شاخه های رجیستری سیستم عامل ویندوز تنظیمات و پارامترهای خود سیستم و همچنین سایر نرم افزارهای نصب شده بر روی کامپیوتر را ذخیره می کنند. گاهی اوقات باید دریابید که برنامه در حال راه اندازی کدام شاخه های رجیستری است یا توزیع نصب آن تغییر می کند. برای اینکه بفهمید چه چیزی در رجیستری تغییر کرده است، باید از یک برنامه ویژه برای نظارت بر وضعیت تنظیمات رجیستری سیستم استفاده کنید. برنامه RegFromApp تغییرات رجیستری سیستم را که توسط برنامه (فرایند) در حال اجرا ایجاد شده است را به صورت بلادرنگ رصد می کند و شاخه رجیستری و مقادیر تغییر یافته در آن را منعکس می کند.
ردیابی تغییرات رجیستری
برای اینکه بفهمید یک برنامه خاص در رجیستری چه تغییری می کند، باید RegFromApp را اجرا کنید و فرآیندی را که به دنبال آن هستید را از لیست تمام فرآیندهای در حال اجرا انتخاب کنید. به محض اینکه برنامه مورد علاقه کاربر به رجیستری دسترسی پیدا کرد و مقادیر شاخه های آن را تغییر داد، RegFromApp بلافاصله شاخه رجیستری را که تغییرات در آن رخ می دهد منعکس می کند و مقادیر در حال تغییر را نشان می دهد. تغییرات ایجاد شده در رجیستری را می توان در یک فایل رجیستری (*.reg) ذخیره کرد. ابزار RegFromApp از راه اندازی از خط فرمان با پارامترها پشتیبانی می کند.
تصاویری از RegFromApp
سایت رسمی: http://www.nirsoft.net
سیستم عامل:
32.64 ویندوز XP/Vista/7/8
زبان های پشتیبانی شده:روسی
نسخه: 1.32
مجوز:نرم افزار رایگان (رایگان)
حجم فایل 107 کیلوبایت
برنامه های جالب دیگر:
- SmartLombard اولین برنامه روسی است که به شما امکان می دهد فرآیندهای مدیریتی تجارت رهنی را بهینه کنید
گاهی اوقات ممکن است بخواهید تغییرات ایجاد شده توسط برنامه ها یا تنظیمات در رجیستری ویندوز را ردیابی کنید. برای مثال، برای اینکه بعداً این تغییرات را لغو کنید یا بفهمید که چگونه تنظیمات خاصی (مثلاً تنظیمات طراحی، بهروزرسانیهای سیستم عامل) در رجیستری نوشته میشوند.
در این بررسی، برنامه های رایگان محبوبی که مشاهده تغییرات در رجیستری ویندوز 10، 8 یا ویندوز 7 را آسان می کنند و برخی اطلاعات اضافی را مشاهده می کنید.
Registry Live Watch به روشی متفاوت کار می کند: نه با مقایسه دو نمونه از رجیستری ویندوز، بلکه با نظارت بر تغییرات در زمان واقعی. با این حال، برنامه خود تغییرات را نمایش نمی دهد، بلکه فقط گزارش می دهد که چنین تغییری رخ داده است.
می توانید برنامه را از وب سایت رسمی توسعه دهنده http://leelusoft.altervista.org/registry-live-watch.html دانلود کنید
چه چیزی تغییر کرد
برنامه دیگری که به شما امکان می دهد بفهمید در رجیستری ویندوز 10، 8 یا 7 چه تغییری کرده است WhatChanged است. استفاده از آن بسیار شبیه به برنامه اول این بررسی است.
این برنامه وب سایت رسمی خود را ندارد، اما به راحتی در اینترنت یافت می شود و نیازی به نصب بر روی رایانه ندارد (در هر صورت، قبل از راه اندازی برنامه را با virustotal.com بررسی کنید، در حالی که در نظر داشته باشید که یک اشتباه وجود دارد. تشخیص در فایل اصلی).
روش دیگری برای مقایسه دو نوع رجیستری ویندوز بدون برنامه
ویندوز یک ابزار داخلی برای مقایسه محتویات فایل ها دارد - fc.exe (مقایسه فایل) که از جمله می توان از آن برای مقایسه دو نوع شاخه رجیستری استفاده کرد.
برای انجام این کار، با استفاده از ویرایشگر رجیستری ویندوز، شاخه رجیستری لازم را قبل و بعد از تغییرات با نام فایل های مختلف، به عنوان مثال 1.reg و 2.reg، Export کنید (روی قسمت - export راست کلیک کنید).
سپس از دستوری مانند این در خط فرمان استفاده کنید:
Fc c:\1.reg c:\2.reg > c:\log.txt
جایی که ابتدا مسیرهای دو فایل رجیستری و سپس مسیر فایل متنی نتایج مقایسه مشخص می شود.
متأسفانه، این روش برای ردیابی تغییرات قابل توجه مناسب نیست (زیرا هیچ چیزی در گزارش به صورت بصری قابل تجزیه نیست)، بلکه فقط برای برخی از کلیدهای رجیستری کوچک با چند پارامتر که در آن تغییرات مورد انتظار است و به جای آن، برای ردیابی واقعیت تغییر.
رجیستری ویندوز
شاید پویاترین جزء سیستم عامل باشد. این نشان دهنده هرگونه، حتی ناچیزترین تغییرات ایجاد شده در سیستم توسط برنامه های عادی و شخص ثالث است. کاربران با تجربه می توانند چنین تغییراتی را با استفاده از ابزارهای ویژه برای این منظور ردیابی کنند که یکی از آنها امروز مورد بحث قرار خواهد گرفت. نامیده می شود. این ابزار کوچک قابل حمل از Nirsoft
به شما امکان نظارت بر عملکرد برنامه های نصب شده بر روی رایانه شما را می دهد.
یا بهتر است بگوییم تمام تغییراتی که در حین کار در رجیستری سیستم ایجاد می کنند را اصلاح کنند و در صورت لزوم نتایج به دست آمده قبلی را با نتایج بعدی مقایسه کنند. استثناها برنامه های جهانی ویندوز هستند که به فرآیندهای خود متصل می شوند اغلب شکست می خورد.
توجه: برای پیگیری کار 32 بیتی برنامه های مورد استفاده 32 بیتی نسخه ، حتی در 64 بیت سیستم.
استفاده از ابزار بسیار ساده است. پس از راهاندازی آن، از شما خواسته میشود فرآیندی را برای نظارت انتخاب کنید و کلیک کنید خوب . همچنین، فرآیند را می توان به صورت دستی از منوی گرافیکی اصلی برنامه انتخاب کرد. با این کار نظارت در پسزمینه شروع میشود. به محض اینکه برنامه نظارت شده تغییراتی را در رجیستری ایجاد کند، بلافاصله در پنجره اصلی برنامه ظاهر می شود. داده های تغییر را می توان در کلیپ بورد کپی کرد یا در یک فایل ذخیره کرد REG.
حالت نمایش در دو به طور پیش فرض، ابزار فقط آخرین مقادیر اصلاح شده را نشان می دهد، اما امکان تنظیم نمایش مقادیر اصلی نیز وجود دارد. تنظیمات مهم دیگری در برنامه وجود ندارد.
گاهی اوقات، کاربران و مدیران سیستم ممکن است نیاز به مشاهده تغییرات در رجیستری ویندوز در مدت زمان معین داشته باشند. این ممکن است به دلیل تمایل به دیدن چه تغییراتی در یک برنامه خاص یا اقدامات کاربر باشد.
می توانید تغییرات ایجاد شده در رجیستری ویندوز را با استفاده از ابزارهای تعبیه شده در سیستم عامل و با استفاده از نرم افزارهای شخص ثالث مشاهده کنید. بیایید با اول شروع کنیم.
علاوه بر این، ما همچنین اشاره می کنیم که همه چیز به دو روش خلاصه می شود: مقایسه دو "عکس فوری" از رجیستری که در زمان های مختلف گرفته شده اند یا نظارت بر تغییرات در زمان واقعی.
در دسترس ترین راه برای دیدن اینکه چه تغییراتی در رجیستری ایجاد شده است، استفاده از ابزار تعبیه شده در ویندوز است. fc.exe. مزیت این روش این است که نیازی به جستجوی نرم افزار اضافی نیست. به طور کلی، ابزار fc.exe نه تنها برای مشاهده تغییرات رجیستری، بلکه برای مقایسه دو فایل یا مجموعه ای از فایل ها به طور کلی استفاده می شود. بنابراین، مشخص می شود که ما به دو "عکس فوری" از رجیستری نیاز داریم.
ابتدا کل رجیستری یا فقط شعبه مورد نیاز خود را صادر می کنیم. فرض کنید دو فایل داریم: 1.reg و 2.reg که در درایو C قرار داده ایم. سپس می توانیم از دستور برای مقایسه آنها استفاده کنیم.
fc c:\1.reg c:\2.reg > c:\log.txtدر این حالت نتیجه دستور را به یک فایل متنی خروجی می دهیم. اما من توصیه می کنم از یک فرمت پیشرفته تر و (یا) ویرایشگر قوی تر از Notepad استفاده کنید تا مشکلی با .
در بالا از فرمت MS Word و .doc استفاده کردم.
مشکل استفاده از fc.exe در این واقعیت است که نتیجه کار آن به سختی قابل خواندن است. اسکرین شات بالا می گوید که در شعبه پارامتر اضافه شده است آغازگر. اما بعید است که بتوانید این را درک کنید اگر از قبل در مورد آن اطلاعی نداشته باشید. شما نمی توانید fc.exe را یک ابزار تجزیه و تحلیل تمام عیار بنامید. این ابزار زمانی مناسبتر است که خودتان تغییراتی در رجیستری ایجاد کنید و میخواهید مطمئن شوید که انجام شدهاند (اما نمیخواهید در شاخههای رجیستری سرگردان شوید. regedit).
بنابراین، بیایید به ابزار دیگری برویم، که متأسفانه، دیگر در نسخه های مدرن ویندوز گنجانده نشده است، اما می توان آن را اضافه کرد. نامیده می شود WinDiff. می توانید آن را با نصب SDK های Microsoft Windows اضافه کنید. متأسفانه بعد از ویندوز 7، WinDiff نیز از این بسته ها حذف شد، اما می توانید آن را به طور جداگانه دانلود کنید، به عنوان مثال، .
برای استفاده از ابزار WinDiff از خط فرمان ویندوز، آن را در دایرکتوری قرار دهید %WINDIR%\System32. حال برای مقایسه دو فایل رجیستری از مثال، کافیست دستور را وارد کنیم
باد C:\1.reg C:\2.reg
رابط گرافیکی ابزار باز می شود که در تصویر بالا قابل مشاهده است. بیایید نحوه خواندن خروجی برنامه WinDiff را دریابیم.
- خطوط روی پسزمینه سفید به معنای مطابقت محتوای فایلها است.
- خطوط روی پسزمینه قرمز، محتویات فایل اول (سمت چپ) را نشان میدهند که در فایل دوم (راست) نیستند.
- خطوط روی پسزمینه زرد، محتویات فایل دوم (راست) را نشان میدهند که در اولی (چپ) نیست.
ما یک خط زرد با محتوا داریم "پرایمر"="". این نشان می دهد که پارامتر در فایل دوم ظاهر شده است آغازگربا مقدار خالی و او در است HKEY_LOCAL_MACHINE\SOFTWARE\Test. از آنجایی که فایل دوم دیرتر از فایل اول ذخیره شد، می توان نتیجه گرفت که این پارامتر اضافه شده و حذف نشده است.
بیایید به ابزارهای نظارت بر رجیستری شخص ثالث برویم.
یک راه حل رایگان محبوب این برنامه است رگشات. این برنامه همچنین با عکس های فوری رجیستری کار می کند و خودش آنها را می سازد و فایل های از پیش ذخیره شده را تجزیه و تحلیل نمی کند. این منهای اوست و نکته مثبت این است که بسیار ساده است.
ابتدا باید اولین عکس فوری از رجیستری بگیرید.
سپس می توان آنها را با هم مقایسه کرد.
پس از پایان مراحل مقایسه، برنامه به طور خودکار فایل را با نتایج کار باز می کند. یکی دیگر از مزایای Regshot این است که این فایل به راحتی خوانده می شود. درست است ، شایان ذکر است که مجموعه ای از تغییرات رجیستری در آن ایجاد می شود که ممکن است نوعی کد مورس به نظر برسد. در مورد من، هر دو عکس با فاصله کمتر از یک دقیقه گرفته شد. اقدامات من فقط این بود که پارامتر Primer را حذف کردم. همانطور که می بینید، برنامه آن را برطرف کرد. و همچنین بسیاری از تغییرات دیگر را ثبت کرد. "زیر کاپوت" سیستم عامل دائماً چیزی در جریان است و بیشتر آن از چشم ما پنهان است.
تصاویری که دیگر مورد نیاز نیستند را می توان با فشار دادن دکمه حذف کرد. پاک کردندر رابط برنامه می توانید برنامه Regshot را دانلود کنید.
آخرین ابزار برای نظارت بر رجیستری ویندوز که در این مقاله مورد بحث قرار گرفته است، برنامه خواهد بود رجیستری تماشای زنده. شاید در حال حاضر از نام شما می توانید بفهمید که این برنامه قادر به نظارت بر تغییرات رجیستری در زمان واقعی است.
این برنامه همچنین بسیار ساده است و در واقع حتی واقعاً تنظیماتی ندارد. شما فقط شاخه رجیستری را که می خواهید نظارت کنید مشخص کنید و با دکمه نظارت را شروع کنید مانیتور را راه اندازی کنید.
با این حال، این برنامه دارای یک اشکال جدی است، که در بیشتر موارد، ایده نظارت را از بین می برد. فقط در مورد تغییر در شعبه رجیستری مشاهده شده پیام می دهد، اما نمی نویسد که چه تغییراتی ایجاد شده است. دومین عیب این است که Registry Live Watch نمی تواند کل رجیستری را نظارت کند. می توانید برنامه را دانلود کنید.
در پایان مقاله، ما در مورد نحوه خودکارسازی جمع آوری اطلاعات در مورد رجیستری بدون استفاده از نرم افزار شخص ثالث صحبت خواهیم کرد. این را می توان با استفاده از یک اسکریپت حاوی دستور reg export که سینتکس آن به آن اختصاص داده شده است انجام داد. با اجرای این اسکریپت بر اساس یک برنامه، یک سری عکس فوری رجیستری دریافت خواهید کرد که در صورت لزوم می توانید با هم مقایسه کنید.
یک ابزار ویژه SysTracer وجود دارد که به طور خاص برای ردیابی تغییرات در سیستم با مقایسه دو "عکس فوری سیستم" - قبل و بعد طراحی شده است. در نتیجه، ما داده هایی را به شکلی مناسب در مورد تغییرات در سه دسته "رجیستری"، "فایل ها"، "سایر تنظیمات" (n / a خط مشی های گروه، ردیابی ابزارهای سیستم با نام مستعار netsh) دریافت می کنیم.
(راستش، من به شما می گویم که او همه چیز را جمع نمی کند، اگرچه در بیشتر موارد کافی است)
و اگر در حال "مبارزه با دفاع از شر" هستید، از ترفندهایی در آنجا استفاده می شود که نمی توان آنها را با یک اثر معمولی آتش زد.
در غیر این صورت، همه چیز بسیار ساده خواهد بود، در این مورد، مفیدترین ابزاری است که در آن از شرکت کننده حمایت می کنم l0calh0st,
آی تی مانیتور فرآینداز جانب Sysinternals- دقیقاً همان چیزی است که شما نیاز دارید. (این بچه ها ظاهراً از برخی ویژگی های غیر مستند استفاده می کنند ، مارک روسینوویچ چیزهای زیادی می داند 🙂) و پنهان کردن هرگونه حرکت از این ابزار بسیار دشوار است ، اگر به درستی پیکربندی شده باشد. (اگرچه ممکن است، من می دانم چگونه، اما نمی گویم - زیرا نه)
PS: تنها نکته این است که اسناد مربوط به فیلترینگ را به دقت مطالعه کنید مانیتور فرآیند به صورت پیش فرضهمه رویدادها را ثبت می کند اول از همه، شما باید آن را به شناسه فرآیند نصب کننده و همچنین (اگر در طول مراحل نصب استفاده نمی شود - تخلیه شبکه را غیرفعال کنید، "آشغال" زیادی در آن وجود دارد که کار را سخت می کند. برای فهمیدن آن).
برنامه های ویندوز
SysTracer Pro برای ویندوز (قابل حمل)
SysTracer- ابزاری که می تواند انواع تغییرات سیستم عامل را ردیابی کند. در ابتدا، برنامه سیستم عامل را اسکن و تجزیه و تحلیل می کند و سپس گزارشی از تغییرات ایجاد شده در سیستم توسط برنامه ها و نصب کننده های آنها به کاربر ارائه می دهد. SysTracer اغلب در محافل کاربران متخصص استفاده می شود، زیرا گزارش های تولید شده توسط این برنامه برای همه قابل درک نخواهد بود.
SysTracer نه تنها در فرآیند ردیابی رفتار یک نصب کننده خاص، بلکه در فرآیند تجزیه و تحلیل عملکرد برنامه ها و سیستم به طور کلی موثر است. می توانید تغییرات سیستم عامل را چندین بار نظارت کنید. همچنین، کاربر این فرصت را پیدا می کند که تغییرات را در یک بازه زمانی مشخص پیگیری کند.
این برنامه طبق یک الگوریتم نسبتا ساده کار می کند. در ابتدا، یک عکس فوری از رجیستری و کل سیستم فایل سیستمعامل گرفته میشود. به محض نصب یک برنامه جدید توسط کاربر، SysTracer دوباره یک عکس فوری می گیرد و تغییرات را بر اساس تفاوت بین دو عکس فوری تجزیه و تحلیل می کند. اسکن انجام شده توسط ابزار را می توان بیشتر پیکربندی کرد (می توان فایل ها، پوشه ها، کلیدهای رجیستری و غیره را حذف کرد). می توانید در روزهای جداگانه عکس بگیرید و عذرخواهی را در بازه زمانی مورد نیاز خود مقایسه کنید، مثلاً از 15 تا 20 و غیره.
پس از نصب و راه اندازی ابزار، یک پنجره کار در مقابل خود مشاهده خواهید کرد که در آن شش تب اصلی وجود دارد: Snapshots، Registry، Files، Applications، Remote Scan و Help.
در سربرگ Snapshots می توانید عملیات مختلفی را با عکس های فوری انجام دهید، مانند ایجاد، تغییر نام، حذف یا مقایسه آنها. توجه به توانایی صادرات تصاویر در قالب وب یا پسوند snp جلب می شود. علاوه بر این، اینجا جایی است که کاربران تنظیمات را پیکربندی کرده و ویژگی های عکس فوری را مشاهده می کنند. "رجیستری" پیشنهاد می کند یک عکس فوری از رجیستری را مطالعه کنید یا دو عکس را با هم مقایسه کنید. کاربر می تواند وضعیت کلیدهای پارتیشن را با جزئیات بیشتری بررسی کند. SysTracer به لطف کدگذاری رنگ، تشخیص تغییرات را آسان می کند. به عنوان مثال، موارد جدید با رنگ سبز، موارد اصلاح شده با رنگ آبی، فایل های حذف شده، برنامه ها، اجزای رجیستری با رنگ قرمز، موارد اصلاح نشده با رنگ سیاه و مواردی که اسکن نشده اند با رنگ خاکستری مشخص می شوند.
SysTracer را دانلود کنیداین است که یک ابزار فوق العاده مفید بر روی رایانه شخصی خود دریافت کنید. می توانید با استفاده از لینک زیر این بررسی نرم افزار را دانلود کنید.
Registry Change Viewer پس از نصب برنامه ها
آیا تا به حال به این فکر کرده اید که برنامه های نصب شده روی رایانه شما دقیقاً چه تغییری می کنند؟ دقیقا چه تغییراتی در رجیستری ویندوز و فایل های سیستم ایجاد می کنند؟ و آیا تا به حال مجبور شده اید دو سیستم به ظاهر مشابه را با هم مقایسه کنید؟
البته چنین سوالاتی تنها زمانی مطرح می شوند که دلایلی برای آن وجود داشته باشد. به عنوان مثال، دو سیستم به ظاهر یکسان واکنش های متفاوتی نسبت به وقوع یک رویداد نشان می دهند. یا، برای مثال، متوجه شدید که پس از نصب برنامه، رایانه شما شروع به رفتار عجیبی می کند: بارگذاری کند، سیستم در طی برخی اقدامات یخ می زند و غیره.
مایکروسافت برای یافتن پاسخ این سؤالات و سؤالات دیگر، ابزار ویژه ای به نام «تحلیل کننده وضعیت سیستم ویندوز» منتشر کرده است. این برنامه بخشی از بسته "دستگاه ابزار صدور گواهینامه نرم افزار ویندوز" است که یافتن آن چندان آسان نیست. لطفاً توجه داشته باشید که این برنامه به ".NET Framework 2.0" نیاز دارد. این ابزار در نسخه های 32 بیتی و 64 بیتی ارائه می شود و می توان از آن در تمام نسخه های فعلی ویندوز استفاده کرد. می توانید توضیحات مفصل و لینک دانلود را در این پیوند به وبلاگ مایکروسافت بیابید (برای ترجمه صفحه به روسی، در سمت راست صفحه، به بلوک "Translate this page" بروید و زبان مورد نظر را انتخاب کنید؛ ترجمه البته کاملاً ادبی نیست، اما برای درک عادی متن کافی است).
در پایان مقاله وبلاگ مایکروسافت، دو لینک دانلود فایلی به نام «ابزار گواهینامه نرم افزار برنامه لوگو سرور» را مشاهده می کنید - x86 برای سیستم های 32 بیتی و x64 برای سیستم های 64 بیتی. از نام نترسید، نصب سفارشی را در حین نصب انتخاب کنید، و از قبل در آنجا، از بین اجزای نصب شده، "System State Analyzer" را انتخاب کنید. شکل زیر کادر محاوره ای را برای انتخاب نصب تنها تحلیلگر نشان می دهد.
توجه داشته باشید A: شما همچنین می توانید "Windows System State Monitor" را نصب کنید، که به شما امکان می دهد نظارت بر تغییرات را در زمان واقعی انجام دهید.
مقاله وبلاگ مایکروسافت با جزئیات کافی نحوه استفاده از تحلیلگر را توضیح می دهد. البته، اگر از نظر فنی باهوش هستید، خودتان به سرعت متوجه خواهید شد که این ابزار چگونه کار می کند. لطفاً توجه داشته باشید که ایجاد اولین عکس فوری سیستم ممکن است کمی طول بکشد، به خصوص اگر بخواهید تمام تغییرات را در رایانه خود نظارت کنید.
با این حال، لازم نیست همه موارد را انتخاب کنید، می توانید فقط آن دسته از فایل ها و کلیدهای رجیستری را که لازم می دانید در تجزیه و تحلیل قرار دهید. در شکل زیر نمونه ای از استفاده را مشاهده می کنید:
اکنون می توانید از همه چیزهایی که در رایانه شما اتفاق می افتد مطلع شوید.
ida-freewares.com
کدام بهتر است: ردیابی بیدرنگ یا عکسهای فوری سیستم هنگام نصب برنامهها؟
2 رویکرد برای ردیابی نصب برنامه ها (برای تمیز کردن بعدی داده های آنها) وجود دارد. اولین مورد، نسبتا قدیمی، استفاده از عکس های فوری از رجیستری و سیستم فایل قبل و بعد از نصب و سپس مقایسه آنها است. دومی که توسط ابزار Uninstall استفاده می شود، نظارت بر تغییرات در حالت واقعی با استفاده از نرم افزار Installation Monitor است. روش دوم به دلایل واضح زیر پیشرفته ترین روش است:
