkie niepotrzebne linie w Notatniku.
W takim przypadku powinieneś otrzymać następujący plik reg:
Jeżeli zachodzi potrzeba odnalezienia na raz kilku parametrów rejestru odpowiadających za różne ustawienia, najlepiej jest odszukać te parametry pojedynczo.
Korzystanie z Monitora Procesu
Jeśli narzędzie RegShot jest przeznaczone wyłącznie do rejestrowania zmian w rejestrze systemu, wówczas narzędzie Monitor procesu firmy Sysinternals, napisane na podstawie narzędzi FileMon i RegMon, jest przeznaczone do monitorowania systemu operacyjnego Windows. Wyświetla w czasie rzeczywistym aktywność systemu plików, rejestru, a także procesów i wątków. Za pomocą tego narzędzia możesz wykonać następujące czynności:
- śledzić uruchamianie i kończenie procesów i wątków, w tym informacje o kodzie wyjścia;
- zbierać dane o parametrach operacji wejściowych i wyjściowych;
- ustaw filtry, aby wyświetlały tylko niezbędne informacje;
- Rejestruj wszystkie operacje podczas uruchamiania systemu.
i wiele więcej.
W tej części artykułu omówię jedynie, w jaki sposób można monitorować zmiany w rejestrze systemowym za pomocą tego narzędzia. Na przykładzie spróbujemy monitorować zmiany w rejestrze przy zmianie domyślnej przeglądarki. Aby to zrobić, wykonaj następujące kroki:
- Pobierz program ProcessMonitor ze strony Sysinternals.com, rozpakuj zawartość archiwum i uruchom plik Procmon.exe. Aby skorzystać z narzędzia Process Monitor, należy zalogować się na konto należące do grupy „Administratorzy”;
- Przed pierwszym uruchomieniem tego narzędzia pojawi się okno dialogowe umowy licencyjnej. Przeczytaj i kliknij przycisk "Zgadzać się";
Jeśli pojawi się monit Kontroli konta użytkownika, potwierdź.
W oknie Monitora Procesu możesz zobaczyć wszystkie zmiany systemowe w czasie rzeczywistym. Możesz przeciągać kolumny, zmieniać ich kolejność i dostosowywać wyświetlanie kolumn narzędzi. Aby to zrobić w menu „Opcje” Wybierz drużynę „Wybierz kolumny” lub kliknij prawym przyciskiem myszy w dowolnym miejscu nagłówków kolumn i wybierz polecenie z menu kontekstowego „Wybierz kolumny”. Na potrzeby tego artykułu nie będę skupiał się na znaczeniu wybranych kolumn.
Domyślnie narzędzie Process Monitor monitoruje pliki systemowe, rejestr, procesy, aktywność sieciową i zdarzenia profilowania. Ponieważ w tym przykładzie wystarczy monitorować rejestr systemowy, pozostaw tylko przycisk aktywny „Pokaż aktywność rejestru”, jak pokazano na poniższym zrzucie ekranu:
- W menu "Filtr" Wybierz drużynę "Filtr";
- Użyj skrótu klawiaturowego Ctrl+L;
- Kliknij przycisk "Filtr" na pasku narzędzi programu.
Okno dialogowe filtru umożliwia określenie atrybutów, które będą wyświetlane lub wykluczane przez zdarzenia pasujące do wartości atrybutów. W tym przykładzie wystarczy użyć tylko trzech typów atrybutów:
W tym przykładzie zostaną użyte tylko niektóre wartości atrybutów Operacja. Krótki opis niektórych działań:
RegCloseKey– zamyka dojście do określonego klucza rejestru;
RegOpenKey– otwiera uchwyt do określonego klucza rejestru;
RegUtwórz klucz– tworzy uchwyt do określonego klucza rejestru;
RegQueryKey– zwraca wartość parametrów związanych z otwartym kluczem rejestru;
RegEnumKey– wyświetla podklucze określonego otwartego klucza rejestru;
RegDeleteKey– usuwa deskryptor określonego klucza rejestru;
RegSetValue– zmienia wartość określonego parametru rejestru;
W oknie dialogowym „Filtr monitora procesu” Najpierw usuń wszystkie filtry. Następnie wykonaj następujące kroki:
„Klasa zdarzenia” "Jest". Z trzeciej listy rozwijanej wybierz wartość "System plików" a następnie wybierz "Wykluczać". Kliknij przycisk "Dodać".
Powtórz te kroki dla klas "Sieć", "Proces" I "Profilowy".
Ponadto zamiast wykluczać niektóre działania, możesz po prostu ustawić "Włączać" dla akcji „Wartość zestawu reg.”.
Po wybraniu żądanych filtrów kliknij przycisk "OK". Podczas stosowania filtrów zobaczysz następujące okno dialogowe:
Zatrzymaj monitorowanie rejestru, zanim zajdzie potrzeba sprawdzenia zmian. Aby to zrobić, kliknij przycisk "Schwytać" na pasku narzędzi lub użyj skrótu klawiaturowego Ctrl+E. Wyczyść zawartość programu, klikając przycisk "Jasne" lub używając kombinacji klawiszy Ctrl+X.
Jeśli Twoją domyślną przeglądarką jest Internet Explorer, otwórz Operę i poczekaj na okno dialogowe z prośbą o ustawienie jej jako domyślnej. Po wyświetleniu tego okna dialogowego przejdź do Monitora procesu i włącz monitorowanie za pomocą przycisku „Przechwyć”. Przejdź ponownie do Opery i ustaw ją jako domyślną przeglądarkę.
Po wykonaniu tych kroków wróć do Monitora procesu i zakończ monitorowanie. Okno Monitora procesu będzie wyglądać mniej więcej tak:
Wśród wyświetlanych wartości łatwo zauważyć, że wszystkie zmiany związane z instalacją domyślnej przeglądarki zapisane są w sekcji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Wartość zmienionego parametru możesz zobaczyć w kolumnie Szczegóły lub otwierając okno właściwości zdarzenia:
Jak śledzić zmiany w systemie po zainstalowaniu programu?
A jeśli „walczysz ze złem w obronie”, to stosują pewne sztuczki, których nie da się oświetlić zwykłym śladem :)
Inaczej wszystko byłoby bardzo proste i w takim przypadku jest to najbardziej przydatne narzędzie, w którym wspieram uczestnika l0calh0st,
Ten Monitor procesu z Systemy wewnętrzne- właśnie tego potrzebujesz. (Ci goście najwyraźniej korzystają z pewnych nieudokumentowanych możliwości, Mark Russinovich dużo wie 🙂) A ukrywanie jakichkolwiek ruchów przed tym narzędziem, jeśli jest poprawnie skonfigurowane, jest niezwykle trudne. (Chociaż jest to możliwe, wiem jak, ale nie powiem - bo mam to w dupie)
Program Regshot to małe narzędzie do pracy z rejestrem systemowym. Umożliwia tworzenie i porównywanie migawek rejestru. Z Regshota wygodnie jest korzystać np. wtedy, gdy trzeba wiedzieć, jakie zmiany w rejestrze wprowadza dany program podczas instalacji.
Cel i funkcjonalność
Zadania rozwiązywane za pomocą programu Regshot można sformułować następująco:
Tworzenie i porównywanie migawek rejestru systemu w dowolnym momencie;
Porównanie zawartości folderów przechowywanych na komputerze;
Dodanie niestandardowego komentarza do raportu;
Wybór języka interfejsu i konstrukcja raportu;
Generowanie raportu w formacie tekstowym lub HTML.
Opis trybów pracy
Po uruchomieniu programu Regshot na ekranie pojawia się okno pokazane na rys. 1. 5,57.
Ryż. 5,57. Ustawianie opcji porównania
To okno zawiera następujące elementy.
Konto dla folderów – po zaznaczeniu checkboxa pojawia się pole umożliwiające określenie folderów, których zawartość chcesz porównać. Pole to można wypełnić albo z klawiatury (pamiętaj, że ścieżki do odpowiednich folderów muszą być oddzielone średnikiem), albo za pomocą przycisku wyboru znajdującego się po prawej stronie pola. Po kliknięciu tego przycisku na ekranie pojawia się okno Przeglądaj folder, w którym zgodnie ze zwykłymi regułami systemu Windows wskazywana jest wymagana ścieżka.
Ścieżka zapisu – pole określa ścieżkę, w której zostanie zapisany plik raportu. Pole można wypełnić albo z klawiatury, albo za pomocą przycisku wyboru znajdującego się po jego prawej stronie.
Dodaj komentarz do raportu – w tym polu, jeśli zajdzie taka potrzeba, możesz wpisać dowolny komentarz do raportu wygenerowanego na podstawie wyników porównania. Komentarz ten pojawi się na górze raportu w wierszu Komentarz; dodatkowo plik raportu otrzyma nazwę zgodnie z komentarzem.
Pierwszy zrzut ekranu – naciśnięcie tego przycisku powoduje otwarcie podmenu zawierającego polecenia Zrzut ekranu, Zrzut+zapisz oraz Otwórz. Polecenie Migawka rozpoczyna proces tworzenia migawki. Polecenie Snapshot+Save, oprócz utworzenia migawki, umożliwia zapisanie jej we wskazanej ścieżce w pliku z rozszerzeniem HIV (okno Zapisz jako, w którym zgodnie ze zwykłymi regułami systemu Windows określona jest wymagana ścieżka , otwiera się natychmiast po utworzeniu migawki). Polecenie Otwórz stosuje się, gdy dla porównania trzeba wziąć nie nowo utworzony obraz, ale wcześniej zapisany. Po wykonaniu polecenia na ekranie pojawia się okno Otwórz, w którym wskazana jest ścieżka do otwieranego pliku HIV z wcześniej zapisaną migawką.
2. zdjęcie – przycisk ten działa analogicznie, z tą różnicą, że służy do utworzenia drugiego zdjęcia. Podczas tworzenia migawek w dolnej części okna wyświetlana jest informacja o liczbie przeskanowanych kluczy rejestru, parametrach oraz czasie, jaki upłynął od rozpoczęcia skanowania.
Porównaj – po kliknięciu tego przycisku rozpoczyna się proces porównywania zdjęć i generowany jest raport zgodnie z określonymi ustawieniami.
Notatka
Przyciski 1. obraz, 2. obraz i Porównaj stają się dostępne sekwencyjnie: w pierwszej kolejności dostępny jest przycisk 1. obrazu, po utworzeniu zdjęcia dostępny jest przycisk 2. obrazu, a po utworzeniu drugiego obrazu dostępny jest przycisk Porównaj. Gdy otworzysz dostęp do kolejnego przycisku, poprzedni ponownie stanie się niedostępny.
Wyczyść – kliknięcie tego przycisku powoduje usunięcie starych informacji.
Do niewątpliwych zalet tego programu należy fakt, że jest on wielojęzyczny. Żądany język możesz wybrać z rozwijanej listy znajdującej się w prawym dolnym rogu okna ustawień porównania. Na ryc. 5.57 Jako język interfejsu i raportów wybrano rosyjski (wartość rosyjska).
Przykład wygenerowanego raportu porównawczego obrazów w formacie tekstowym pokazano na ryc. 5,58.
Ryż. 5,58. Raport porównawczy migawki rejestru
Przeanalizujmy pokrótce treść tego raportu.
Pierwsza linia raportu zawiera informacje o nazwie i wersji programu Regshot.
Następnie w linii Komentarz wyświetlany jest komentarz do raportu (w tym przypadku Raport) zgodnie z wartością wpisaną w polu Dodaj komentarz do raportu w oknie ustawień raportu. Należy zwrócić uwagę, że plik raportu również nosi nazwę zgodną z podaną wartością (patrz rys. 5.58).
Linia Bieżąca data wskazuje datę i godzinę utworzenia każdego obrazu (oddzielone separatorem).
W wierszu Nazwa komputera wyświetlana jest nazwa komputera, na którym zostało zrobione każde zdjęcie (oddzielona separatorem).
Linia Nazwa użytkownika określa nazwę użytkownika, który utworzył każdą migawkę (oddzieloną ogranicznikiem).
Notatka
W tym przykładzie nazwa komputera dla każdej migawki jest identyczna; to samo dotyczy nazwy użytkownika.
Raport zawiera ponadto szczegółowe informacje na temat wykrytych zmian. Wszystkie elementy listy są pogrupowane w zależności od zmian i funkcjonalności. W szczególności oddzielnie gromadzone są nowe klucze rejestru, zmienione sekcje, usunięte sekcje, nowe parametry, zmienione parametry, usunięte parametry itp. Jeżeli włączony jest tryb rozliczania folderów (w tym celu w oknie ustawień porównania (patrz rysunek 5.57) nie musi być Jeśli zaznaczone jest pole wyboru Rozliczanie folderów), zmiany w folderach są wyświetlane osobno (dostępna jest lista nowych, zmienionych i usuniętych plików). W tym przypadku dla każdej grupy pokazana jest liczba zawartych w niej elementów listy.
Ostatnia linia raportu zawiera informację o łącznej liczbie zidentyfikowanych zmian.
Jak utworzyć migawkę rejestru?
Tworzenie i porównywanie migawek rejestru można wykonać na różne sposoby. Możesz skorzystać z narzędzia lub nowego programu RegistryChangesView, o którym szczegółowo opowiem w tej instrukcji.
Migawka rejestru z RegistryChangesView
To mały darmowy program słynnego izraelskiego programisty Nira Sofera. Na naszej stronie internetowej (jedna z nich) mamy dużą liczbę instrukcji do jego programów.
Narzędzie służy do tworzenia i porównywania migawek rejestru. Może się przydać, jeśli chcesz śledzić zmiany podczas instalacji nowego oprogramowania lub analizować złośliwe oprogramowanie.
Pobierz RegistryChangesView
Pobierz RegistryChangesView możesz to zrobić za darmo na stronie dewelopera. W tej chwili interfejs programu jest w języku angielskim, ale podobnie jak wszystkie inne narzędzia NirSoft, wkrótce zostanie przetłumaczony na język rosyjski i będzie dostępny do pobrania z oficjalnej strony internetowej.
Istnieją wersje zarówno dla , jak i dla bitów. Możesz sprawdzić bitowość swojego komputera w panelu sterowania.
Jeśli nie możesz sprawdzić głębi bitowej, po prostu spróbuj uruchomić oba pliki. Jeden z nich powinien zadziałać.
Ustawianie RegistryChangesView
Jest to narzędzie przenośne, które do działania nie wymaga instalacji. Po prostu rozpakuj pobrane archiwum i uruchom plik.
Uruchomienie programu Korzystanie z RegistryChangesView
Po uruchomieniu narzędzia pojawi się główne okno programu. Pierwszym krokiem jest utworzenie migawki rejestru systemu Windows.
Przed utworzeniem migawki możesz sprawdzić wymagane gałęzie rejestru. Domyślnie gałęzie „SAM” i „Security” nie są zaznaczone.
Zrzuty rejestru są zapisywane w folderze programu. Każde zdjęcie znajduje się w osobnym folderze.
Zmiany w rejestrze zobaczysz w głównym oknie programu.
Zmiana w rejestrze Kliknięcie prawym przyciskiem otwiera menu kontekstowe, w którym możesz edytować, zapisywać wpisy lub przeglądać jego właściwości:
Nieruchomości Ogólnie rzecz biorąc, jest to dość potężne narzędzie do tworzenia i porównywania migawek rejestru. Niestety nie ma możliwości wykonania operacji przywracania bezpośrednio z widoku zmian w rejestrze. Oznacza to, że będziesz musiał użyć samego rejestru, aby przywrócić wartości lub skorzystać z programów innych firm.
Program Advanced Registry Tracer (w skrócie ART, dawniej program nazywał się RegFix) przeznaczony jest do analizy zmian w rejestrze systemu Windows poprzez porównanie dwóch kopii rejestru w różnym czasie. Kopie rejestru są tworzone i porównywane, przechowywane w swoim własnym formacie, więc nazywanie ich dokładnie kopiami, moim zdaniem, nie jest do końca poprawne i odtąd będę je nazywał „migawkami” rejestru. ART pokazuje wszystkie nowe, usunięte lub zmienione klucze, a także możesz tworzyć pliki REG w celu wycofania lub powtórzenia podobnych wykrytych zmian w rejestrze.Program nie obsługuje operacji porównywania różnych wersji plików oraz nie wyszukuje plików nowych i zmienionych. Do tych celów można użyć monitorów plików, na przykład Adinf, KAV Inspector i innych.
Krótkie cechy programu
Zeskanuj rejestr do pliku z możliwością przeglądania i wyszukiwania.
Przeskanuj rejestr na komputerze zdalnym.
Porównanie różnych wyświetleń rejestru.
Porównanie poszczególnych oddziałów różnych bryłek rejestru.
Funkcje cofania i ponawiania dokonanych zmian.
Zapisywanie dowolnego klucza rejestru do pliku REG
Korzystanie z zakładek.
Otwieranie wybranych kluczy w edytorze rejestru RegEdit.
Obsługa opcji wiersza poleceń.
Dodawanie komentarzy do każdej migawki rejestru.
Skan rejestru
Przede wszystkim musisz utworzyć początkową migawkę rejestru. Przy pierwszym uruchomieniu ART program skanuje rejestr, tworzy początkową migawkę rejestru i automatycznie zapisuje ją pod nazwą ART_DB.rgf.
Aby samodzielnie utworzyć migawkę rejestru, możesz skorzystać z pozycji Nowy w menu Plik i przeskanować aktualny stan rejestru, wybierając opcję Skanuj w menu Rejestr lub klikając przycisk Skanuj rejestr na pasku narzędzi. Inną opcją utworzenia nowej migawki rejestru jest wyeksportowanie jej z pliku REG. Wynik skanowania można także załadować podczas otwierania zapisanej migawki rejestru.
Każda nowa migawka rejestru jest automatycznie zapisywana w pliku. W pamięci mogą znajdować się jednocześnie dwie migawki rejestru, zwane aktywnymi. Są one oznaczone kolorem żółtym, w przeciwieństwie do nieaktywnych, oznaczonych kolorem białym. W przypadku nieaktywnych modeli użytkowych dostępna jest pojedyncza pozycja menu kontekstowego z możliwością dodania komentarza. Jeśli chcesz obejrzeć, porównać lub przeszukać zapisaną migawkę rejestru, musisz ją otworzyć, tj. załadować do pamięci. Jeżeli do pamięci załadowane są już dwie migawki rejestru, to przy próbie otwarcia kolejnej migawki lub utworzeniu nowej podczas skanowania program, zgodnie z określonymi ustawieniami, zamknie jedną z otwartych migawek lub wyświetli monit o wykonanie wyboru lub anulować operację.
W zależności od wielkości rejestru i mocy komputera, procedura skanowania może trwać od kilku sekund do minuty (na 486 komputerach). Czas trwania skanowania rejestru (w sekundach) jest wyświetlany na pasku stanu po zakończeniu skanowania.
Porównanie różnych stanów rejestru
ART umożliwia porównanie następujących obiektów:
dwie całe migawki rejestru (z wyłączeniem gałęzi HKEY_DYN_DATA);
dwie identyczne gałęzie rejestru z różnych odlewów;
dwie różne gałęzie rejestru z tych samych lub różnych modeli użytkowych rejestru;
różne gałęzie z istniejących migawek rejestru i te same gałęzie w rejestrze w tej chwili.
W przeciwieństwie do programów monitorujących rejestr, takich jak RegMon lub Win-Expose Registry, a także dezinstalatorów, takich jak CleenSweep, ART porównuje migawki rejestru, a nie monitoruje klucze, do których uzyskują dostęp programy. Tym samym ART wykrywa wszystkie zmiany w rejestrze (z wyjątkiem gałęzi HKEY_DYN_DATA), a także nie zajmuje zasobów systemowych.
ART przechowuje wszystkie migawki rejestru w jednej bazie danych, która może zawierać do 100 migawek rejestru wykonanych w różnym czasie (programiści testowali program z 50 migawkami). Baza danych ma rozszerzenie „.RDF”, co oznacza plik bazy danych rejestru. Może wykonywać operacje takie jak wyszukiwanie i porównywanie.
ART szuka zmian w rejestrze na wszystkich poziomach: w nazwach kluczy, nazwach ciągów znaków lub danych binarnych, a także w samych danych. Wynik porównania prezentowany jest w postaci trzech drzewek – po jednym dla nowych, usuniętych i zmienionych danych.
Dodane i usunięte dane prezentowane są w taki sam sposób jak w edytorze rejestru, zmienione dane prezentowane są w formie zduplikowanej listy ze starymi i nowymi wartościami.
Wszystkie zmiany w strukturze rejestru, a także zmiany w komentarzach do nich są automatycznie zapisywane w bazie danych, dlatego w menu Plik nie ma opcji Zapisz. Po automatycznym zapisaniu migawka otrzymuje nazwę składającą się z daty i godziny jej zapisania.
Na podstawie wyników porównania, za pomocą ART możesz tworzyć pliki wycofania (Cofnij) i powtórzenia (Ponów) w formacie REG. Pliki te można wykorzystać do zmiany wartości rejestru i migracji z nowych wersji rejestru do wersji wcześniejszych i odwrotnie.
ART sprawdza tylko gałęzie rejestru HKEY_LOCAL_MACHINE i HKEY_USERS, ponieważ:
gałąź HKEY_CURRENT_CONFIG jest kopią gałęzi HKEY_LOCAL_MACHINE\Config\000x,
HKEY_CLASSES_ROOT - kopia gałęzi HKEY_LOCAL_MACHINE\Software\Classes,
HKEY_CURRENT_USER - część HKEY_USERS,
a gałąź HKEY_DYN_DATA jest zwykle wykorzystywana tylko przez system, co zdaniem autora programu nie powinno interesować użytkownika.
Interfejs programu
Menu Plik do pracy z plikami baz danych i eksportowania/importowania plików REG.
Nowy- utworzenie nowego pliku bazy danych zawierającego migawki rejestru.
otwarty- otwórz istniejącą bazę danych zawierającą migawki rejestru.
Otworzyć na nowo- otwórz wcześniej otwartą bazę danych, w tej pozycji dostępna jest lista wcześniej otwartych baz danych.
Zapisz jako- zapisanie bazy danych w innym pliku. Domyślnie plik bazy danych znajduje się w folderze programu i nosi nazwę ART_DB.rgf.
Zamknąć- zamknij plik bazy danych.
Eksportuj do pliku REG- wyeksportuj wybraną część rejestru do pliku REG.
Importuj z pliku REG- zaimportuj wartości pliku REG do migawki rejestru.
Wyjście- wyjdź z programu.
Menu Edytuj do edycji plików REG i rejestru.
Edytuj plik REG- otwórz plik REG w zainstalowanym edytorze. Domyślnym edytorem plików REG jest Notatnik, możesz go zmienić w ustawieniach.
Przejdź do Regedit
Menu drzewa umożliwiające nawigację po strukturze drzewa modułów użytkowych rejestru.
Zwiększać- rozwiń gałęzie drzewa rejestru znajdujące się w tym kluczu.
Zawalić się- zamknij gałęzie drzewa rejestru w tym kluczu.
Zwinąć wszystkie
Mam ten sam klucz- przejdź do tego samego klucza w innej migawce rejestru.
Tryb przełączania- ustawienie trybu przełączania przy wyborze przejścia na inny klucz: przejście odbywa się pomiędzy dwoma aktywnymi lub dwoma wybranymi przez użytkownika migawkami rejestru.
Menu rejestru do pracy z rejestrem.
Skanowanie rejestru- utworzenie migawki rejestru poprzez jego skanowanie.
Skanuj rejestr zdalny- utworzenie migawki poprzez skanowanie rejestru na komputerze zdalnym.
Znajdować- wyszukaj w migawce rejestru podaną wartość.
Porównaj stąd- porównaj dwie kopie rejestru zaczynając od określonej lokalizacji.
Porównaj 2 wybrane klucze- porównanie dwóch wybranych kluczy.
- porównanie migawki rejestru z aktualną zawartością rejestru.
Zakładki- zakładki połączeń. Ta pozycja menu, w zależności od ustawień programu, może zmienić się na pozycję Wyklucz z porównania. Aby wykluczyć określone klucze z porównania, program posiada listę wyjątków, która może również służyć jako lista zakładek, w zależności od ustawień programu.
Rozwiń opcję Oznaczone klawisze- ujawnienie wszystkich oznaczonych kluczy.
Odznacz wszystkie podklucze- odznaczenie wszystkich kluczy znajdujących się w danym kluczu.
Po kliknięciu prawym przyciskiem myszy dostępne jest menu kontekstowe.
Skopiuj ścieżkę- skopiuj ścieżkę do wybranego klawisza do schowka.
Nieruchomości- przeglądanie właściwości wybranego klucza.
Porównaj tutaj- rozpocznij porównywanie dwóch migawek rejestru z wybranym kluczem.
Porównaj 2 wybrane klucze- porównaj dwa wybrane klucze.
Porównaj z bieżącym rejestrem- porównaj dwie aktywne migawki rejestru.
Zaznacz klucz (sprawdź)- zaznacz wybrany klawisz.
Odznacz wszystkie podklucze- odznacz wszystkie klucze zagnieżdżone w tym kluczu.
Przejdź do Regedit- otwórz wybrany klucz w edytorze rejestru Regedit.
O jeden poziom wyżej- przejdź o jeden poziom wyżej w drzewie rejestru.
Zwiększać- rozwiń wszystkie gałęzie drzewa rejestru znajdujące się w tym kluczu.
Zawalić się- zamknij wszystkie gałęzie drzewa rejestru w tym kluczu.
Mam ten sam klucz- przejdź do tego samego klucza w innym rejestrze.
Menu kontekstowe katalogu głównego rejestru jest nieco inne. Oprócz tego, że około połowa pozycji menu jest nieaktywna i brakuje opcji Kopiuj ścieżkę, pojawiły się 2 nowe pozycje:
Usuwać- usuń tę migawkę rejestru.
Komentarz- dodaj/edytuj komentarz o długości do 2000 znaków do tej migawki rejestru. Domyślnie wszystkie migawki rejestru mają już komentarz z nazwą komputera.
Jak widzimy, w menu kontekstowym znajdują się najczęściej używane pozycje z różnych menu programów.
Przydatną funkcją ART jest eksport wybranej części rejestru, zaczynając od jednego klucza, a kończąc na całej gałęzi. Następnie możesz użyć powstałego pliku REG do zmiany rejestru systemowego, także na innych komputerach. Możesz wyświetlić ten plik w edytorze tekstu określonym we właściwościach programu (domyślnie Notatnik), klikając przycisk Edytuj plik REG na pasku narzędzi lub wybierając tę samą pozycję w menu Edycja.
Opcje wiersza poleceń
ART obsługuje obsługę wiersza poleceń. W tej chwili możliwe jest jedynie skanowanie rejestru z wiersza poleceń.sztuka/<команда>
Zespoły:
s — Przeskanuj rejestr. Plik RGF może być nowym plikiem lub plikiem zawierającym już migawki rejestru.
Klucze:
-o - zastępuje plik RGF, jeśli istnieje
-a - dodaj wpis na końcu pliku RGF, jeśli istnieje
-b - jeśli plik RGF istnieje, zastąp go, pozostawiając kopię w pliku BAK
-m - przeskanuj rejestr na komputerze zdalnym zwanym „komputerem zdalnym”.
-l - jeśli podczas operacji wystąpi błąd, zostanie on zapisany w pliku raportu
Cechy pracy pod Windows 2000/NT/XP
Podczas pracy w systemie Windows 2000/NT/XP niektórych klawiszy początkowo (domyślnie) nie można odczytać ani edytować nawet z uprawnieniami administratora. Aby zmienić uprawnienia dla poszczególnych kluczy rejestru, użyj Regedt32 (musisz mieć odpowiednie uprawnienia). Funkcje Cofnij/Ponów nie działają w przypadku klawiszy, których nie można zmienić. W przypadku braku możliwości odczytania kluczowych wartości ART wysyła odpowiednie komunikaty.
W takich przypadkach wygodnie jest skorzystać z pliku raportu, w którym wszystkie tego typu komunikaty będą zapisywane (a nie wyświetlane na ekranie), ponieważ może ich być całkiem sporo.
Jako przykład podam podobny plik raportu: link
Co nowego w wersji 1.60
Główną zmianą jest możliwość importowania pliku REG do migawki rejestru. Obsługiwany jest import zarówno formatów regedit 4, jak i regedit 5 (Windows 2000).Inne zmiany:
Wybór formatu eksportu do pliku REG (regedit 4 i regedit 5).
Czytelność i funkcjonalność plików REG utworzonych za pomocą funkcji Cofnij/Ponów została znacznie poprawiona.
Korzystając z nieudokumentowanych funkcji formatu pliku REG, eliminuje się generowanie plików INF.
Teraz możliwe jest skanowanie nie tylko całego rejestru, ale także dowolnej jego części.
W pozycji menu Znajdź dodano klawisz otwierający wzdłuż ścieżki (Find Path).
Obsługa stylów XP.
Drobne zmiany w projekcie, poprawiona wygoda interfejsu niektórych okien.
Poprawione błędy:
Skanowanie w trybie wiersza poleceń spowodowało błąd.
Po zamknięciu modułów użytkowych rejestru jeden z nich pozostał widoczny.
Na liście wyjątków podczas dodawania ścieżki błędnie zdefiniowano podciąg.
Biała ikona migawki rejestru głównego (jeśli taka istnieje) oraz brak możliwości jej otwarcia.
W bardzo rzadkich przypadkach po skanowaniu pojawiał się pusty ekran.
Wniosek
Program może być przydatny do tworzenia migawek rejestru systemowego przed i po zainstalowaniu różnych programów w celu porównania i analizy zmian wprowadzonych w rejestrze. Możesz także zobaczyć, jakie zmiany wprowadza instalacja nowych komponentów sprzętowych w rejestrze systemowym. Ponadto program ART umożliwia porównywanie konfiguracji różnych komputerów. Możesz także wykorzystać program do wyszukiwania w rejestrze klucza odpowiedzialnego za różne ustawienia systemu - porównując migawki rejestru przed i po dokonanych zmianach. Program jest przydatny do wykrywania uruchamiania trojanów i komponentów spyware, a także do rozwiązywania różnych problemów związanych z instalacją sprzętu i oprogramowania.Program działa w systemie Windows 95/98/Me/NT/2000/XP i jest dystrybuowany zgodnie z zasadami Shareware. Koszt licencji dla jednego użytkownika wynosi 40 dolarów.
Advanced Registry Tracer 1.60 (rozmiar 990 KB): link