1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как отследить изменения в реестре Windows

Отслеживаем изменения реестра Windows

Наверняка вам приходилось выполнять системные твики с помощью правки реестра Windows. После сделанных изменений часто возникает необходимость проверить, как редактирование сказалось на работе операционной системы, и проследить за правками. Рассмотрим две небольшие программы, которые позволят легко справиться с этой задачей.

Regshot

Бесплатная русскоязычная программа Regshot легко и просто отследит изменения в системном реестре. Загружаем ее и запускаем исполняемый файл, соответствующий разрядности вашей Windows (Regshot-x64-ANSI.exe для 64-битной ОС или Regshot-x86-ANSI.exe для 32-разрядной). Программа работает в портативной версии, инсталляция не требуется.

Переключаем интерфейс на русский язык и нажимаем кнопку «1й снимок». Процесс создания снимка реестра занимает определенное время, ждем его завершения.

Теперь можно делать изменения в реестре. После окончания правок снова запускаем Regshot и создаем второй снимок.

После окончания создания второго снимка жмем на ставшую активной кнопку «Сравнить». Открывается файл отчета, где наглядно видны сделанные изменения.

При желании данные можно очистить – для этого следует воспользоваться одноименной кнопкой.

WhatChanged

Еще одна аналогичная программа для слежения за изменениями в реестре WhatChanged Portable также работает без установки, хотя инсталляционный файл сам попросит распаковать все файлы в одну папку (по умолчанию в «Загрузки»). Интерфейс не русифицирован, но разобраться в нем очень просто.

Запускаем утилиту и выбираем «Scan Registry», затем отмечаем ветки реестра, изменения которых хотим отследить, после чего жмем кнопку «Step#1: Get Baseline State».

После окончания продолжаем работать как обычно, при желании программу можно закрыть. После окончания редактирования нажимаем кнопку «Step#2: Find what changed since Step #1» и ждем окончания процесса (учтите, он идет намного дольше, чем создание первого снимка реестра).

Как и в предыдущем случае, после завершения открывается файл с изменениями в реестре.

Registry Live Watch

Эта программа работает по другому принципу – она мониторит изменения в реестре в режиме реального времени. После ее запуска вводим ветку реестра, которую мы хотим отследить, и нажимаем «Start Monitoring».

Все изменения будут видны в окне программы.

Вместо послесловия

С помощью рассмотренных нами небольших программ можно удобно отследить изменения в реестре Windows. Напоминаем – на всякий случай перед внесением правок в реестр возьмите себе за правило делать его копию, а еще лучше – создавать точку восстановления системы.

Отслеживание изменений в реестре программой Regshot

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Читать еще:  Как создать диск D в командной строке

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать RegShot

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Авторы утилиты: XhmikosR, M. Buecher.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

  • Снимок — Только снимок
  • Снимок + Сохранить — Снимок и бекап реестра
  • Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Как посмотреть изменения в реестре Windows

Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.

Читать еще:  Все статьи о Windows Server 2012

Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.

Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.

Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe. Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.

Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду

В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с кодировкой.

Выше я использовал MS Word и формат .doc.

Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку HKEY_LOCAL_MACHINESOFTWARETest был добавлен параметр Primer. Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в regedit).

Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff. Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, по этой ссылке.

Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%System32. Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду

Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.

  • Строки на белом фоне означают совпадение содержимого файлов;
  • Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
  • Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).

У нас есть желтая строка с содержимым «Primer»=»». Это говорит о том, что во втором файле появился параметр Primer с пустым значением. И находится он в HKEY_LOCAL_MACHINESOFTWARETest. Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.

Перейдем к сторонним утилитам мониторинга реестра.

Популярным бесплатным решением является программа Regshot. Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.

Сперва нужно сделать первый снимок реестра.

Некоторое время уйдёт на этот процесс. Далее проводим операции с компьютером, которые хотим зафиксировать, и делаем второй снимок.

После чего их можно сравнить.

После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты. Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.

Читать еще:  Windows заблокирован пополнить номер абонента

Более ненужные снимки можно удалить, нажав кнопку Очистить в интерфейсе программы. Скачать программу Regshot можно по этой ссылке.

Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch. Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.

Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor.

Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно здесь.

Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export , синтаксису которой посвящена отдельная статья. Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.

Мониторинг изменений в реестре в Windows 10/8/7 2020

Table of Contents:

В Windows нет встроенного средства мониторинга реестра. Но что вы можете сделать, используйте программу командной строки Windows File Compare или fc.exe , чтобы сравнить два файла экспорта реестра и, таким образом, отслеживать изменения реестра Windows. Вы также можете использовать некоторые бесплатные программы для мониторинга изменений в реестре в вашей системе Windows 10/8/7.

Мониторинг изменений в реестре

Сравнение файлов fc.exe

Чтобы использовать эту программу сравнения файлов или fc.exe , сначала экспортируйте REG-файл и назовите его как rega .

После изменения произойдет экспорт измененного REG-файла и назовите его как say, regb .

Теперь откройте командную строку и введите:

Поскольку файлы .reg используют Unicode, переключатель / u сообщает fc.exe об использовании Unicode.

Теперь вы можете проверить вывод regcompare в Блокноте.

WhatChanged

Вы также можете попробовать эту стороннюю утилиту WhatChanged to регулярно отслеживайте изменения в вашем реестре Windows 10/8/7.

Просто загрузите это портативное приложение и измените его до и после изменения.

Монитор процессов Sysinternals

Sysinternals Process Monitor — отличное бесплатное программное обеспечение, для мониторинга изменений реестра в режиме реального времени. Process Monitor — это расширенный инструмент мониторинга для Windows, который показывает файловую систему реального времени, реестр и процесс / поток. Он сочетает в себе функции двух устаревших служебных программ Sysinternals, Filemon и Regmon и добавляет обширный список улучшений, включая богатую и неразрушающую фильтрацию, всеобъемлющие свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессе, полные потоковые стеки со встроенной поддержкой символов для каждой операции, одновременного ведения журнала в файл и т. д.

RegShot

RegShot — еще одна небольшая утилита сравнения реестров, которая позволяет быстро сделать снимок вашего реестра и затем сравнить его со вторым; после внесения изменений в систему или установки нового программного продукта. Отчет о изменениях может быть создан в текстовом или HTML-формате и содержит список всех изменений, которые произошли между моментальным снимком 1 и снимком 2. Получите его здесь.

Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они:

  1. Реестр Live Watch
  2. Мониторы LeeLu Монитор AIO System
  3. RegFromApp
  4. Registrar Registry Manager Lite.

Они могут также вас заинтересовать:

  1. De-Mystifying Windows Registry.
  2. Как создать резервную копию, восстановить, сохранить реестр Windows.
  3. Как ограничить доступ к редактору реестра и т. Д.
  4. Как открыть несколько экземпляров реестра в Windows.
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector