A Windows operációs rendszer beállításjegyzék -ágai tárolják a rendszer beállításait és paramétereit, valamint a számítógépre telepített egyéb szoftvereket. Időnként meg kell találnia, hogy a rendszerleíró adatbázis mely ágait tartalmazza az indított program, vagy annak telepítési elosztása. Annak érdekében, hogy megtudja, mi változott a rendszerleíró adatbázisban, speciális programot kell használnia a rendszerleíró adatbázis paramétereinek állapotának megfigyelésére. A RegFromApp program valós időben figyeli a futó program (folyamat) által a rendszerleíró adatbázisban bekövetkezett változásokat, és tükrözi a rendszerleíró adatbázis ágát és a benne módosított értékeket.
Kövesse nyomon a rendszerleíró adatbázis változásait
Ahhoz, hogy megtudja, mit módosít egy adott program a rendszerleíró adatbázisban, el kell indítania a RegFromApp alkalmazást, és az összes futó folyamat listájából ki kell választania azt a folyamatot, amelyet figyelni szeretne. Amint a felhasználó számára érdekes program hozzáfér a rendszerleíró adatbázishoz, és megváltoztatja ágainak értékeit, a RegFromApp azonnal tükrözi azt a rendszerleíró adatbázis -ágat, amelyben a változások zajlanak, és megmutatja a megváltozott értékeket. A rendszerleíró adatbázisban végrehajtott módosítások egy rendszerleíró adatbázis fájlba (* .reg) menthetők. A RegFromApp segédprogram támogatja a parancssorból történő indítást paraméterekkel.
A RegFromApp képernyőképei
Hivatalos oldal: http://www.nirsoft.net
OS:
32.64 Windows XP / Vista / 7/8
Támogatott nyelvek: orosz
Változat: 1.32
Engedély:freeware (ingyenes)
Fájl mérete 107 Kb
További érdekes programok:
- A SmartLombard az első orosz program, amely optimalizálja a zálog üzlet üzletvezetését
Néha érdemes nyomon követni a programok vagy beállítások által a Windows rendszerleíró adatbázisában végrehajtott módosításokat. Például a módosítások későbbi törlése vagy annak érdekében, hogy megtudja, hogyan írnak bizonyos paramétereket (például tervezési beállításokat, operációs rendszer frissítéseit) a rendszerleíró adatbázisba.
Ez az áttekintés népszerű ingyenes programokat tartalmaz, amelyek megkönnyítik a Windows 10, 8 vagy Windows 7 rendszerleíró adatbázisban végrehajtott módosítások megtekintését, valamint néhány további információt.
Az ingyenes Registry Live Watch némileg másképpen működik: nem a Windows rendszerleíró adatbázis két mintájának összehasonlításával, hanem a változások valós idejű megfigyelésével. A program azonban nem jeleníti meg magát a változtatásokat, hanem csak arról tájékoztat, hogy ilyen változás történt.
A programot letöltheti a fejlesztő hivatalos webhelyéről: http://leelusoft.altervista.org/registry-live-watch.html
WhatChanged
Egy másik program, amely lehetővé teszi, hogy megtudja, mi változott a Windows 10, 8 vagy Windows 7 rendszerleíró adatbázisban, a WhatChanged. Használata nagyon hasonló a felülvizsgálat első programjához.
A programnak nincs saját hivatalos weboldala, de könnyen megtalálható az interneten, és nem igényel számítógépre telepítést (minden esetre ellenőrizze a programot a virustotal.com webhelyen, mielőtt elindítja, de ne feledje, hogy van egy hamis észlelés az eredeti fájlban).
Egy másik módszer a Windows rendszerleíró adatbázis két változatának összehasonlítására programok nélkül
A Windows beépített eszközzel rendelkezik a fájlok tartalmának összehasonlítására - fc.exe (Fájl -összehasonlítás), amely többek között a rendszerleíró adatbázisok két változatának összehasonlítására is használható.
Ehhez a Windows rendszerleíróadatbázis -szerkesztőjével exportálja a szükséges beállításjegyzék -ágat (kattintson a jobb gombbal a szakaszra - exportálás) a változások előtt és után, különböző fájlnevekkel, például 1.reg és 2.reg.
Ezután használjon egy ilyen parancsot:
Fc c: \ 1.reg c: \ 2.reg> c: \ log.txt
Ahol először a két nyilvántartási fájl elérési útját kell megadni, majd az összehasonlítási eredmények szöveges fájljához vezető elérési utat.
Sajnos a módszer nem alkalmas a jelentős változások nyomon követésére (mert vizuálisan nem lesz lehetőség a jelentés szétszedésére), hanem csak néhány apró, néhány paraméterrel rendelkező rendszerleíró kulcsra, ahol a változtatást el kell végezni, és inkább a változás tényének nyomon követésére.
Windows rendszerleíró adatbázis
talán az operációs rendszer legdinamikusabb összetevője. Ez tükrözi a rendszeres és harmadik féltől származó programok által a rendszerben végrehajtott bármilyen, még a legjelentéktelenebb változtatást is. A tapasztalt felhasználók nyomon követhetik az ilyen változásokat az erre a célra szolgáló speciális segédprogramokkal, amelyek közül az egyiket ma tárgyaljuk. Ez az úgynevezett. Ez a kis hordozható segédprogram innen Nirsoft
lehetővé teszi a számítógépre telepített programok működésének nyomon követését.
Vagy inkább rögzítse a rendszer -nyilvántartásban a munkájuk során elvégzett összes változtatást, és szükség esetén hasonlítsa össze a korábban kapott eredményeket a későbbiekkel. Kivételt képeznek az univerzális Windows -alkalmazások, amelyek a folyamatokhoz csatlakoznak leggyakrabban kudarcot vall.
Megjegyzés: a munka nyomon követésére 32 bites programokat kell használni 32 bites változat , még tovább 64 bites rendszer.
A segédprogram használata meglehetősen egyszerű. Az indítás után a rendszer felkéri, hogy válassza ki a nyomon követendő folyamatot, és kattintson rá rendben ... A folyamatot manuálisan is kiválaszthatja a program fő grafikus menüjéből. Ezt követően a monitorozás a háttérben kezdődik. Amint a megfigyelt program némi változtatást hajt végre a rendszerleíró adatbázisban, azok azonnal megjelennek a segédprogram főablakában. A módosított adatok a vágólapra másolhatók vagy fájlba menthetők REG.
Kijelző mód bekapcsolva kettő. Alapértelmezés szerint a segédprogram csak az utoljára módosított értékeket jeleníti meg, de lehetőség van az eredeti értékek megjelenítésének beállítására is. A programban nincs más jelentős beállítás.
Időről időre előfordulhat, hogy a felhasználóknak és a rendszergazdáknak bizonyos ideig meg kell vizsgálniuk a Windows rendszerleíró adatbázisában bekövetkezett változásokat. Ennek oka lehet az a vágy, hogy megnézzük, milyen változtatásokat hajtanak végre egy adott program vagy a felhasználói műveletek.
A Windows rendszerleíró adatbázisában végrehajtott módosításokat az operációs rendszerbe épített eszközök és harmadik féltől származó szoftverek segítségével tekintheti meg. Kezdjük az elsőkkel.
Ezenkívül megemlítjük azt is, hogy mindez két módszerre vezethető vissza: a rendszerleíró adatbázis két különböző pillanatában készített "pillanatképének" összehasonlítása, vagy a változások valós idejű megfigyelése.
A nyilvántartásban végrehajtott módosítások megtekintésének legegyszerűbb módja a beépített Windows segédprogram használata fc.exe... Ennek a módszernek az az előnye, hogy nincs szükség további szoftverek keresésére. Általánosságban elmondható, hogy az fc.exe segédprogram nemcsak a rendszerleíró adatbázis módosításainak megtekintésére szolgál, hanem általában két fájl vagy fájlkészlet összehasonlítására. Így világossá válik, hogy szükségünk van a rendszerleíró adatbázis két "pillanatképére".
Előre exportáljuk a teljes nyilvántartást vagy csak azt az ágat, amelyre szükségünk van. Tegyük fel, hogy két fájlunk van: 1.reg és 2.reg, amelyeket a C meghajtóra helyezünk. Ezután összehasonlításukhoz használjuk a parancsot
fc c: \ 1.reg c: \ 2.reg> c: \ log.txtEbben az esetben a parancs eredményét egy szöveges fájlba adjuk ki. De azt javaslom, hogy fejlettebb formátumot és / vagy a Jegyzettömbnél erősebb szerkesztőt használjon, hogy ne legyen probléma.
Fentebb MS Word és .doc formátumot használtam.
Az fc.exe használatával az a probléma, hogy munkájának eredménye nehezen olvasható. A fenti képernyőkép azt mondja, hogy az ág a paramétert hozzáadtuk Alapozó... De nem valószínű, hogy ezt meg fogja érteni, ha nem tud róla előre. Az fc.exe nem nevezhető teljes elemzési eszköznek. Ez a segédprogram alkalmasabb, ha Ön módosítja a rendszerleíró adatbázist, és meg kívánja győződni arról, hogy azok végrehajtásra kerültek (de nem kíván barangolni a regedit).
Ezért térjünk át egy másik segédprogramra, amely sajnos már nem szerepel a Windows modern verzióiban, de hozzáadható. Ez az úgynevezett WinDiff... Hozzáadhatja a Microsoft Windows SDK csomagok telepítésével. Sajnos, miután a Windows 7 WinDiff -et is kizárták ezekből a csomagokból, de például külön letöltheti.
A WinDiff segédprogram Windows parancssorból történő használatához helyezze a könyvtárba % WINDIR% \ System32... Most, hogy összehasonlítsuk a két nyilvántartási fájlt a példából, csak be kell írnunk a parancsot
szélszél C: \ 1.reg C: \ 2.reg
Megnyílik a segédprogram grafikus kezelőfelülete, amely a fenti képernyőképen látható. Találjuk ki, hogyan kell leolvasni a WinDiff program kimenetét.
- A fehér alapon lévő vonalak azt jelentik, hogy a fájlok tartalma megegyezik;
- A piros háttérrel rendelkező vonalak az első (bal) fájl tartalmát mutatják, amelyek nincsenek a másodikban (jobb oldalon);
- A sárga háttérrel rendelkező sorok a második (jobb oldali) fájl tartalmát mutatják, amelyek nincsenek az elsőben (bal oldalon).
Sárga vonalunk van a tartalommal "Primer" = ""... Ez azt jelzi, hogy a paraméter megjelent a második fájlban Alapozóüres értékkel. És benne van HKEY_LOCAL_MACHINE \ SOFTWARE \ Teszt... Mivel a második fájlt később mentették, mint az elsőt, arra lehet következtetni, hogy ezt a paramétert hozzáadtuk, és nem távolítottuk el.
Térjünk át a harmadik féltől származó rendszerleíró adatbázis-figyelő segédprogramokra.
A népszerű ingyenes megoldás a program Regshot... A program a rendszerleíró adatbázis pillanatképeivel is dolgozik, és azokat maga készíti el, és nem elemzi a korábban mentett fájlokat. Ez a hátránya. És a plusz az, hogy nagyon egyszerű.
Először el kell készítenie a rendszerleíró adatbázis első pillanatképét.
Akkor össze lehet őket hasonlítani.
Az összehasonlítási folyamat befejezése után a program automatikusan megnyitja a fájlt a munka eredményeivel. A Regshot további előnye, hogy a fájl könnyen olvasható. Érdemes azonban megjegyezni, hogy egy csomó nyilvántartási módosítást fog tartalmazni, amelyek egyfajta Morse -kódnak tűnhetnek. Az én esetemben mindkét felvétel kevesebb, mint egy perc különbséggel készült. Az egyetlen műveletem az volt, hogy eltávolítottam a Primer paramétert. Mint látható, a program ezt rögzítette. És sok más változást is rögzített. Valami folyamatosan történik az operációs rendszer „motorháztetője alatt”, és nagy része el van rejtve a szemünk elől.
A gombok megnyomásával törölheti azokat a képeket, amelyekre már nincs szüksége. Egyértelmű a program felületén. Letöltheti a Regshot programot.
A cikkben tárgyalt utolsó Windows rendszerleíró adatbázis -figyelő eszköz lesz a program Registry Live Watch... Talán már a névből is megérthető, hogy ez a program valós időben képes nyomon követni a rendszerleíró adatbázis változásait.
A program rendkívül egyszerű, és valójában nincsenek megfelelő beállításai sem. Csak adja meg a megfigyelni kívánt rendszerleíró adatbázis -ágat, és a gombbal indítsa el a megfigyelést Indítsa el a monitort.
A programnak azonban van egy súlyos hibája, amely nagyrészt tagadja a monitoring gondolatát. Csak a felügyelt rendszerleíró adatbázisban bekövetkezett változásokról szóló üzeneteket jeleníti meg, de nem írja pontosan, hogy milyen változtatások történtek. A második hátrány az, hogy a Registry Live Watch nem tudja figyelni a teljes rendszerleíró adatbázist. Letöltheti a programot.
A cikk végén beszéljünk arról, hogyan lehet automatizálni a rendszerleíró adatbázisra vonatkozó információk gyűjtését anélkül, hogy harmadik féltől származó szoftvereket használnánk. Ezt a reg export parancsot tartalmazó szkript segítségével lehet megtenni, amelynek szintaxisa szentelt. A parancsfájl ütemezett futtatásával egy sor rendszerleíró pillanatképet kap, amelyek szükség esetén összehasonlíthatók.
Van egy speciális SysTracer segédprogram, amelyet kifejezetten a rendszerben bekövetkezett változások nyomon követésére terveztek két "rendszer pillanatkép" összehasonlításával - előtte és utána. Ennek eredményeként a módosítások adatait kényelmes formában, három kategóriában kapjuk meg: "Nyilvántartás", "Fájlok", "Egyéb beállítások" (n / a csoportos házirendek, rendszer segédprogramok nyomkövetése más néven netsh)
(Őszintén szólva nem gyűjt össze mindent, bár a legtöbb esetben elég)
És ha "a gonosz védelmével harcolsz", akkor néhány trükköt használnak ott, amelyeket nem lehet közönséges nyomokkal felgyújtani 🙂
Ellenkező esetben minden nagyon egyszerű lenne, ebben az esetben a leghasznosabb eszköz, amelyben támogatom a résztvevőt l0calh0st,
ez Folyamatfigyelő tól től Sysinternals- pontosan erre van szüksége. (Ezek a srácok nyilvánvalóan néhány dokumentálatlan funkciót használnak, Mark Russinovich sokat tud 🙂) És rendkívül nehéz elrejteni a mozgásokat ebből a segédprogramból, ha helyesen van konfigurálva. (Bár lehetséges, tudom, hogyan, de nem mondom - mert nem kurva)
PS: Az egyetlen dolog az, hogy figyelmesen olvassa el a szűréssel kapcsolatos dokumentációt, pl Folyamatfigyelő alapértelmezés szerint naplózza az összes eseményt. Először is a telepítői folyamat azonosítójára kell céloznia, valamint (ha nem használják a telepítési folyamat során, akkor sok "szemét" van benne a hálózati kiiktatás letiltásához, ami nagymértékben zavarja a megértést ).
Windows programok
SysTracer Pro for Windows (hordozható)
SysTracer- segédprogram, amely nyomon tudja követni az operációs rendszer minden változását. Kezdetben a program beolvassa és elemzi az operációs rendszert, majd jelentést kínál a felhasználónak a programok és azok telepítői által a rendszerben végrehajtott változásokról. A SysTracer -t leggyakrabban tapasztalt felhasználók használják, mert a program által generált jelentéseket nem fogja mindenki megérteni.
A SysTracer nemcsak egy adott telepítő viselkedésének nyomon követésében, hanem az alkalmazások és a rendszer egészének elemzésében is hatékony. Az operációs rendszer változásai többször is nyomon követhetők. Ezenkívül a felhasználó lehetőséget kap arra, hogy nyomon kövesse a változásokat egy adott időszakban.
A program meglehetősen egyszerű algoritmus szerint működik. Kezdetben pillanatkép készül a rendszerleíró adatbázisról és a teljes operációs rendszer fájlrendszeréről. Amint a felhasználó új alkalmazást telepít, a SysTracer ismét pillanatfelvételt készít, és a két pillanatkép közötti különbség alapján elemzi a változásokat. A segédprogram által végzett vizsgálat további konfigurálható (kizárható az egyes fájlok, mappák, rendszerleíró kulcsok stb.). Külön napokon készíthet képeket, és összehasonlíthatja a bocsánatkéréseket a szükséges időszakban, például 15 -től 20 -ig stb.
Az eszköz telepítése és futtatása után egy működő ablakot fog látni maga előtt, amelyben hat fő lap található: Pillanatképek, Nyilvántartás, Fájlok, Alkalmazások, Távoli vizsgálat és Súgó.
A "Pillanatképek" lapon különféle műveleteket hajthat végre pillanatképekkel, például létrehozhatja, átnevezheti, törölheti vagy összehasonlíthatja őket. Felhívjuk a figyelmet arra, hogy webes formátumban vagy snp-kiterjesztésben lehet képeket exportálni. Ezenkívül a felhasználók itt konfigurálhatják a pillanatképek beállításait és megtekinthetik a tulajdonságokat. A nyilvántartó azt javasolja, hogy vizsgálja meg a rendszerleíró adatbázis egy pillanatképét, vagy hasonlítson össze kettőt. A felhasználó részletesebben tanulmányozhatja a partíciókulcsok állapotát. A SysTracer megkönnyíti a változások azonosítását a színkódolásnak köszönhetően. Például az új elemek zöld színnel, a módosított elemek kék színnel, a törölt fájlok, alkalmazások, a rendszerleíró adatbázis összetevői piros színnel, a változatlan elemek feketével és a nem szkennelt elemekkel lesznek kiemelve.
Töltse le a SysTracer programot Hihetetlenül praktikus eszköz kerül a számítógépre. A szoftver letölthető a felülvizsgálat alatti linkről.
A Registry Changes Viewer a programok telepítése után
Gondolkozott már azon, hogy pontosan mit változtatnak a telepített programok a számítógépen? Milyen változtatásokat hajtanak végre a Windows rendszerleíró adatbázisában és rendszerfájljaiban? És valaha kellett összehasonlítania két látszólag hasonló rendszert?
Természetesen ilyen kérdések csak akkor merülnek fel, ha annak oka van. Például két látszólag azonos rendszer eltérően reagál ugyanazon esemény bekövetkezésére. Vagy például észrevette, hogy a program telepítése után a számítógép furcsán kezd viselkedni: lassú betöltés, a rendszer lefagy bizonyos műveletek közben stb.
Hogy ezekre és más kérdésekre választ kapjon, a Microsoft kiadott egy "Windows System State Analyzer" nevű speciális eszközt. A Windows Szoftvertanúsító Eszköztár része, amelyet nem könnyű megtalálni. Felhívjuk figyelmét, hogy a programhoz ".NET Framework 2.0" szükséges. A segédprogram 32 és 64 bites verzióban érkezik, és a Windows összes jelenlegi verziójához használható. Részletes leírást és letöltési linket ezen a linken talál a Microsoft blogra (az oldal orosz nyelvre történő lefordításához az oldal jobb oldalán lépjen az "Oldal fordítása" szakaszba, és válassza ki a kívánt nyelvet; a fordítás természetesen nem teljesen irodalmi, de azonban elegendő a szöveg normális felfogásához).
A Microsoft blogbejegyzés végén két letöltési linket láthat a "Server Logo Program Software Certification Tool" nevű fájlhoz-x86 32 bites rendszerekhez és x64 64 bites rendszerekhez. Ne ijedjen meg a névtől, a telepítés során válasszon egy egyéni telepítést, és már ott, a telepített összetevők között válassza a "Rendszerállapot -elemző" lehetőséget. Az alábbi ábra egy párbeszédpanelt mutat a csak elemző telepítés kiválasztásához.
jegyzet: Telepítheti a "Windows System State Monitor" -t is, amely lehetővé teszi a változások valós idejű figyelésének megkezdését.
A Microsoft blogcikke részletesen bemutatja az elemzőgép használatát. Természetesen, ha jártas a technikában, akkor maga gyorsan rájön, hogyan működik a segédprogram. Kérjük, vegye figyelembe, hogy eltarthat egy ideig, amíg elkészül az első rendszerkép, különösen akkor, ha úgy dönt, hogy figyelemmel kíséri a számítógépen végrehajtott összes módosítást.
Nem kell azonban kiválasztania az összes elemet; csak azokat a fájlokat és rendszerleíró kulcsokat veheti fel, amelyeket szükségesnek tart az elemzésben. Az alábbi ábrán láthat egy használati példát:
Most mindent megtudhat, ami a számítógépén történik.
ida-freewares.ru
Melyik a jobb: valós idejű követés vagy rendszerképek a programok telepítésekor?
A szoftver telepítések nyomon követésének két módja van (az adatok későbbi tiszta tisztítására). Az első, meglehetősen régi, a rendszerleíró adatbázis és a fájlrendszer pillanatképeinek használata a telepítés előtt és után, majd összehasonlításuk. A második, amelyet az Eltávolító eszközben használnak, a szoftver telepítési figyelő segítségével valós módban követi nyomon a változásokat. A második módszer a legfejlettebb a következő nyilvánvaló okok miatt:
