Vetvy registra operačného systému Windows uchovávajú nastavenia a parametre samotného systému, ako aj ďalší softvér nainštalovaný v počítači. Niekedy musíte zistiť, ktoré pobočky registra spúšťa spustený program alebo ako sa mení distribúcia jeho inštalácie. Aby ste zistili, čo sa v registri zmenilo, musíte použiť špeciálny program na monitorovanie stavu parametrov systémového registra. Program RegFromApp v reálnom čase monitoruje zmeny v systémovom registri vykonané spusteným programom (procesom) a odráža vetvu registra a hodnoty v ňom zmenené.
Sledujte zmeny v registri
Ak chcete zistiť, čo konkrétny program mení v registri, musíte spustiť RegFromApp a zo zoznamu všetkých spustených procesov vybrať proces, ktorý chcete monitorovať. Hneď ako program, ktorý je predmetom záujmu užívateľa, vstúpi do registra a zmení hodnoty svojich pobočiek, RegFromApp okamžite zobrazí vetvu registra, v ktorej sa zmeny uskutočňujú, a zobrazí zmenené hodnoty. Zmeny vykonané v registri je možné uložiť do súboru databázy Registry (* .reg). Obslužný program RegFromApp podporuje spustenie z príkazového riadka s parametrami.
Snímky obrazovky RegFromApp
Oficiálna stránka: http://www.nirsoft.net
OS:
32,64 Windows XP / Vista / 7/8
Podporované jazyky: Rusky
Verzia: 1.32
Licencia:freeware (zadarmo)
Veľkosť súboru 107 Kb
Ďalšie zaujímavé programy:
- SmartLombard je prvý ruský program na optimalizáciu riadenia záložne
Niekedy môžete chcieť sledovať zmeny vykonané programami alebo nastaveniami v registri Windows. Napríklad na následné zrušenie týchto zmien alebo na zistenie toho, ako sa do registra zapisujú určité parametre (napríklad nastavenia návrhu, aktualizácie operačného systému).
Táto recenzia obsahuje obľúbené bezplatné programy, ktoré uľahčujú zobrazenie zmien v registri Windows 10, 8 alebo Windows 7 a niektoré ďalšie informácie.
Bezplatné hodinky Registry Live Watch fungujú trochu inak: nie porovnávaním dvoch vzoriek registra Windows, ale sledovaním zmien v reálnom čase. Program však nezobrazuje samotné zmeny, ale iba informuje, že k takejto zmene došlo.
Program si môžete stiahnuť z oficiálnych webových stránok vývojára http://leelusoft.altervista.org/registry-live-watch.html
Čo sa zmenilo
Ďalší program, ktorý vám umožňuje zistiť, čo sa zmenilo v registri Windows 10, 8 alebo Windows 7, je WhatChanged. Jeho použitie je veľmi podobné tomu v prvom programe tejto recenzie.
Program nemá vlastnú oficiálnu webovú stránku, ale dá sa ľahko nájsť na internete a nevyžaduje inštaláciu na počítači (pre každý prípad si pred spustením skontrolujte program na virustotal.com, ale majte na pamäti, že existuje jedna falošná detekcia v pôvodnom súbore).
Ďalší spôsob, ako porovnať dve varianty registra Windows bez programov
Windows má vstavaný nástroj na porovnávanie obsahu súborov - fc.exe (Porovnanie súborov), ktorý okrem iného možno použiť na porovnanie dvoch variantov pobočiek registra.
Ak to chcete urobiť, pomocou editora databázy Registry systému Windows exportujte požadovanú vetvu registra (kliknite pravým tlačidlom myši na sekciu - export) pred a po zmenách s rôznymi názvami súborov, napríklad 1.reg a 2.reg.
Potom použite príkaz ako:
Fc c: \ 1.reg c: \ 2.reg> c: \ log.txt
Kde sú najskôr určené cesty k dvom súborom registra a potom cesta k textovému súboru s výsledkami porovnania.
Metóda bohužiaľ nie je vhodná na sledovanie významných zmien (pretože vizuálne nebude možné v správe nič rozoberať), ale iba na nejaký malý kľúč databázy Registry s niekoľkými parametrami, kde sa má zmena vykonať, a skôr sledovať samotný fakt zmeny.
Register Windows
je možno najdynamickejšou súčasťou operačného systému. Odzrkadľuje všetky, aj tie najpodstatnejšie zmeny systému vykonané pravidelnými programami a programami tretích strán. Skúsení používatelia môžu sledovať tieto zmeny pomocou špeciálnych nástrojov na tieto účely, o jednom z nich sa bude dnes diskutovať. To sa nazýva. Tento malý prenosný nástroj od Nirsoft
vám umožňuje monitorovať činnosť programov nainštalovaných v počítači.
Alebo skôr zaznamenať všetky zmeny, ktoré vykonajú počas svojej práce, do systémového registra a v prípade potreby porovnať predtým získané výsledky s neskoršími. Výnimkou sú Universal Windows Apps, ktoré sa pripájajú k svojim procesom v najčastejšie zlyhá.
Poznámka: na sledovanie práce 32-bitové je potrebné používať programy 32-bitové verzia , dokonca aj na 64-bit systému.
Tento nástroj je veľmi jednoduchý na používanie. Po jeho spustení budete vyzvaní, aby ste vybrali proces, ktorý chcete monitorovať, a kliknite naň OK ... Proces môžete vybrať aj ručne z hlavnej grafickej ponuky programu. Potom sa monitorovanie spustí na pozadí. Hneď ako monitorovaný program vykoná akékoľvek zmeny v registri, okamžite sa zobrazia v hlavnom okne obslužného programu. Údaje o zmene je možné skopírovať do schránky alebo uložiť do súboru REG.
Režim zobrazenia v dva. Obslužný program predvolene zobrazuje iba posledné zmenené hodnoty, ale je možné nastaviť aj zobrazenie pôvodných hodnôt. V programe nie sú žiadne ďalšie významné nastavenia.
Čas od času môže byť potrebné, aby si užívatelia a správcovia systému pozreli zmeny v registri Windows na určité obdobie. Dôvodom môže byť túžba zistiť, aké zmeny vykoná konkrétny program alebo akcie používateľa.
Zmeny vykonané v registri Windows môžete zobraziť pomocou nástrojov zabudovaných do operačného systému aj pomocou softvéru tretích strán. Začnime prvými.
Okrem toho tiež uvádzame, že všetko súvisí s dvoma metódami: porovnávanie dvoch „snímok“ registra urobených v rôznych časoch alebo sledovanie zmien v reálnom čase.
Najdostupnejší spôsob, ako zistiť, aké zmeny boli vykonané v registri, je použiť vstavaný nástroj Windows fc.exe... Výhodou tejto metódy je, že nie je potrebné hľadať ďalší softvér. Pomôcka fc.exe sa vo všeobecnosti používa nielen na zobrazenie zmien v registri, ale aj na porovnanie dvoch súborov alebo skupín súborov vo všeobecnosti. Je teda zrejmé, že potrebujeme dve „snímky“ registra.
Vopred exportujeme celý register alebo len pobočku, ktorú potrebujeme. Povedzme, že máme dva súbory: 1.reg a 2.reg, ktoré vložíme na disk C. Potom ich môžete porovnať pomocou príkazu
fc c: \ 1.reg c: \ 2.reg> c: \ log.txtV tomto prípade sme výsledok príkazu vložili do textového súboru. Odporúčal by som však použiť pokročilejší formát a / alebo editor silnejší ako Poznámkový blok, aby s ním neboli žiadne problémy.
Hore som použil formát MS Word a .doc.
Problém s používaním súboru fc.exe spočíva v tom, že výsledok jeho práce je ťažko čitateľný. Snímka obrazovky vyššie hovorí, že pobočka parameter bol pridaný Základný náter... Je však nepravdepodobné, že by ste to dokázali pochopiť, ak o tom vopred neviete. Nemôžete nazvať fc.exe úplným analytickým nástrojom. Tento nástroj je vhodnejší, keď sami vykonáte zmeny v registri a chcete sa uistiť, že boli vykonané (ale nechcete sa túlať po pobočkách registra v regedit).
Prejdeme teda k ďalšiemu nástroju, ktorý už bohužiaľ v moderných verziách systému Windows nie je zahrnutý, ale je možné ho pridať. To sa nazýva WinDiff... Môžete ho pridať inštaláciou balíkov Microsoft Windows SDK. Po Windows 7 bol bohužiaľ z týchto balíkov vylúčený aj WinDiff, ale môžete si ho napríklad stiahnuť samostatne.
Ak chcete použiť nástroj WinDiff z príkazového riadka systému Windows, umiestnite ho do adresára % WINDIR% \ System32... Teraz na porovnanie dvoch súborov registra z príkladu stačí zadať príkaz
windiff C: \ 1.reg C: \ 2.reg
Otvorí sa grafické rozhranie obslužného programu, ktoré môžete vidieť na obrázku vyššie. Poďme zistiť, ako čítať výstup programu WinDiff.
- Riadky na bielom pozadí znamenajú, že obsah súborov sa zhoduje;
- Riadky s červeným pozadím zobrazujú obsah prvého (ľavého) súboru, ktoré nie sú v druhom (pravom);
- Riadky so žltým pozadím zobrazujú obsah druhého (pravého) súboru, ktorý sa nenachádza v prvom (vľavo).
Máme žltú čiaru s obsahom "Primer" = ""... To znamená, že parameter sa objavil v druhom súbore Základný náter s prázdnou hodnotou. A on je in HKEY_LOCAL_MACHINE \ SOFTWARE \ Test... Pretože bol druhý súbor uložený neskôr ako prvý, dá sa vyvodiť, že tento parameter bol pridaný a nie odstránený.
Prejdeme k nástrojom na monitorovanie registra tretích strán.
Populárnym bezplatným riešením je program Regshot... Program tiež pracuje so snímkami registra a vytvára ich sám a neanalyzuje predtým uložené súbory. Toto je jeho nevýhoda. A plus je, že je to veľmi jednoduché.
Najprv musíte urobiť prvú snímku registra.
Potom sa dajú porovnať.
Po skončení porovnávacieho procesu program automaticky otvorí súbor s výsledkami práce. Ďalšou výhodou programu Regshot je, že súbor je ľahko čitateľný. Stojí však za zmienku, že bude obsahovať veľa zmien v registri, ktoré sa môžu zdať ako druh Morseovej abecedy. V mojom prípade boli oba zábery urobené s menej ako minútovým odstupom. Moja jediná akcia bola, že som odstránil parameter Primer. Ako vidíte, program to zaznamenal. A tiež zaznamenal mnoho ďalších zmien. Neustále sa niečo deje „pod kapotou“ operačného systému a väčšina z toho je skrytá pred našimi očami.
Obrázky, ktoré už nepotrebujete, je možné odstrániť stlačením tlačidla. jasný v rozhraní programu. Môžete si stiahnuť program Regshot.
Program bude posledným nástrojom na monitorovanie registra systému Windows, o ktorom sa hovorí v tomto článku Živé sledovanie registra... Možno už z názvu pochopíte, že tento program je schopný sledovať zmeny v registri v reálnom čase.
Program je tiež veľmi jednoduchý a v skutočnosti nemá ani správne nastavenia. Stačí zadať vetvu registra, ktorú chcete monitorovať, a pomocou tlačidla začať monitorovať Spustite monitor.
Program má však vážnu chybu, ktorá z väčšej časti neguje samotnú myšlienku monitorovania. Zobrazuje iba správy o zmenách v sledovanej vetve registra, ale nepíše presne, aké zmeny boli vykonané. Druhou nevýhodou je, že Register Live Watch nemôže monitorovať celý register. Program si môžete stiahnuť.
Na konci článku si povedzme, ako automatizovať zhromažďovanie informácií o registri bez toho, aby ste sa museli uchýliť k softvéru tretích strán. To je možné vykonať pomocou skriptu obsahujúceho príkaz reg export, ktorého syntax je venovaná. Spustením tohto skriptu podľa plánu získate sériu snímok registra, ktoré môžete v prípade potreby porovnať.
Existuje špeciálny nástroj SysTracer špeciálne navrhnutý na sledovanie zmien v systéme porovnaním dvoch „systémových snímok“ - pred a po. Výsledkom je, že získavame údaje o zmenách prezentované vhodnou formou v troch kategóriách „Register“, „Súbory“ a „Iné nastavenia“ (nepoužíva sa politika skupiny, sledovanie systémových nástrojov aka netsh)
(Úprimne povedané, nezbiera všetko, aj keď to vo väčšine prípadov stačí)
A ak „bojujete s obranou zla“, potom sa tam používajú niektoré triky, ktoré nemožno zapáliť bežnou stopou 🙂
V opačnom prípade by bolo všetko veľmi jednoduché, v tomto prípade najužitočnejším nástrojom, v ktorom podporujem účastníka l0calh0st,
toto je Monitor procesu od Sysinternals- to je presne to, čo potrebuješ. (Títo ľudia zrejme používajú niektoré nedokumentované funkcie, Mark Russinovich toho vie veľa 🙂) A je veľmi ťažké skryť akékoľvek pohyby pred týmto nástrojom, ak je správne nakonfigurovaný. (Aj keď je to možné, viem ako, ale nepoviem - pretože to nie je kurva)
PS: Jediná vec je pozorne si prečítať dokumentáciu týkajúcu sa filtrovania, ako Monitor procesu predvolene zaznamenáva všetky udalosti. Najprv ho musíte zacieliť na ID procesu inštalátora a tiež (ak sa počas procesu inštalácie nepoužíva, je v ňom veľa „odpadkov“ na deaktiváciu skládky siete, čo výrazne narúša porozumenie. ).
Programy pre Windows
SysTracer Pro pre Windows (prenosný)
SysTracer- nástroj, ktorý môže sledovať všetky druhy zmien v operačnom systéme. Program spočiatku skenuje a analyzuje operačný systém a potom používateľovi ponúkne správu o nájdených zmenách, ktoré v systéme vykonali programy a ich inštalátory. SysTracer používajú najčastejšie skúsení užívatelia, pretože reportom generovaným programom nebude každý rozumieť.
SysTracer je účinný nielen pri sledovaní správania sa jedného konkrétneho inštalátora, ale aj pri analýze fungovania aplikácií a systému ako celku. Zmeny v operačnom systéme je možné monitorovať viackrát. Užívateľ má tiež možnosť sledovať zmeny v určitom časovom období.
Program pracuje podľa pomerne jednoduchého algoritmu. Na začiatku sa urobí snímka registra a celého systému súborov OS. Hneď ako si používateľ nainštaluje novú aplikáciu, SysTracer urobí znova snímku a analyzuje zmeny na základe rozdielu medzi týmito dvoma snímkami. Skenovanie vykonávané obslužným programom je možné dodatočne nakonfigurovať (je možné vylúčiť jednotlivé súbory, priečinky, kľúče registra atď.). Môžete fotografovať v oddelené dni a porovnávať ospravedlnenie v potrebnom časovom období, napríklad od 15. do 20. atď.
Po inštalácii a spustení nástroja sa pred vami zobrazí pracovné okno, v ktorom je šesť hlavných kariet: Snímky, Register, Súbory, Aplikácie, Vzdialené skenovanie a Pomocník.
Na karte „Snímky“ môžete so snímkami vykonávať rôzne operácie, napríklad ich vytvárať, premenovávať, odstraňovať alebo porovnávať. Pozornosť je venovaná možnosti exportu obrázkov vo webovom formáte alebo rozšírení snp. Navyše tu používatelia konfigurujú nastavenia a vlastnosti zobrazení pre snímky. Register navrhuje preskúmanie jednej snímky registra alebo porovnanie dvoch. Používateľ si môže stav kľúčov oddielov preštudovať podrobnejšie. SysTracer uľahčuje identifikáciu zmien vďaka farebnému kódovaniu. Nové položky budú napríklad zvýraznené zelenou farbou, upravené položky modrou farbou, odstránené súbory, aplikácie, súčasti registra červenou farbou, nezmenené položky čiernou farbou a položky, ktoré neboli naskenované sivou farbou.
Stiahnite si SysTracer Je dostať do počítača neuveriteľne šikovný nástroj. Softvér si môžete stiahnuť pomocou odkazu pod touto recenziou.
Register po inštalácii programov zmení prehliadač
Zamysleli ste sa niekedy nad tým, čo presne nainštalované programy vo vašom počítači menia? Aké zmeny robia v registri systému Windows a systémových súboroch? A museli ste niekedy porovnať dva zdanlivo podobné systémy?
Takéto otázky samozrejme vznikajú, iba ak na to existujú dôvody. Napríklad dva zdanlivo identické systémy reagujú odlišne na výskyt tej istej udalosti. Alebo ste si napríklad všimli, že po inštalácii programu sa váš počítač začne správať čudne: pomalé načítanie, systém pri určitých akciách zamrzne a podobne.
Na nájdenie odpovedí na tieto a ďalšie otázky spoločnosť Microsoft vydala špeciálny nástroj s názvom „Analyzátor stavu systému Windows“. Je súčasťou sady nástrojov Windows Software Certification Toolkit, ktorú nie je ľahké nájsť. Upozorňujeme, že program vyžaduje „.NET Framework 2.0“. Tento nástroj je k dispozícii v 32-bitových a 64-bitových verziách a je možné ho použiť pre všetky aktuálne verzie systému Windows. Podrobný popis a odkaz na stiahnutie nájdete na tomto odkaze na blog Microsoftu (ak chcete stránku preložiť do ruštiny, na pravej strane stránky prejdite do sekcie „Preložiť túto stránku“ a vyberte požadovaný jazyk; preklad, samozrejme, nie je celkom literárny, ale na bežné vnímanie textu však stačí).
Na konci blogového príspevku spoločnosti Microsoft uvidíte dva odkazy na stiahnutie súboru s názvom „Nástroj na certifikáciu softvéru serverového loga“-x86 pre 32-bitové systémy a x64 pre 64-bitové systémy. Nebojte sa názvu, počas inštalácie zvoľte vlastnú inštaláciu a už tam medzi nainštalovanými komponentmi zvoľte „System State Analyzer“. Nasledujúci obrázok zobrazuje dialógové okno na výber inštalácie iba pre analyzátor.
Poznámka: Môžete si tiež nainštalovať „Monitor stavu systému Windows“, ktorý vám umožní začať monitorovať zmeny v reálnom čase.
Článok blogu spoločnosti Microsoft sa podrobne zaoberá tým, ako používať analyzátor. Ak ste technicky zdatní, potom sami rýchlo zistíte, ako tento nástroj funguje. Vezmite prosím na vedomie, že vytvorenie prvého snímku systému môže chvíľu trvať, najmä ak sa rozhodnete sledovať všetky zmeny vo svojom počítači.
Nemusíte však vyberať všetky položky, do analýzy môžete zahrnúť iba tie súbory a kľúče databázy Registry, ktoré považujete za potrebné. Príklad použitia môžete vidieť na nasledujúcom obrázku:
Teraz sa môžete dozvedieť o všetkom, čo sa deje vo vašom počítači.
ida-freewares.ru
Čo je lepšie: sledovanie v reálnom čase alebo systémové snímky pri inštalácii programov?
Existujú 2 prístupy k sledovaniu inštalácií softvéru (na následné čisté čistenie ich údajov). Prvá, pomerne stará, je použiť snímky registra a systému súborov pred inštaláciou a po inštalácii a potom ich porovnať. Druhým, ktorý sa používa v nástroji na odinštalovanie, je sledovanie zmien v reálnom režime pomocou monitora inštalácie softvéru. Druhá metóda je najprogresívnejšia z nasledujúcich zrejmých dôvodov:
