Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.

Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.

Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.

Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

fc D:/1.reg D:/2.reg > D:/compare.log

Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.

Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

Regshot

Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».

Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).

Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

Registry Live Watch

Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.

Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

CRegistry Comparison

Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.

Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv

11.04.2016 9489

Р еестр Windows является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она . Эта небольшая портативная утилита от Nirsoft позволяет производить наблюдение за работой установленных на компьютере программ.

А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в чаще всего завершается ошибкой.

П римечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию , даже на 64-битной системе.

Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок . Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG .

Режима отображения в два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.

Более половины всех пользователей ПК в какой-то момент задумываются об автоматизации настроек своей операционной системы. Всем известно, что в операционных системах Windows централизованным хранилищем для большинства настроек самой системы и установленных приложений является системный реестр. В реестре хранятся сотни тысяч параметров, которые отвечают за различные настройки. Зная, что в разделе HKEY_CURRENT_USER расположены настройки учетной записи пользователя, в HKEY_LOCAL_MACHINE - настройки компьютера, а раздел HKEY_CLASSES_ROOT отвечает за запуск необходимой программы при открытии файла с помощью проводника, область поиска необходимого параметра сокращается, хотя найти нужный параметр все равно очень сложно. Использовать твикеры реестра не рекомендуется, так как они могут записывать в реестре ненужные разделы и параметры, а поиск в интернете ничего не дает. В этом случае вам следует воспользоваться программами, предназначенными для мониторинга реестра. В этой статье речь пойдет о RegShot и Process Monitor - утилите Sysinternals, предназначенной для мониторинга операционной системы Windows, которая в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.

Использование программы RegShot

RegShot - это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения. Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации. Рассмотрим принципы работы этой утилиты на простом примере.

В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:

После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.

Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье « », этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать RegShot

Скачать программу RegShot бесплатно вы можете по прямой ссылке.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

• Снимок — Только снимок
• Снимок + Сохранить — Снимок и бекап реестра
• Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл , о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики

Получил такой вопрос:

… А можно поподробнее как Вы узнали, что это именно svchost пишет в реестр. Догадка, или как-то это можно проверить? У меня похожая проблема: кто-то постоянно пишет один ключ, я его удаляю, а он снова появляется. Можно это как-то отследить кто именно добавляет записи в реестр? Заранее спасибо.

В том конкретном случае это была догадка, но можно и отследить. Это делается при помощи Process Monitor . Только нужно правильно настроить фильтры.

Например, нас интересует ветка HKEY_CURRENT_USER\Software\test .

Итак, настраиваем фильтры (вызвать окно управления фильтрами можно через меню Filter | Filter… , или с помощью сочетания клавиш Ctrl+L)

Во-первых, так как мы работаем только с реестром, то слежение за остальной активностью можно (и даже нужно) отключить (соответствующие кнопки в правой части окна).

Во-вторых, добавляем фильтр по интересующей нас ветке:

Path begins with HKCU\Software\test .

И в-третьих, если нужно следить только за изменениями реестра (а в данном случае только это и нужно) добавляем фильтр по операции занесения значения в реестр (RegSetValue):

Operation is RegSetValue

Таким образом, настроенные фильтры будут выглядеть следующим образом:

Настраиваем фильтры

Применяем фильтры, и ждём пока появятся события.

При появлении события попадающего под фильтр, оно тут-же отобразится в окне программы:

А вот и события

Из скриншота видно, что процесс, пишущий что-то в интересующую нас ветку реестра носит имя powershell.exe и PID 11004. А уж на сколько этот процесс безвреден, и имеет-ли он моральное право гадить в реестр нужно уже смотреть по обстановке .

Небольшой совет для оптимизации: запуск Process Monitor может негативно сказаться на производительности компьютера, так как вне зависимости от настроенных фильтров он сохраняет все зарегистрированные события даже, если они не отображаются (в этом можно убедиться отключив фильтры и/или включив просмотр, например, файловой активности) и сохраняет их в памяти. Если оставить его запущенным на длительное время может случиться так, что ProcMon сожрёт всю память, после чего вылетит с ошибкой. Для предотвращения такого неприятного момента можно

Во-первых, сохранять события не в памяти, а в файл. Для этого нужно в меню выбрать File | Backing Files… и указать путь к файлу, в котором будут сохраняться события.

Во-вторых, можно сохранять только те события, которые попадают под фильтры (т.е. те, которые отображаются в окне). Если вы уверены, что фильтры настроены правильно, и все остальные события не нужны, их можно безвозвратно отбросить. Это делается при помощи активации параметра Filter | Drop Filtered Events . В случае если, события сохраняются в файл, активация этого параметра уменьшит его размер в разы.

Regshot

Дописав статью, и прочтя её, решил, что название статьи будет неоправданно громким, если не рассказать про одну маленькую, но очень полезную утилиту – Regshot (в справке к программе значится сайт www.regshot.ru , но меня упорно перебрасывало с него на какой-то левый сайт). Судя по всему программа прекратила своё развитие, но даже старенькая версия, которую без труда можно найти на просторах интернета выполняет свою функцию.

Приведу короткое описание взятое с какого-то сайта:

Утилита предназначена для фиксации изменений в реестре Windows. Она может делать снимок реестра, сохранять его в файле, загружать из файла, сравнивать два снимка, находить все отличия (что изменилось, что было удалено, что появилось нового). По результатам изменений формируются несколько отчётов. HTML отчёт содержит в наглядном виде характеристики снимков и список всех изменений…

Т.е. если нужно отследить где в реестре изменяется какое-либо значение, то вполне возможно, что достаточно будет воспользоваться Regshot и не возиться с фильтрами ProcMon.

Как говорилось выше Regshot работает со снимками реестра, т.е. сначала нужно сделать один снимок (кнопка Снимок 1 ), после чего произвести какие-то изменения и нажать кнопку Снимок 2 . Просканировав реестр второй раз утилита отобразит результаты.

Главное окно Regshot

Рассмотрим не примере. Допустим нам нужно узнать, где в реестре узнать где в реестре хранится язык по умолчанию для пользователя. Не тот, который , а тот, который пользователь может поменять в панели управления.

Языки и службы текстового ввода

Порядок действий предельно прост: запускаем Regshot делаем первый снимок (Снимок 1 | Локальный реестр ), меняем язык, делаем второй снимок (Снимок 2 | Локальный реестр ).

После того как Regshot сделает второй снимок, он просканирует два снимка на предмет отличий, и выведет окно c результатами сканирования:

Результаты сканирования

Вполне возможно, что в отчёт попадут не только нужные нам данные, но и "левые" изменения, не связанные с тем, что мы ищем. Если такие данные сразу видны их можно исключить из конечного отчёта (если не уверены лучше оставить, чтобы потом разобраться). В нашем случае, в отчёт попали две ветки из раздела HKEY_CURRENT_USER: Keyboard Layout и Software. Так как нас интересуют языки, логично предположить, что изменения в ветке Software нам не интересны и их можно исключить.

После нажатия на кнопку OK открывается отчёт, в котором видно, что поменялось:

Конечный результат

Из последнего скриншота можно увидеть, что в разделе реестра HKEY_CURRENT_USER\Keyboard Layout\Preload ключ 1 изначально имел значение 00000409 (что соответствует английскому языку), а ключ 2 – 00000419 (что в свою очередь соответствует русскому языку). После проведённых нами манипуляция (изменение языка по умолчанию) эти значения поменялись.

Вот вроде и всё, что касается мониторинга реестра .