Větve registru operačního systému Windows ukládají nastavení a parametry samotného systému i dalšího softwaru nainstalovaného v počítači. Někdy potřebujete zjistit, které registry větví spouštěný program nebo se mění jeho instalační distribuce. Abyste zjistili, co se v registru změnilo, musíte pomocí speciálního programu sledovat stav parametrů systémového registru. Program RegFromApp sleduje v reálném čase změny v systémovém registru provedené spuštěným programem (procesem) a odráží větev registru a v něm změněné hodnoty.
Sledujte změny v registru
Chcete-li zjistit, co konkrétní program v registru mění, musíte spustit RegFromApp a ze seznamu všech běžících procesů vybrat proces, který chcete sledovat. Jakmile program, který je pro uživatele zajímavý, přistoupí k registru a změní hodnoty svých větví, RegFromApp okamžitě zobrazí větev registru, ve které změny probíhají, a zobrazí změněné hodnoty. Změny provedené v registru lze uložit do souboru registru (* .reg). Nástroj RegFromApp podporuje spouštění z příkazového řádku s parametry.
Snímky obrazovky k RegFromApp
Oficiální stránka: http://www.nirsoft.net
OS:
32.64 Windows XP / Vista / 7/8
Podporované jazyky: ruština
Verze: 1.32
Licence:freeware (volný, uvolnit)
Velikost souboru 107 kb
Další zajímavé programy:
- SmartLombard je první ruský program pro optimalizaci řízení zastavárny
Někdy můžete chtít sledovat změny provedené programy nebo nastavení v registru systému Windows. Například pro následné zrušení těchto změn nebo za účelem zjištění, jak se do registru zapisují určité parametry (například nastavení designu, aktualizace OS).
Tato recenze obsahuje oblíbené bezplatné programy, které usnadňují prohlížení změn v registru Windows 10, 8 nebo Windows 7 a některé další informace.
Bezplatná služba Registry Live Watch funguje trochu jiným způsobem: nikoli porovnáním dvou vzorků registru Windows, ale sledováním změn v reálném čase. Samotné změny však program nezobrazuje, ale pouze hlásí, že k takové změně došlo.
Program si můžete stáhnout z oficiálních stránek vývojáře http://leelusoft.altervista.org/registry-live-watch.html
Co se změnilo
Dalším programem, který vám umožní zjistit, co se změnilo v registru Windows 10, 8 nebo Windows 7, je WhatChanged. Jeho použití je velmi podobné tomu v prvním programu této recenze.
Program nemá vlastní oficiální webovou stránku, ale lze jej snadno najít na internetu a nevyžaduje instalaci do počítače (pro jistotu zkontrolujte před spuštěním programu na virustotal.com, ale mějte na paměti, že existuje jedna falešná detekce v původním souboru).
Další způsob, jak porovnat dvě varianty registru Windows bez programů
Windows mají vestavěný nástroj pro porovnávání obsahu souborů - fc.exe (File Compare), pomocí kterého lze mimo jiné porovnávat dvě varianty větví registrů.
Chcete-li to provést, pomocí Editoru registru systému Windows exportujte požadovanou větev registru (klikněte pravým tlačítkem myši na sekci - export) před a po změnách s různými názvy souborů, například 1.reg a 2.reg.
Poté použijte příkaz, jako je tento na příkazovém řádku:
Fc c: \ 1.reg c: \ 2.reg> c: \ log.txt
Kde jsou nejprve zadány cesty ke dvěma souborům registru a potom cesta k textovému souboru s výsledky porovnání.
Bohužel metoda není vhodná pro sledování významných změn (protože vizuálně nebude možné v sestavě nic analyzovat), ale pouze pro nějaký malý klíč registru s pár parametry, kde se má změna provést, a spíše sledovat samotnou skutečnost změny.
registru Windows
je možná nejdynamičtější součástí operačního systému. Odráží veškeré, i ty nepodstatné, změny provedené v systému běžnými programy a programy třetích stran. Zkušení uživatelé mohou takové změny sledovat pomocí speciálních nástrojů pro tyto účely, z nichž jeden bude dnes diskutován. To se nazývá. Tento malý přenosný nástroj od Nirsoft
umožňuje sledovat činnost programů nainstalovaných v počítači.
Nebo spíše zaznamenat všechny změny, které provedou v procesu své práce, v systémovém registru a v případě potřeby porovnat dříve získané výsledky s pozdějšími. Výjimkou jsou Universal Windows Apps, které se připojují k jejich procesům v nejčastěji selhává.
Poznámka: pro sledování práce 32bitový je potřeba používat programy 32bitový verze , dokonce i na 64bitový Systém.
Použití nástroje je poměrně jednoduché. Po jeho spuštění budete vyzváni k výběru procesu ke sledování a kliknutí OK ... Proces můžete také vybrat ručně z hlavního grafického menu programu. Poté se spustí monitorování na pozadí. Jakmile sledovaný program provede nějaké změny v registru, okamžitě se objeví v hlavním okně utility. Změněná data lze zkopírovat do schránky nebo uložit do souboru REG.
Režim zobrazení v dva. Standardně utilita zobrazuje pouze poslední změněné hodnoty, ale je možné nastavit i zobrazení hodnot původních. Žádná další významná nastavení v programu nejsou.
Čas od času se uživatelé a správci systému mohou muset podívat na změny v registru Windows za určité období. To může být způsobeno touhou vidět, jaké změny jsou provedeny konkrétním programem nebo akcemi uživatele.
Změny provedené v registru Windows můžete zobrazit jak pomocí nástrojů zabudovaných do operačního systému, tak pomocí softwaru třetích stran. Začněme těmi prvními.
Kromě toho také zmiňujeme, že to vše spočívá ve dvou metodách: porovnávání dvou „snímků“ registru pořízených v různých časech nebo sledování změn v reálném čase.
Nejdostupnějším způsobem, jak zjistit, jaké změny byly provedeny v registru, je použít vestavěný nástroj Windows fc.exe... Výhodou této metody je, že není potřeba shánět další software. Obecně se nástroj fc.exe používá nejen k zobrazení změn registru, ale obecně k porovnání dvou souborů nebo sad souborů. Je tedy jasné, že potřebujeme dva „snímky“ registru.
Předem exportujeme celý registr nebo jen pobočku, kterou potřebujeme. Řekněme, že máme dva soubory: 1.reg a 2.reg, které dáme na disk C. K jejich porovnání pak můžete použít příkaz
fc c: \ 1.reg c: \ 2.reg> c: \ log.txtV tomto případě jsme vypsali výsledek příkazu do textového souboru. Doporučil bych ale použít pokročilejší formát a (nebo) editor silnější než Notepad, aby s tím nebyly problémy.
Výše jsem použil formát MS Word a .doc.
Problém s použitím fc.exe spočívá v tom, že výsledek jeho práce je špatně čitelný. Snímek obrazovky výše říká, že větev parametr byl přidán Základní nátěr... Ale je nepravděpodobné, že to budete schopni pochopit, pokud o tom nebudete vědět předem. Fc.exe nemůžete nazývat úplným analytickým nástrojem. Tento nástroj je vhodnější, když sami provádíte změny v registru a chcete se ujistit, že byly provedeny (ale nechcete procházet větvemi registru v regedit).
Přejděme proto k další utilitě, která již bohužel není součástí moderních verzí Windows, ale lze ji přidat. To se nazývá WinDiff... Můžete jej přidat instalací balíčků Microsoft Windows SDK. Bohužel po Windows 7 byl z těchto balíčků vyřazen i WinDiff, ale můžete si jej stáhnout např. samostatně.
Chcete-li použít nástroj WinDiff z příkazového řádku systému Windows, umístěte jej do adresáře % WINDIR% \ System32... Nyní, abychom porovnali dva soubory registru z příkladu, stačí zadat příkaz
vítr C: \ 1.reg C: \ 2.reg
Otevře se grafické rozhraní nástroje, které je vidět na snímku obrazovky výše. Pojďme zjistit, jak číst výstup programu WinDiff.
- Čáry na bílém pozadí znamenají, že se obsah souborů shoduje;
- Řádky s červeným pozadím zobrazují obsah prvního (vlevo) souboru, který není ve druhém (vpravo);
- Řádky se žlutým pozadím zobrazují obsah druhého (pravého) souboru, který není v prvním (vlevo).
Máme žlutou čáru s obsahem "Primer" = ""... To naznačuje, že druhý soubor má parametr Základní nátěr s prázdnou hodnotou. A je v tom HKEY_LOCAL_MACHINE \ SOFTWARE \ Test... Vzhledem k tomu, že druhý soubor byl uložen později než první, lze usuzovat, že tento parametr byl přidán a nikoli odstraněn.
Přejděme k nástrojům pro sledování registrů třetích stran.
Populárním bezplatným řešením je program Regshot... Program také pracuje se snímky registru a sám je vytváří a neanalyzuje dříve uložené soubory. To je jeho nevýhoda. A plus je, že je to velmi jednoduché.
Nejprve musíte pořídit první snímek registru.
Pak je lze porovnávat.
Po ukončení procesu porovnání program automaticky otevře soubor s výsledky práce. Další výhodou Regshotu je, že soubor je snadno čitelný. Za zmínku však stojí, že bude obsahovat hromadu změn v registru, které se mohou zdát jako druh morseovky. V mém případě byly oba záběry pořízeny méně než minutu od sebe. Moje jediná akce byla, že jsem odstranil parametr Primer. Jak vidíte, program to zaznamenal. A také zaznamenal mnoho dalších změn. „Pod kapotou“ operačního systému se neustále něco děje a většina z toho je našim očím skryta.
Snímky, které již nepotřebujete, lze smazat stisknutím tlačítka. Průhledná v rozhraní programu. Můžete si stáhnout program Regshot.
Posledním nástrojem pro sledování registru systému Windows, který je popsán v tomto článku, bude program Živé sledování registru... Snad již z názvu je jasné, že tento program je schopen sledovat změny v registru v reálném čase.
Program je také extrémně jednoduchý a vlastně ani nemá žádné pořádné nastavení. Stačí označit větev registru, kterou chcete sledovat, a zahájit sledování tlačítkem Spusťte Monitor.
Program má však vážnou chybu, která z větší části neguje samotnou myšlenku sledování. Zobrazuje pouze zprávy o změnách ve sledované větvi registru, ale nepíše přesně, jaké změny byly provedeny. Druhou nevýhodou je, že Registry Live Watch nedokáže sledovat celý registr. Program si můžete stáhnout.
Na konci článku si promluvme o tom, jak automatizovat shromažďování informací o registru bez použití softwaru třetích stran. To lze provést pomocí skriptu obsahujícího příkaz reg export, jehož syntaxi je věnována. Spuštěním tohoto skriptu podle plánu získáte řadu snímků registru, které můžete v případě potřeby porovnat.
Existuje speciální nástroj SysTracer speciálně navržený pro sledování změn v systému porovnáním dvou „systémových snímků“ – před a po. V důsledku toho získáváme údaje o změnách prezentované v pohodlné formě ve třech kategoriích „Registr“, „Soubory“, „Další nastavení“ (n / a skupinové zásady, sledování systémových utilit aka netsh)
(Upřímně řečeno, nesbírá vše, i když ve většině případů to stačí)
A pokud „bojujete proti ochraně zla“, pak se tam používají nějaké triky, které nelze zapálit běžnou stopou 🙂
Jinak by bylo vše velmi jednoduché, v tomto případě nejužitečnější nástroj, ve kterém účastníka podporuji l0calh0st,
to Monitor procesu z Sysinternals- to je přesně to, co potřebujete. (Zdá se, že tito lidé používají některé nezdokumentované funkce, Mark Russinovich toho ví hodně 🙂) A je extrémně obtížné skrýt jakékoli pohyby před tímto nástrojem, pokud je správně nakonfigurován. (I když je to možné, vím jak, ale to vám neřeknu - protože to není kurva)
PS: Jediné, co je, je pečlivě si přečíst dokumentaci týkající se filtrování, as Monitor procesu ve výchozím stavu zaznamenává všechny události. Nejprve jej musíte zacílit na ID procesu instalátoru a také (pokud není použito během procesu instalace, je v něm spousta „smetí“ pro zakázání síťového výpisu, což značně narušuje porozumění) .
programy pro Windows
SysTracer Pro pro Windows (přenosný)
SysTracer- nástroj, který dokáže sledovat všechny druhy změn v operačním systému. Nejprve program skenuje a analyzuje operační systém a poté uživateli nabídne zprávu o změnách, které v systému provedly programy a jejich instalátoři. SysTracer nejčastěji využívají zkušení uživatelé, protože reportům generovaným programem nebude rozumět každý.
SysTracer je účinný nejen při sledování chování jednoho konkrétního instalačního programu, ale také při analýze provozu aplikací a systému jako celku. Změny operačního systému lze sledovat vícekrát. Uživatel také získá možnost sledovat změny v určitém časovém období.
Program pracuje podle poměrně jednoduchého algoritmu. Nejprve se pořídí snímek registru a celého souborového systému OS. Jakmile uživatel nainstaluje novou aplikaci, SysTracer znovu pořídí snímek a analyzuje změny na základě rozdílu mezi dvěma snímky. Kontrolu prováděnou obslužným programem lze dodatečně konfigurovat (lze vyloučit jednotlivé soubory, složky, klíče registru atd.). Můžete fotit v jednotlivých dnech a porovnávat omluvenky v časovém úseku, který potřebujete, např. od 15. do 20. atd.
Po instalaci a spuštění nástroje se před vámi zobrazí pracovní okno, ve kterém je šest hlavních záložek: Snímky, Registr, Soubory, Aplikace, Vzdálená kontrola a Nápověda.
V záložce "Obrázky" můžete provádět různé operace s obrázky, například je vytvářet, přejmenovávat, mazat nebo porovnávat. Pozornost je věnována možnosti exportu obrázků ve webovém formátu nebo snp-extension. Navíc zde uživatelé konfigurují nastavení a prohlížejí vlastnosti snímků. Registr doporučuje prozkoumat jeden snímek registru nebo porovnat dva. Uživatel si může podrobněji prostudovat stav klíčů oddílu. SysTracer usnadňuje identifikaci změn díky barevnému kódování. Například nové položky budou zvýrazněny zeleně, upravené položky modře, smazané soubory, aplikace, součásti registru červeně, nezměněné položky černě a položky, které nebyly naskenovány, šedě.
Stáhněte si SysTracer Je získat neuvěřitelně praktický nástroj na vašem PC. Software si můžete stáhnout prostřednictvím odkazu pod touto recenzí.
Prohlížeč změn registru po instalaci programů
Přemýšleli jste někdy o tom, co přesně mění nainstalované programy ve vašem počítači? Jaké změny provádějí v registru systému Windows a systémových souborech? A museli jste někdy porovnávat dva zdánlivě podobné systémy?
Samozřejmě, že takové otázky vyvstávají pouze tehdy, jsou-li k tomu důvody. Například dva zdánlivě stejné systémy reagují odlišně na výskyt stejné události. Nebo jste si například začali všímat, že po instalaci programu se váš počítač začne chovat podivně: pomalé načítání, zamrzání systému při určitých akcích atd.
K nalezení odpovědí na tyto a další otázky společnost Microsoft vydala speciální nástroj nazvaný „Windows System State Analyzer“. Je součástí sady Windows Software Certification Toolkit, kterou není snadné najít. Upozorňujeme, že program vyžaduje „.NET Framework 2.0“. Nástroj je k dispozici ve 32bitové a 64bitové verzi a lze jej použít pro všechny aktuální verze systému Windows. Podrobný popis a odkaz ke stažení naleznete na tomto odkazu na blogu společnosti Microsoft (chcete-li stránku přeložit do ruštiny, přejděte na pravé straně stránky do sekce „Přeložit tuto stránku“ a vyberte požadovaný jazyk; překlad samozřejmě není zcela literární, ale pro běžné vnímání textu je dostačující).
Na konci příspěvku na blogu Microsoftu uvidíte dva odkazy ke stažení souboru s názvem „Server Logo Program Software Certification Tool“ – x86 pro 32bitové systémy a x64 pro 64bitové systémy. Nenechte se zastrašit názvem, při instalaci vyberte vlastní instalaci a již tam mezi nainstalovanými součástmi vyberte "System State Analyzer". Obrázek níže ukazuje dialogové okno pro výběr instalace pouze pro analyzátor.
Poznámka: Můžete si také nainstalovat "Windows System State Monitor", který vám umožní začít sledovat změny v reálném čase.
Článek na blogu společnosti Microsoft podrobně popisuje, jak přesně používat analyzátor. Samozřejmě, pokud jste technicky zdatní, pak sami rychle zjistíte, jak nástroj funguje. Vezměte prosím na vědomí, že pořízení prvního snímku systému může nějakou dobu trvat, zvláště pokud se rozhodnete sledovat všechny změny v počítači.
Nemusíte však vybrat všechny položky, můžete do analýzy zahrnout pouze ty soubory a klíče registru, které považujete za nezbytné. Příklad použití můžete vidět na následujícím obrázku:
Nyní se můžete dozvědět o všem, co se děje ve vašem počítači.
ida-freewares.ru
Co je lepší: sledování v reálném čase nebo systémové snímky při instalaci programů?
Existují 2 přístupy ke sledování instalací softwaru (pro následné čisté čištění jejich dat). První, docela starý, je použít předinstalační a poinstalační snímky registru a souborového systému a poté je porovnat. Druhý, který se používá v nástroji Uninstall Tool, je sledování změn v reálném režimu pomocí nástroje Software Installation Monitor. Druhá metoda je nejprogresivnější z následujících zřejmých důvodů:
