RegFromApp Відстеження змін реєстру. Реєстр Windows для початківців. Базові поняття, моніторинг та догляд

11.04.2016 9490

Реєстр Windows є, мабуть, найдинамічнішим компонентом операційної системи. У ньому відображаються будь-які, навіть найменші зміни, що вносяться в систему штатними та сторонніми програмами. Досвідчені користувачі можуть відстежувати подібні зміни, застосовуючи для цього спеціальні утиліти, про одну з яких сьогодні піде мова. Називається вона. Ця невелика портативна утиліта від Nirsoft дозволяє проводити спостереження за роботою встановлених на комп'ютері програм.

А вірніше фіксувати всі зміни, які вони в процесі своєї роботи вносять до системного реєстру, і за необхідності порівнювати раніше отримані результати з пізнішими. Винятки становлять універсальні програми Windows, підключення до їх процесів найчастіше завершується помилкою.

Примітка: для відстеження роботи 32-бітних програм потрібно використовувати 32-розрядну версію , навіть на 64-бітної системі.

Користуватися утилітою досить просто. Після її запуску вам буде запропоновано вибрати процес для спостереження та натиснути ок . Також процес можна вибрати вручну із головного графічного меню програми. Після цього буде запущено спостереження у фоновому режимі. Як тільки програма, що відстежується, внесе в реєстр якісь зміни, вони відразу з'являться в головному вікні утиліти. Дані про зміни можна скопіювати в буфер обміну або зберегти файл REG.

Режиму відображення в два. За замовчуванням утиліта показує лише останні змінені значення, але також можна задати показ вихідних значень. Інших значних налаштувань у програмі немає.

У гілках реєстру Windows зберігаються налаштування та параметри самої системи, а також іншого встановленого на комп'ютері програмного забезпечення. Іноді потрібно дізнатися які гілки реєстру змінює програма, що запускається, або її настановний дистрибутив. Для того, щоб дізнатися, що було змінено в реєстрі, потрібно скористатися спеціальною програмою для моніторингу стану параметрів системного реєстру. Програма RegFromApp відслідковує в режимі реального часу зміни в системному реєстрі, що виконуються запущеною програмою (процесом) і відображає гілку реєстру та значення, що змінюються в ній.

Відстежити зміни у реєстрі

Щоб дізнатися, що змінює в реєстрі конкретна програма, потрібно запустити RegFromApp і вибрати процес, що цікавить для відстеження, зі списку всіх запущених процесів. Як тільки програма, що цікавить користувача, звернеться до реєстру і змінить значення його гілок, RegFromApp відразу відобразить гілку реєстру, в якій відбуваються зміни і покаже змінювані значення. Внесені до реєстру зміни можна зберегти у файлі реєстру (*.reg). Утиліта RegFromApp підтримує запуск із командного рядка з параметрами.

Скріншоти програми RegFromApp

Більше половини всіх користувачів ПК у якийсь момент замислюються про автоматизацію налаштувань своєї операційної системи. Всім відомо, що в операційних системах Windows централізованим сховищем для більшості налаштувань самої системи та встановлених програм є системний реєстр. У реєстрі зберігаються сотні тисяч параметрів, які відповідають за різні налаштування. Знаючи, що в розділі HKEY_CURRENT_USER розташовані налаштування облікового запису користувача, у HKEY_LOCAL_MACHINE - налаштування комп'ютера, а розділ HKEY_CLASSES_ROOT відповідає за запуск необхідної програми при відкритті файлу за допомогою провідника, область пошуку необхідного параметра скорочується, хоча знайти потрібний параметр все одно дуже складно. Використовувати твікери реєстру не рекомендується, тому що вони можуть записувати в реєстрі непотрібні розділи та параметри, а пошук в інтернеті нічого не дає. У цьому випадку вам слід скористатися програмами, які призначені для моніторингу реєстру. У цій статті йдеться про RegShot і Process Monitor – утиліту Sysinternals, призначену для моніторингу операційної системи Windows, яка в режимі реального часу відображає активність файлової системи, реєстру, а також процесів та потоків.

Використання програми RegShot

RegShot – це невелика утиліта, призначена для фіксації змін у системному реєстрі операційних систем Windows. Ця утиліта може робити знімки реєстру, порівнювати два знімки і знаходити між ними всі зміни. Усі налаштування програми зберігаються у конфігураційному файлі regshot.inf, а мовні налаштування зберігаються у файлі language.inf. Основною перевагою програми є те, що вона не інтегрується в систему та не записує до Реєстру жодної інформації. Розглянемо принципи роботи цієї утиліти простому прикладі.

У цьому прикладі спробуємо простежити за змінами, пов'язаними з одним із налаштувань браузера Internet Explorer. Щоб простежити за змінами, виконайте такі дії:

Після того, як звіт буде сформований, ви можете очистити з буфера програми 1й, 2й знімок, а також очистити обидва знімки відразу.

Звіт у форматі HTML виглядає акуратнішим і є більш зручним, тому що в ньому рядки зі старим значенням виділені зеленим кольором, для кращого сприйняття.

Тепер, після того, як зміни видно, можна написати reg-файл, який відповідає за дане налаштування. Якщо ви боїтеся зробити в reg-файлі помилку, зайдіть у редактор реєстру та внесіть зміни. Після цього експортуйте зміни до reg-файлу та в блокноті видаліть усі непотрібні рядки.

В даному випадку має вийти такий reg-файл:

Windows Registry Editor Version 5.00 "Anchor Underline" = "no"

Якщо вам потрібно знайти відразу кілька параметрів реєстру, що відповідають за різні налаштування, краще знаходити ці параметри по черзі.

Використання програми Process Monitor

Якщо утиліта RegShot призначена лише для фіксації змін у системному реєстрі, то утиліта Process monitor від Sysinternals, написана на основі утиліт FileMon та RegMon, призначена для моніторингу операційної системи Windows. Вона в режимі реального часу відображає активність файлової системи, реєстру, процесів і потоків. За допомогою цієї утиліти ви можете виконувати такі дії:

• відстежувати запуск та завершення роботи процесів та потоків, включаючи інформацію про код завершення;
• збирати дані про параметри операцій введення та виведення;
• встановлювати фільтри для відображення потрібної інформації;
• записувати до журналу всі операції під час завантаження системи.

і багато іншого.

У цій частині статті я розповім тільки про те, як можна стежити за змінами реєстру за допомогою цієї утиліти. На прикладі спробуємо простежити за змінами в реєстрі при зміні браузера, який використовується за замовчуванням. Для цього виконайте такі дії:

Діалогове вікно фільтра дозволяє вказувати атрибути, які відображатимуться або виключатимуться подіями, що відповідають значенням атрибутів. У цьому прикладі потрібно скористатися лише трьома типами атрибутів:

• EventClass- тип події, що охоплює один із основних класів подій (FileSystem, Network, Process, Profiling або Registry);
• Operation- дії, які виконує система;
• Process Name- Ім'я процесу, за яким необхідно стежити.

У цьому прикладі будуть використовуватися лише деякі значення атрибуту Operation. Короткий опис деяких дій:

RegCloseKey- закриває дескриптор вказаного розділу реєстру;

RegOpenKey- відкриває дескриптор вказаного розділу реєстру;

RegCreateKey- створює дескриптор вказаного розділу реєстру;

RegQueryKey- повертає значення параметрів, пов'язаних із відкритим розділом реєстру;

RegEnumKey- перераховує підрозділи вказаного відкритого розділу реєстру;

RegDeleteKey- видаляє дескриптор вказаного розділу реєстру;

RegSetValue- Змінює значення зазначеного параметра реєстру;

У діалоговому вікні "Process Monitor Filter"Для початку видаліть усі фільтри. Потім виконайте такі дії:

• "EventClass" "is". У третьому списку, що розкривається, виберіть значення "File System", а потім виберіть "Exclude". Натисніть на кнопку "Add".

Повторіть ці дії для класів "Network", "Process"і "Profiling".

• З першого списку виберіть атрибут "Process Name". У другому списку, що розкривається, залиште значення "is". У третьому списку, що розкривається, введіть ім'я процесів, за якими потрібно простежити. У цьому прикладі ми стежитимемо за процесами iexplore.exeі opera.exe.
• З першого списку виберіть атрибут «Operation». У другому списку, що розкривається, залиште значення «is». У третьому списку, що розкривається, виберіть значення, які відображаються на наступному скріншоті.

Також замість того, щоб виключати деякі дії, ви можете просто встановити "Include"для дії "RegSetValue".

Після того, як потрібні фільтри будуть обрані, натисніть кнопку "ОК". Під час застосування фільтрів ви побачите наступний діалог:

Зупиніть моніторинг реєстру перед тим, як вам потрібно буде перевіряти зміни. Для цього натисніть кнопку «Capture»на панелі інструментів, або скористайтесь комбінацією клавіш Ctrl+E. Очистіть вміст програми, натиснувши кнопку "Clear"або за допомогою комбінації клавіш Ctrl+X.

Якщо у вас встановлений за промовчанням браузер Internet Explorer, відкрийте Opera і дочекайтеся появи діалогу з пропозицією зробити його за промовчанням. Після появи цього діалогу перейдіть в Process Monitor і увімкніть моніторинг за допомогою кнопки Capture. Перейдіть до Opera і встановіть його браузером за промовчанням.

Після виконання цих дій поверніться до Process Monitor і зупиніть моніторинг. Вікно програми Process Monitor виглядатиме приблизно так:

Серед значень, що відобразилися, неважко помітити, що всі зміни, що відносяться до установки браузера за замовчуванням, зберігаються в розділі HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Значення зміненого параметра можна побачити в стовпці Details або відкривши діалог властивостей події:

У результаті виходить наступний твік реєстру:

Windows Registry Editor Version 5.00 "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML"

Більше половини всіх користувачів ПК у якийсь момент замислюються про автоматизацію налаштувань своєї операційної системи. Всім відомо, що в операційних системах Windows централізованим сховищем для більшості налаштувань самої системи та встановлених програм є системний реєстр. У реєстрі зберігаються сотні тисяч параметрів, які відповідають за різні налаштування. Знаючи, що в розділі HKEY_CURRENT_USER розташовані налаштування облікового запису користувача, у HKEY_LOCAL_MACHINE - налаштування комп'ютера, а розділ HKEY_CLASSES_ROOT відповідає за запуск необхідної програми при відкритті файлу за допомогою провідника, область пошуку необхідного параметра скорочується, хоча знайти потрібний параметр все одно дуже складно. Використовувати твікери реєстру не рекомендується, тому що вони можуть записувати в реєстрі непотрібні розділи та параметри, а пошук в інтернеті нічого не дає. У цьому випадку вам слід скористатися програмами, які призначені для моніторингу реєстру. У цій статті йдеться про RegShot і Process Monitor – утиліту Sysinternals, призначену для моніторингу операційної системи Windows, яка в режимі реального часу відображає активність файлової системи, реєстру, а також процесів та потоків.

Використання програми RegShot

RegShot – це невелика утиліта, призначена для фіксації змін у системному реєстрі операційних систем Windows. Ця утиліта може робити знімки реєстру, порівнювати два знімки і знаходити між ними всі зміни. Усі налаштування програми зберігаються у конфігураційному файлі regshot.inf, а мовні налаштування зберігаються у файлі language.inf. Основною перевагою програми є те, що вона не інтегрується в систему та не записує до Реєстру жодної інформації. Розглянемо принципи роботи цієї утиліти простому прикладі.

У цьому прикладі спробуємо простежити за змінами, пов'язаними з одним із налаштувань браузера Internet Explorer. Щоб простежити за змінами, виконайте такі дії:

Після того, як звіт буде сформований, ви можете очистити з буфера програми 1й, 2й знімок, а також очистити обидва знімки відразу.

Звіт у форматі HTML виглядає акуратнішим і є більш зручним, тому що в ньому рядки зі старим значенням виділені зеленим кольором, для кращого сприйняття.

Більше половини всіх користувачів ПК у якийсь момент замислюються про автоматизацію налаштувань своєї операційної системи. Всім відомо, що в операційних системах Windows централізованим сховищем для більшості налаштувань самої системи та встановлених програм є системний реєстр. У реєстрі зберігаються сотні тисяч параметрів, які відповідають за різні налаштування. Знаючи, що в розділі HKEY_CURRENT_USER розташовані налаштування облікового запису користувача, у HKEY_LOCAL_MACHINE - налаштування комп'ютера, а розділ HKEY_CLASSES_ROOT відповідає за запуск необхідної програми при відкритті файлу за допомогою провідника, область пошуку необхідного параметра скорочується, хоча знайти потрібний параметр все одно дуже складно. Використовувати твікери реєстру не рекомендується, тому що вони можуть записувати в реєстрі непотрібні розділи та параметри, а пошук в інтернеті нічого не дає. У цьому випадку вам слід скористатися програмами, які призначені для моніторингу реєстру. У цій статті йдеться про RegShot і Process Monitor – утиліту Sysinternals, призначену для моніторингу операційної системи Windows, яка в режимі реального часу відображає активність файлової системи, реєстру, а також процесів та потоків.

Використання програми RegShot

RegShot – це невелика утиліта, призначена для фіксації змін у системному реєстрі операційних систем Windows. Ця утиліта може робити знімки реєстру, порівнювати два знімки і знаходити між ними всі зміни. Усі налаштування програми зберігаються у конфігураційному файлі regshot.inf, а мовні налаштування зберігаються у файлі language.inf. Основною перевагою програми є те, що вона не інтегрується в систему та не записує до Реєстру жодної інформації. Розглянемо принципи роботи цієї утиліти простому прикладі.

У цьому прикладі спробуємо простежити за змінами, пов'язаними з одним із налаштувань браузера Internet Explorer. Щоб простежити за змінами, виконайте такі дії:

Після того, як звіт буде сформований, ви можете очистити з буфера програми 1й, 2й знімок, а також очистити обидва знімки відразу.

Звіт у форматі HTML виглядає акуратнішим і є більш зручним, тому що в ньому рядки зі старим значенням виділені зеленим кольором, для кращого сприйняття.

Тепер, після того, як зміни видно, можна написати reg-файл, який відповідає за дане налаштування. Якщо ви боїтеся зробити в reg-файлі помилку, зайдіть у редактор реєстру та внесіть зміни. Після цього експортуйте зміни до reg-файлу та в блокноті видаліть усі непотрібні рядки.

В даному випадку має вийти такий reg-файл:

Windows Registry Editor Version 5.00 "Anchor Underline" = "no"

Якщо вам потрібно знайти відразу кілька параметрів реєстру, що відповідають за різні налаштування, краще знаходити ці параметри по черзі.

Використання програми Process Monitor

Якщо утиліта RegShot призначена лише для фіксації змін у системному реєстрі, то утиліта Process monitor від Sysinternals, написана на основі утиліт FileMon та RegMon, призначена для моніторингу операційної системи Windows. Вона в режимі реального часу відображає активність файлової системи, реєстру, процесів і потоків. За допомогою цієї утиліти ви можете виконувати такі дії:

• відстежувати запуск та завершення роботи процесів та потоків, включаючи інформацію про код завершення;
• збирати дані про параметри операцій введення та виведення;
• встановлювати фільтри для відображення потрібної інформації;
• записувати до журналу всі операції під час завантаження системи.

і багато іншого.

У цій частині статті я розповім тільки про те, як можна стежити за змінами реєстру за допомогою цієї утиліти. На прикладі спробуємо простежити за змінами в реєстрі при зміні браузера, який використовується за замовчуванням. Для цього виконайте такі дії:

Діалогове вікно фільтра дозволяє вказувати атрибути, які відображатимуться або виключатимуться подіями, що відповідають значенням атрибутів. У цьому прикладі потрібно скористатися лише трьома типами атрибутів:

• EventClass- тип події, що охоплює один із основних класів подій (FileSystem, Network, Process, Profiling або Registry);
• Operation- дії, які виконує система;
• Process Name- Ім'я процесу, за яким необхідно стежити.

У цьому прикладі будуть використовуватися лише деякі значення атрибуту Operation. Короткий опис деяких дій:

RegCloseKey- закриває дескриптор вказаного розділу реєстру;

RegOpenKey- відкриває дескриптор вказаного розділу реєстру;

RegCreateKey- створює дескриптор вказаного розділу реєстру;

RegQueryKey- повертає значення параметрів, пов'язаних із відкритим розділом реєстру;

RegEnumKey- перераховує підрозділи вказаного відкритого розділу реєстру;

RegDeleteKey- видаляє дескриптор вказаного розділу реєстру;

RegSetValue- Змінює значення зазначеного параметра реєстру;

У діалоговому вікні "Process Monitor Filter"Для початку видаліть усі фільтри. Потім виконайте такі дії:

• "EventClass" "is". У третьому списку, що розкривається, виберіть значення "File System", а потім виберіть "Exclude". Натисніть на кнопку "Add".

Повторіть ці дії для класів "Network", "Process"і "Profiling".

• З першого списку виберіть атрибут "Process Name". У другому списку, що розкривається, залиште значення "is". У третьому списку, що розкривається, введіть ім'я процесів, за якими потрібно простежити. У цьому прикладі ми стежитимемо за процесами iexplore.exeі opera.exe.
• З першого списку виберіть атрибут «Operation». У другому списку, що розкривається, залиште значення «is». У третьому списку, що розкривається, виберіть значення, які відображаються на наступному скріншоті.

Також замість того, щоб виключати деякі дії, ви можете просто встановити "Include"для дії "RegSetValue".

Після того, як потрібні фільтри будуть обрані, натисніть кнопку "ОК". Під час застосування фільтрів ви побачите наступний діалог:

Зупиніть моніторинг реєстру перед тим, як вам потрібно буде перевіряти зміни. Для цього натисніть кнопку «Capture»на панелі інструментів, або скористайтесь комбінацією клавіш Ctrl+E. Очистіть вміст програми, натиснувши кнопку "Clear"або за допомогою комбінації клавіш Ctrl+X.

Якщо у вас встановлений за промовчанням браузер Internet Explorer, відкрийте Opera і дочекайтеся появи діалогу з пропозицією зробити його за промовчанням. Після появи цього діалогу перейдіть в Process Monitor і увімкніть моніторинг за допомогою кнопки Capture. Перейдіть до Opera і встановіть його браузером за промовчанням.

Після виконання цих дій поверніться до Process Monitor і зупиніть моніторинг. Вікно програми Process Monitor виглядатиме приблизно так:

Серед значень, що відобразилися, неважко помітити, що всі зміни, що відносяться до установки браузера за замовчуванням, зберігаються в розділі HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Значення зміненого параметра можна побачити в стовпці Details або відкривши діалог властивостей події:

У результаті виходить наступний твік реєстру:

Windows Registry Editor Version 5.00 "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML"