Р
еестр Windows
является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она . Эта небольшая портативная утилита от Nirsoft
позволяет производить наблюдение за работой установленных на компьютере программ.
А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в чаще всего завершается ошибкой.
П римечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию , даже на 64-битной системе.
Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок . Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG .
Режима отображения в два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.
Пользователи персональных компьютеров иногда интересуются, как зайти в реестр Windows 10. Обычно он используется для резервного копирования базы данных, создания и открытия новых файлов REG, а также многих других операций. Windows 10 как новейшая операционная система содержит реестр в качестве одного из своих ключевых компонентов. Эта иерархическая база данных содержит настройки ОС, параметры приложений, сведения о драйверах устройств и паролях различных пользователей, а также другую важную системную информацию.
Когда новая программа установлена, какая-то ее часть сохраняется в файле реестра RegEdit.exe.
Чтобы создать и редактировать файл, который должен войти в реестр Виндовс 10, потребуются некоторые навыки. Перед внесением любых изменений важно создать резервную копию всей базы данных. Благодаря этому вы сможете импортировать исходные настройки из файла, если что-то пойдет не так.
Как создать новый файл
Если вас интересует, как открыть реестр в Windows 10, нужно ввести regedit в строке поиска. Затем следует нажать правой кнопкой мыши на результате поиска и выбрать из выпадающего меню «Открыть как администратор». В качестве альтернативы можно нажать комбинацию кнопок Windows + R, в результате чего откроется диалоговое окно «Выполнить». В этом поле можно ввести regedit и нажать OK. Необходимо выбрать «Файл» и «Экспорт», затем ввести имя и сохранить его. Вы можете сохранить всю базу данных или выбрать определенный диапазон. Экспортированные файлы реестра автоматически получают расширение REG по умолчанию.
Файл реестра - это простой текстовый документ с расширением REG, который можно посмотреть через приложение «Блокнот». Если он настроен правильно, то можно просто нажать на него и внести изменения в реестр Windows. Для создания нового файла можно открыть блокнот и ввести необходимый синтаксис. Нужно сохранить текстовый документ на своем компьютере, затем нажать на нем правой кнопкой мыши и изменить расширение на REG. После этого, если 2 раза нажать на файл, он внесет изменения в реестр. К примеру, такой документ может позволить вам выполнить автоматический запуск службы DNS. Чтобы вручную запустить службу, нужно изменить значение данных на 00000003.
Чтобы отключить ее, изменить значение на 00000004.
Как внести изменения
Пользователи, которые интересуются, как открыть реестр Windows 10, должны знать, что редакторы позволяют внести изменения в текущие файлы. В качестве примера можно изменить домашнюю страницу своего браузера. Это может быть полезно, если вредоносная программа получила контроль над обозревателем, что затрудняет посещение желаемого веб-сайта. Сначала вызываем редактор, набрав regedit в панели поиска или применив комбинацию Windows + R.
Нажать на символ «+» рядом с надписью HKEY_CURRENT_USER и выбрать Software Microsoft Internet Explorer. Затем щелкнуть правой кнопкой мыши на Main и выбрать Export, чтобы сохранить файл на компьютере вошедшего пользователя. После этого останется только нажать правой кнопкой мыши на файле, выбрать «Открыть с помощью» и «Блокнот».
Верхняя строка «Редактирование реестра Windows 10» сообщает операционной системе, что этот документ является файлом RegEdit. Следующая строка - это данные конфигурации, которые сообщают системе, что нужно добавить и изменить в реестре. Чтобы изменить домашнюю страницу на конкретный веб-сайт (например, Microsoft), нужно осуществить вход в:
- HKEY_CURRENT_USER.
- Software.
- Microsoft.
- Internet Explorer.
- Main.
Затем установить флажок в правой части окна и 2 раза нажать на Start Page. В разделе Value Data ввести адрес веб-сайта и нажать OK. Если после внесения изменений что-то пойдет не так, нужно 2 раза нажать на экспортированном файле, чтобы сбросить его до исходных настроек.
Когда вы удаляете программу, есть вероятность, что некоторые параметры не будут стерты.
Чтобы полностью удалить программу, вам необходимо убрать ее запись из реестра. Для этого нужно вызвать редактор и нажать на значок «+» рядом с HKEY_LOCAL_MACHINE. Затем нажать на Software и определить программу, которую необходимо стереть. Для этого следует нажать правой кнопкой мыши на нужной записи и выбрать «Удалить».
Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» - до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)
А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st
,
это Process Monitor
от Sysinternals
- это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂) И спрятать какие либо движения от этой утилиты, при правильной ее настройке - крайне затруднительно. (Хотя возможно, знаю как но не скажу - ибо нехер)
PS: Единственное - внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки - отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).
Программы для Windows
SysTracer Pro для Windows (Portable)
SysTracer – утилита, способная отслеживать всевозможные изменения операционной системы. Изначально программа сканирует и анализирует ОС, а затем предлагает пользователю отчет о найденных изменениях, внесенных в систему программами и их установщиками. SysTracer чаще всего используется в кругах опытных пользователей, поскольку отчеты, составляемые программой, будут понятны далеко не каждому.
SysTracer эффективна не только в процессе отслеживания поведения одного конкретного установщика, но и в процессе анализа работы приложений и системы в целом. Мониторинг изменений в операционной системе можно осуществлять многократно. Также пользователь получает возможность отследить изменения в определенный временной отрезок.
Программа работает по достаточно простому алгоритму. Изначально делается снимок реестра и всей файловой системы ОС. Как только пользователь устанавливает новое приложение, SysTracer вновь делает снимок и анализирует изменения, опираясь на разницу двух снимков. Сканирование, осуществляемое утилитой, можно дополнительно настраивать (есть возможность исключить отдельные файлы, папки, ключи реестра и подобное). Вы можете делать снимки в отдельные дни и сравнивать извинения в необходимый для вас временной отрезок, например, с 15го по 20е число и т.д.
После инсталляции и запуска инструмента вы увидите перед собой рабочее окно, в котором имеются шесть основных вкладок: Снимки, Реестр, Файлы, Приложения, Удаленное сканирование и Помощь.
Во вкладке «Снимки» можно совершать различные операции со снимками, например, создавать, переименовывать, удалять или сравнивать их. Привлекает внимание возможность экспорта снимков в веб-формате или snp-расширении. Более того, именно здесь пользователи настраивают параметры и просматривают свойства снимков. В «Реестре» предлагается изучение одного снимка реестра или сравнение двух. Пользователь может более детально изучить состояние ключей разделов. В SysTracer довольно просто определять изменения благодаря цветной маркировке. Например, зеленым цветом будут подсвечены новые элементы, синим цветом – модифицированные, красным – удаленные файлы, приложения, компоненты реестра, черным – неизмененные, а серым – те элементы, которые не сканировались.
Скачать SysTracer – это получить невероятно удобный инструмент на ПК. Загрузить софт можно посредством ссылки ниже этого обзора.
Программа просмотра изменений реестра после установки программ
Вы никогда не задумывались, а что именно изменяют устанавливаемые программы на ваш компьютер? Какие именно изменения они вносят в системный реестр Windows и системные файлы? И вам никогда не приходилось сравнивать две вроде бы похожие системы?
Конечно, такие вопросы возникают только тогда, когда на это есть причины. Например, две вроде бы одинаковые системы по разному реагируют на возникновение одного и того же события. Или, например, вы стали замечать, что после установки программы, ваш компьютер начинает странно себя вести: медленная загрузка, зависания системы при определенных действиях и так далее.
Для поиска ответов на эти и другие вопросы, Microsoft выпустила специальный инструмент под названием «Windows System State Analyzer». Программа входит в состав пакета «Windows Software Certification Toolkit», который не так уж и просто найти. Учтите, что программе требуется «.NET Framework 2.0». Утилита поставляется в 32-разрядной и 64-разрядной версиях и ее можно использовать для всех текущих версий Windows. Найти подробное описание и ссылку на скачивание вы можете найти по этой ссылке на блог Microsoft (для перевода страницы на русский язык, в правой части странице перейдите к блоку «Перевести эту страницу» и выберите нужный язык; перевод, конечно, не совсем литературный, но, тем не менее, его достаточно для нормального восприятия текста).
В конце статьи блога Microsoft вы увидите две ссылки на загрузку файла под названием «Server Logo Program Software Certification Tool» — x86 для 32-разрядных систем и x64 для 64-разрядных систем. Не пугайтесь названия, во время установки выберите выборочную установку, и уже там, среди устанавливаемых компонентов, выберите «System State Analyzer». На рисунке ниже показано диалоговое окно для выбора установки только анализатора.
Примечание : Вы так же можете установить «Windows System State Monitor», который позволяет запускать мониторинг изменений в реальном времени.
В статье блога Microsoft достаточно подробно описывается, как именно необходимо использовать анализатор. Конечно, если вы технически подкованы, то вы и сами быстро разберетесь в том, как утилита действует. Учтите, что создание первого снимка системы может занять некоторое время, особенно если вы решите контролировать все изменения на вашем компьютере.
Тем не менее, вам не обязательно выбирать все пункты, вы можете включить в анализ только те файлы и ключи реестра, которые считаете нужным. Пример использования вы можете увидеть на следующем рисунке:
Теперь вы сможете узнать обо всем том, что происходит на вашем компьютере.
ida-freewares.ru
Что лучше: слежение в реальном времени или снимки системы при установке программ?
Существует 2 подхода к слежению за инсталляциями программ (для последующей чистой очистки их данных). Первый, достаточно старый — это использование снимков реестра и файловой системы до и после установки, потом их сравнение. Второй, который используется в Uninstall Tool — мониторинг изменения в реальном режиме используя Монитор Установки ПО. Второй способ является самым прогрессивным по следующим очевидным причинам:
Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.
В этом обзоре - популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.
Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.
Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html
WhatChanged
Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 - WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.
У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).
Еще один способ сравнить два варианта реестра Windows без программ
В Windows присутствует встроенный инструмент для сравнения содержимого файлов - fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.
Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу - экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.
Затем используйте в командной строке команду наподобие:
Fc c:\1.reg c:\2.reg > c:\log.txt
Где указаны сначала пути к двум файлам реестра, а затем - путь к текстовому файлу результатов сравнения.
К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.
В этой статье показаны действия, с помощью которых вы сможете стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.
Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы»
. Это обычно происходит из-за того что у группы «Администраторы»
нет соответствующих разрешений (прав) на запись в этот раздел реестра. Есть несколько причин, почему вы не можете редактировать раздел реестра:
■ Группа «Администраторы»
является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы»
полные права.
■ Владельцем раздела является системная служба TrustedInstaller
. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.
■ Владельцем раздела является системная учетная запись «Система» TrustedInstaller .
Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется
При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.
Рассмотрим первый пример
, когда группа «Администраторы»
является владельцем раздела, но не имеет полных прав на него:
1
Разрешения...
2
. Выделите группу «Администраторы»
:
Если доступен флажок Полный доступ , установите его и нажмите кнопку ОК . Этого может оказаться достаточно, если группа является владельцем раздела.
Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.
В окне Разрешения для группы нажмите кнопку Дополнительно
В следующем окне нажмите ссылку Изменить введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК
Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК
Выделите группу «Администраторы» , установите флажок Полный доступ , нажмите кнопку OK
Теперь у вас есть полный доступ к разделу реестра и вы можете редактировать все его параметры.
Третий пример , когда владельцем раздела является системная учетная запись «Система» . В этом случае действия будут такими же, как и с TrustedInstaller .
Возвращение исходных прав и восстановление владельца
В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller
.
1
. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения...
2 . В окне Разрешения для группы нажмите кнопку Дополнительно
Нажмите кнопку OK
5 . В окне Разрешения для группы выделите группу «Администраторы» , снимите флажок Полный доступ , нажмите кнопку OK
Исходные права и владелец раздела реестра восстановлены.
■ Если владельцем раздела являлась учетная запись Система
(в английской варианте System
), то вместо
NT Service\TrustedInstaller
введите Система
(в английской варианте System
).
