Вот программные решения, упомянутые в этом руководстве:
- Regshot
- WhatChanged
- RegFromApp
- Монитор процесса
- Рег и ФК
Когда вы устанавливаете определенное программное обеспечение, оно копирует несколько файлов в ваш реестр , и это может иногда вызывать некоторые проблемы. Решение этой проблемы состоит в том, чтобы отслеживать изменения в реестре, находить ошибку и возвращать ее в нормальное состояние.
Чтобы помочь вам найти лучшее решение для мониторинга реестра, мы представляем вам список лучших программ и инструментов для мониторинга реестра.
Каковы лучшие инструменты для отслеживания изменений реестра в Windows 10?
Regshot
Regshot — очень полезный инструмент для мониторинга изменений в вашем реестре. Помимо отображения текущего состояния реестра Windows, он позволяет сделать снимок экрана и сохранить его для последующего сравнения.
Regshot — это инструмент с открытым исходным кодом.
Проблемы с разрешением реестра в Windows 10? Решите их быстро, следуя этому полезному руководству.
Эта бесплатная утилита мониторинга работает как с 32-разрядными, так и с 64-разрядными версиями предыдущей операционной системы Windows, и будет работать на всех версиях Windows 10 без каких-либо проблем.
Помимо реестра Windows, Regshot также позволяет делать снимки каталогов Windows. Вы можете бесплатно загрузить этот инструмент мониторинга реестра с открытым исходным кодом из SourceForge .
WhatChanged
WhatChanged — еще одна известная бесплатная утилита для отслеживания изменений в реестре Windows.
WhatChanged использует так называемый «метод грубой силы», и с его помощью вы сможете сканировать свой реестр, чтобы найти измененные файлы и последние записи реестра, что позволяет легко сравнивать все изменения настроек вашей системы.
Если вы хотите очистить свой реестр, ознакомьтесь с этим пошаговым руководством, которое поможет вам сделать это с легкостью.
WhatChanged — отличный инструмент для проверки того, какие программы вы недавно установили, и, возможно, для удаления ненужных.
WhatChanged доступен для бесплатной загрузки с Major Geeks .
RegFromApp
RegFromApp — это инструмент мониторинга реестра, который плавно отслеживает все изменения в реестре, сделанные Windows или определенной программой, которую вы выбрали.
Нужно найти определенный ключ реестра? Проверьте эту статью с лучшими инструментами поиска реестра для Windows 10.
Он также создает файл регистрации RegEdit (.reg), в котором хранятся все изменения и модификации реестра, сделанные программой или приложением, которое вы установили.
Этот файл .reg можно использовать для импорта всех изменений реестра с помощью RegEditApp, если это необходимо. Вы можете скачать RegFromApp бесплатно с сайта его разработчика, nirsoft.net .
Монитор процесса
Process Monitor — еще одна очень популярная бесплатная утилита для мониторинга реестра, предлагающая некоторые дополнительные параметры. Он работает в режиме реального времени и показывает все системные файлы, изменения реестра и процессы / потоки вашей системы.
Этот крошечный инструмент также может исправить ваш реестр, если есть какие-то ошибки, а также удалить вредоносные программы и другие виды вредоносного программного обеспечения.
Вы можете скачать этот небольшой, но мощный инструмент реестра бесплатно из TechNet .
Рег и ФК
А теперь кое-что для тех, кто не любит использовать стороннее программное обеспечение для выполнения системных задач или любых других задач в Windows 10.
Reg и FC — это встроенная командная строка Windows из реестра Windows, которая позволяет вам отслеживать и сравнивать состояния вашего реестра.
Прежде чем сравнивать изменения в реестре, экспортируйте все важные ключи реестра, которые вы хотите отслеживать (когда ваша система работает хорошо), в текстовый файл и экспортируйте эти ключи снова после нескольких изменений или новых установок.
Знаете ли вы, что Windows 10 по умолчанию не хранит резервные копии реестра? Найти больше информации в этой удивительной статье.
Теперь сравните оба файла с fc.exe:
- Перейти к поиску и введите fc.exe
- Откройте команду fc и введите следующую командную строку:
- fc 1st.reg 2nd.reg> result.txt
Эта команда сравнит оба файла и сохранит их в том же каталоге, что и файл .text.
Теперь вы знаете, какие инструменты вы можете установить на свой компьютер с Windows 10, чтобы следить за изменениями в реестре, которые различные приложения и программы работают в ОС.
Знать, что изменилось, это одно, а знать, как отменить изменения, — совсем другое.
Итак, если вы хотите просто избавиться от всех изменений, вы можете использовать точку восстановления — при условии, что вы уже создали ее.
Для получения дополнительной информации о том, как создать точку восстановления и использовать ее для фактического восстановления реестра, вы можете ознакомиться с этими пошаговыми руководствами:
- Как создать точку восстановления системы в Windows 10
- Как создать точку восстановления с рабочего стола Windows 10
- Как отменить изменения реестра в Windows 10
Кроме того, если вы хотите сбросить настройки реестра, вы также можете установить один из этих очистителей реестра и запустить его на своем компьютере.
Мы надеемся, что вы найдете хотя бы один из этих инструментов полезным и поможет вам легко отслеживать изменения в реестре.
Если у вас есть какие-либо комментарии, предложения или, возможно, вы знаете какие-то другие мощные инструменты для мониторинга изменений в реестре, свяжитесь с нами в комментариях ниже, мы будем рады узнать ваше мнение.
СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:
- Если вы не можете редактировать реестр Windows 10, это быстрое решение поможет вам
- Как изменить шрифт по умолчанию для редактора реестра в Windows 10
- Не удается получить доступ к редактору реестра в Windows 10 [FIX]
Примечание редактора: этот пост был первоначально опубликован в мае 2015 года и с тех пор обновлен для свежести и точности.
Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.
В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.
Regshot
Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.
Процесс использования программы состоит из следующих шагов.
- Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
- При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
- Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
- Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
- Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
- Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
- После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
- При необходимости очистить снимки реестра нажмите кнопку «Очистить».
Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).
Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/
Registry Live Watch
Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.
- После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
- Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
- При необходимости вы можете сохранить журнал изменений (Save Log).
Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html
WhatChanged
Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.
- В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
- Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
- После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
- В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.
У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).
Еще один способ сравнить два варианта реестра Windows без программ
В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.
Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.
Затем используйте в командной строке команду наподобие:
fc c:1.reg c:2.reg > c:log.txt
Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.
К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.
Registry activity can be monitored with the help of Regshot, Process Monitor & more 👇
by Ivan Jenic
Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more
Updated on February 2, 2023
Reviewed by
Alex Serban
After moving away from the corporate work-style, Alex has found rewards in a lifestyle of constant analysis, team coordination and pestering his colleagues. Holding an MCSA Windows Server… read more
- If you want to monitor registry changes easily, you’re in the right place.
- Registry activity can be monitored with the help of registry monitoring tools such as Regshot or Process Monitor.
- But what if you don’t feel like using a dedicated registry change tracker?
- We’ll show you how to monitor registry changes with a few native in-line commands, so read on!
When you install certain software, it copies a few files into your registry. Now, it’s no surprise that this can go either way but fortunately, registry activity can be monitored with the help of specialized tools.
You can monitor registry changes and keep track of all the keys and entries along with their status by using registry monitoring tools. But why would you want to do that?
For once, you can simplify future troubleshooting steps. In fact, the modifications made by different programs to your registry can cause errors, and incompatibilities as well as impact your system overall.
Not to mention that there are also illegitimate programs that can infiltrate your OS and further alter your registry, such as malware or viruses.
What tool would you use to monitor the changes to the registry that the malware is making? Here’s a quick preview of our top picks:
- Regshot – Windows registry change tracker + snapshot feature
- WhatChanged – Monitor registry key changes effortlessly
- RegFromApp – Record registry changes directly in a .reg file
- Process Monitor – Monitor registry changes real-time
Now, registry activity can be monitored with the help of Dash, Regshot, Wireshark, Course Hero, Process Hacker, MCQ, and more.
Find out how to monitor registry changes and easily identify potential errors in order to make sure everything works smoothly.
Without further ado, we present you with the list of the best registry monitoring tools on the market.
1. Regshot – Windows registry change tracker + snapshot feature
You wanted to know and we’re here to answer – Can registry activity be monitored with the help of RegShot? Without a shred of a doubt.
Regshot is a very useful tool for monitoring changes in your registry. Besides showing the current state of your Windows registry, it allows you to take a screenshot of it and save it for later comparison.
Regshot is a free and open-source tool that works on both 32-bit and 64-bit versions of Windows.
Besides Windows registry, Regshot also allows you to take a snapshot of the Windows directories. You can download this open-source registry monitoring tool from SourceForge for free.
⇒ Get Regshot
2. WhatChanged – Monitor registry key changes effortlessly
WhatChanged is another well-known, free registry utility for tracking changes in the Windows registry.
It uses the so-called brute force method, and with it, you’ll be able to scan your registry to find the modified files and recent registry entries.
This makes it easy to compare all the changes to your system settings.
WhatChanged is a great tool for checking what programs you recently installed, and maybe deleting some unnecessary ones.
⇒ Get WhatChanged
3. RegFromApp – Record registry changes directly in a .reg file
RegFromApp is a registry monitoring tool that smoothly monitors all the changes in the registry made by Windows or a certain program you selected.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
It also creates a RegEdit registration file (.reg) which stores all registry changes and modifications made by the program or an app you installed.
This .reg file could be used to import all registry changes with RegEditApp, if needed. You can download RegFromApp for free from its developer’s website.
Should you be unable to edit the registry due to insufficient permissions, make sure you take a look at our expert tips and regain access.
⇒ Get RegFromApp
- Error Accessing the Registry [Fixed by experts]
- 3 Ways to Clean the Registry in Windows 11
- The best registry finder software for Windows 10/11
- 10 Best Bandwidth Monitors For Windows 10/11 [2023 Guide]
- 7 best tabbed command line tools for Windows 10
4. Process Monitor – Monitor registry changes in real-time
Process Monitor is another very popular, free registry monitoring utility, that offers some advanced options. So how to use Process Monitor? It could not be easier!
Simply download Process Monitor for registry changes, run the .exe file, and install it on your hard drive. It works in real time and shows all system files, registry changes, and processes/threads of your system.
This tiny tool is also able to fix your registry, if there are some errors, as well as to remove malware and other types of malicious software.
You can download this small, but powerful registry tool for free.
⇒ Get Process Monitor
How do I monitor my registry activity? 👉 Reg and FC Method
And now something for those who don’t like using third-party software for performing system tasks, or any other tasks in Windows 10.
If you don’t feel like using specialized registry monitoring tools, Reg and FC is Windows’ built-in command line from the Windows registry. And it allows you to monitor and compare the states of your registry.
Before comparing the registry changes, export all the important registry keys you want to monitor (when your system is performing well) to a text file, and export these keys again after a few changes or new installations.
Now compare both files with fc.exe:
- Go to search and type fc.exe.
- Open fc command and enter the following command line:
fc 1st.reg 2nd.reg > result.txt
- This command will compare both files and save them in the same directory as .text file.
Now, you know what tools you can install on your Windows 10 computer in order to keep an eye on the Registry changes that various apps and software operate on the OS.
Knowing what’s changed is one thing, but knowing how to revert the changes is another one.
So, if you want to simply get rid of all the changes, you can use a Restore Point, provided that you already created one.
This will help you undo registry changes in Windows 10, should you need to do so.
Additionally, if you want to reset your Registry, you can also install one of these registry cleaners and run it on your machine.
We hope that you’ll find at least one of these tools useful and that it will help you to monitor registry changes easily.
If you have some comments or suggestions, or maybe know some other powerful tools for monitoring registry changes, reach us in the comments below, we would love to hear your opinion.
Newsletter
Registry activity can be monitored with the help of Regshot, Process Monitor & more 👇
by Ivan Jenic
Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more
Updated on February 2, 2023
Reviewed by
Alex Serban
After moving away from the corporate work-style, Alex has found rewards in a lifestyle of constant analysis, team coordination and pestering his colleagues. Holding an MCSA Windows Server… read more
- If you want to monitor registry changes easily, you’re in the right place.
- Registry activity can be monitored with the help of registry monitoring tools such as Regshot or Process Monitor.
- But what if you don’t feel like using a dedicated registry change tracker?
- We’ll show you how to monitor registry changes with a few native in-line commands, so read on!
When you install certain software, it copies a few files into your registry. Now, it’s no surprise that this can go either way but fortunately, registry activity can be monitored with the help of specialized tools.
You can monitor registry changes and keep track of all the keys and entries along with their status by using registry monitoring tools. But why would you want to do that?
For once, you can simplify future troubleshooting steps. In fact, the modifications made by different programs to your registry can cause errors, and incompatibilities as well as impact your system overall.
Not to mention that there are also illegitimate programs that can infiltrate your OS and further alter your registry, such as malware or viruses.
What tool would you use to monitor the changes to the registry that the malware is making? Here’s a quick preview of our top picks:
- Regshot – Windows registry change tracker + snapshot feature
- WhatChanged – Monitor registry key changes effortlessly
- RegFromApp – Record registry changes directly in a .reg file
- Process Monitor – Monitor registry changes real-time
Now, registry activity can be monitored with the help of Dash, Regshot, Wireshark, Course Hero, Process Hacker, MCQ, and more.
Find out how to monitor registry changes and easily identify potential errors in order to make sure everything works smoothly.
Without further ado, we present you with the list of the best registry monitoring tools on the market.
1. Regshot – Windows registry change tracker + snapshot feature
You wanted to know and we’re here to answer – Can registry activity be monitored with the help of RegShot? Without a shred of a doubt.
Regshot is a very useful tool for monitoring changes in your registry. Besides showing the current state of your Windows registry, it allows you to take a screenshot of it and save it for later comparison.
Regshot is a free and open-source tool that works on both 32-bit and 64-bit versions of Windows.
Besides Windows registry, Regshot also allows you to take a snapshot of the Windows directories. You can download this open-source registry monitoring tool from SourceForge for free.
⇒ Get Regshot
2. WhatChanged – Monitor registry key changes effortlessly
WhatChanged is another well-known, free registry utility for tracking changes in the Windows registry.
It uses the so-called brute force method, and with it, you’ll be able to scan your registry to find the modified files and recent registry entries.
This makes it easy to compare all the changes to your system settings.
WhatChanged is a great tool for checking what programs you recently installed, and maybe deleting some unnecessary ones.
⇒ Get WhatChanged
3. RegFromApp – Record registry changes directly in a .reg file
RegFromApp is a registry monitoring tool that smoothly monitors all the changes in the registry made by Windows or a certain program you selected.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
It also creates a RegEdit registration file (.reg) which stores all registry changes and modifications made by the program or an app you installed.
This .reg file could be used to import all registry changes with RegEditApp, if needed. You can download RegFromApp for free from its developer’s website.
Should you be unable to edit the registry due to insufficient permissions, make sure you take a look at our expert tips and regain access.
⇒ Get RegFromApp
- Error Accessing the Registry [Fixed by experts]
- 3 Ways to Clean the Registry in Windows 11
- The best registry finder software for Windows 10/11
- 10 Best Bandwidth Monitors For Windows 10/11 [2023 Guide]
- 7 best tabbed command line tools for Windows 10
4. Process Monitor – Monitor registry changes in real-time
Process Monitor is another very popular, free registry monitoring utility, that offers some advanced options. So how to use Process Monitor? It could not be easier!
Simply download Process Monitor for registry changes, run the .exe file, and install it on your hard drive. It works in real time and shows all system files, registry changes, and processes/threads of your system.
This tiny tool is also able to fix your registry, if there are some errors, as well as to remove malware and other types of malicious software.
You can download this small, but powerful registry tool for free.
⇒ Get Process Monitor
How do I monitor my registry activity? 👉 Reg and FC Method
And now something for those who don’t like using third-party software for performing system tasks, or any other tasks in Windows 10.
If you don’t feel like using specialized registry monitoring tools, Reg and FC is Windows’ built-in command line from the Windows registry. And it allows you to monitor and compare the states of your registry.
Before comparing the registry changes, export all the important registry keys you want to monitor (when your system is performing well) to a text file, and export these keys again after a few changes or new installations.
Now compare both files with fc.exe:
- Go to search and type fc.exe.
- Open fc command and enter the following command line:
fc 1st.reg 2nd.reg > result.txt
- This command will compare both files and save them in the same directory as .text file.
Now, you know what tools you can install on your Windows 10 computer in order to keep an eye on the Registry changes that various apps and software operate on the OS.
Knowing what’s changed is one thing, but knowing how to revert the changes is another one.
So, if you want to simply get rid of all the changes, you can use a Restore Point, provided that you already created one.
This will help you undo registry changes in Windows 10, should you need to do so.
Additionally, if you want to reset your Registry, you can also install one of these registry cleaners and run it on your machine.
We hope that you’ll find at least one of these tools useful and that it will help you to monitor registry changes easily.
If you have some comments or suggestions, or maybe know some other powerful tools for monitoring registry changes, reach us in the comments below, we would love to hear your opinion.
Newsletter
Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.
Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.
Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.
Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:
chcp 1251
fc D:/1.reg D:/2.reg > D:/compare.log
Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.
Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.
Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».
Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).
Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.
Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.
Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.
Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.
Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.
Скачать утилиты можно по ссылкам:
Regshot: sourceforge.net/projects/regshot
Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html
CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv
Реестр Windows является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она RegFromApp. Эта небольшая портативная утилита от Nirsoft позволяет производить наблюдение за работой установленных на компьютере программ.
А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в RegFromApp чаще всего завершается ошибкой.
Примечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию RegFromApp, даже на 64-битной системе.
Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок. Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG.
Режима отображения в RegFromApp два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.
Скачать утилиту можно с сайта разработчика www.nirsoft.net/utils/reg_file_from_application.html. Там же можно загрузить русификатор — языковой файл INI, который затем необходимо будет поместить в каталог с исполняемым файлом RegFromApp.
Оцените Статью:
(1 оценок, среднее: 5,00 из 5)
Загрузка…
Как сделать снимки реестра Windows для сравнения и отслеживания изменений?
Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.
Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.
Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.
Что такое реестр Windows?
Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.
Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.
Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.
Отслеживание изменений в реестре
Зачем анализировать реестр и отслеживать изменения?
Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.
Снимок реестра с помощью RegShot
RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.
Скачать RegShot
Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.
Авторы утилиты: XhmikosR, M. Buecher.
Установка RegShot
После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.
Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.
Настройка и использование RegShot
После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.
Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:
- Снимок — Только снимок
- Снимок + Сохранить — Снимок и бекап реестра
- Открыть — Открыть уже сделанный снимок реестра
Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.
Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.
После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».
Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.
Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.
Во время установки софта отчет будет конечно побольше.
Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.
Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.
Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!
На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.
Наша оценка
RegShot — маленькая, опенсорсная, бесплатная программа для отслеживание изменений в реестре.
User Rating:
4.55
( 17 votes)
Обзоры утилит от Sysinternals.com:
- Process Explorer (контроль за процессами)
- PageDfrg (дефрагментация системных файлов)
- Autoruns (управление автозагрузкой)
- FileMon (монитор файловой системы)
- RegMon (монитор реестра)
Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.
Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.
Внешний вид Registry Monitor показан на рисунке ниже.
- File:
- Open — открывает ранее собранный и сохраненный лог-файл для анализа в Registry Monitor-е. Будьте внимательны, открывая лог, текущие собранные данные будут потеряны, поэтому, если они нужны, то сохраните предварительно собранные данные в файл.
- Save — сохраняет собранные данные в файл.
- Save as… — сохраняет собранные данные в файл.
- Process Properties… — свойства процесса. Если в окне, где отображены собранные данные, выделить любую строку, то данный пункт меню станет доступен и при его выборе откроется окно с информацией о том процессе, обращение которого к реестру выделено. Пример окна с информацией о процессе показан ниже.
- Capture Events — переключатель, который включает или приостанавливает сбор сведений об обращениях к реестру.
- Exit — выход.
- Edit:
- Copy — копирует в буфер обмена выделенную строку.
- Delete — удаляет выбранную строку.
- Include Process — быстрая настройка фильтра. После применения этого пункта меню будут отслеживаться обращения к реестру только указанного процесса. Чтобы отменить эту настройку исправьте фильтр (о чем будет рассказано ниже).
- Exclude Process — исключить процесс. Обращения данного процесса более не будут попадать в собранные данные и он, таким образом, будет исключен из мониторинга.
- Include Patch — будут собираться данные только при обращении к выделенному в момент применения команды меню разделу реестра и его подразделам. Для отмены отслеживания только определенного раздела реестра исправьте фильтр, о чем более подробно будет рассказано далее.
- Find… — поиск строки в собранных данных в окне Registry Monitor.
- Regedit Jump… — если выделить в окне Registry Monitor строку и выбрать этот пункт меню, то будет запущен редактор реестра RegEdit и в нем будет автоматически развернуто дерево разделов того раздела, имя которого находится в выделенной строке Registry Monitor-а. Двойной клик мышью по любой строке собранных данных в RegMon выполняет такое же действие, т.е. открывает RegEdit сразу на том ключе, к которому было зафиксировано обращение процесса.
- Clear Display — очищает экран от собранных данных. Будьте осторожны, если данные представляют интерес, то не забудьте предварительно сохранить их в файл.
- Options:
- Font… — открывает диалоговое окно выбора шрифта, которым будет отображаться собранная информация в окне Registry Monitor.
- Highlight Colors… — открывает диалоговое окно выбора цвета для строк и текста, которые необходимо подсвечивать в собранных данных. Более подробно о подсветке строк смотрите ниже, в настройках фильтра.
- Filter/Highlight… — открывает окно настройки фильтра и подсветки строк. Пример этого окна показан ниже.
В данном примере собирается информация об обращениях к реестру всех процессов, за исключением IEXPLORE.EXE и Explorer.EXE, причем, все обращения к реестру процесса csrss.exe подсвечиваются в окне другим цветом. Галки внизу окна позволяют собирать только определенные события, как то:
- Log Opens — включает или отключает сбор информации о процессах, которые открывают ключи реестра.
- Log Reads — включает или отключает сбор информации о процессах, которые читают ключи реестра.
- Log Writes — включает или отключает сбор информации о процессах, которые пишут в ключи реестра.
- Log Successes — включает или отключает сбор информации о процессах, любое обращение которых к реестру было удачно (т.е., к примеру, процесс смог успешно считать или записать значение).
- Log Errors — включает или отключает сбор информации о процессах, любое обращение которых к реестру закончилось ошибкой (например, процесс не нашел определенный ключ реестра).
В этом же окне кнопка Defaults сбрасывает все сделанные настройки фильтра в значениях, при которых будут собираться все данные.
- History Depth… — позволяет настроить количество строк, которые будут запоминаться Registry Monitor-ом. Именно такое количество строк затем будет сохранено в лог-файле работы RegMon-а. Для хранения всех строк используется значение 0.
- Always On Top — включение этого параметра позволит всегда видеть окно RegMon-а выше всех окон, что весьма удобно при сборе данных от нескольких приложений, между которыми необходимо переключаться.
- Auto Scroll — этот параметр позволяет включить прокрутку окна с собранными данными. Последнее обращение к реестру всегда будет видно на экране.
- Clock Time — если этот параметр выключен, то в лог будет записано время обращения процесса к реестру, относительно времени запуска Registry Monitor. Если включен, то будет записано системное время.
- Show Milliseconds — если предыдущий параметр включен, т.е. в лог записывается системное время, то имеет смысл включить и этот параметр. В этом случае, к системному времени будут записываться и миллисекунды, что повысит точность определения времени обращения процесса к реестру.
- Log Boot — выбор этого параметра включает мониторинг обращения к реестру во время загрузки системы. Т.е. после его выбора надо перезагрузиться и Registry Monitor запишет в лог-файл с именем REGMON.LOG, находящийся в папке, где установлена Windows, все обращения к реестру на протяжении загрузки системы. Такой лог-файл будет иметь размер в несколько десятков мегабайт. Запись обращений к реестру будет продолжаться до тех пор, пока не будет запущен RegMon или до следующей перезагрузки системы.
RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.
Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.
Итак, запустим RegMon. Настраивать пока фильтр не будем. Включим опцию Always On Top, чтобы окно RegMon не «убегало» на задний план. При запущенном RegMon-е откроем Outlook Express. Сразу после окончания его загрузки нажмем кнопку Capture или выберем пункт меню File — Capture Events, чтобы остановить сбор данных. Пример окна Registry Monitor после запуска Outlook Express с остановленным процессом сбора информации показан ниже.
В данном случае интересны обращения к реестру только процесса msimn.exe, поэтому щелкнем на нем правой кнопкой и выберем Include Process, либо выберем в меню Edit — Include Process. На запрос о том, хотим ли мы применить этот фильтр к уже собранным данным можно ответить и положительно и отрицательно, это не имеет значения. Теперь нужно очистить окно Registry Monitor. Для этого выберите Edit — Clear Display. Последний штрих в подготовке сбора данных — донастройка фильтра. Для этого выберем Options — Filter/Highlight. В настройке фильтра, внизу, снимем все галки за исключением Log Writes и Log Successes, настроив, таким образом, отсеивание всех обращений к реестру за исключением успешной записи в реестр значений процессом msimn.exe. Пример настройки фильтра показан ниже.
После того, как фильтр настроен, нужно создать в Outlook Express правило для почты. Чтобы создать правило в Outlook Express, выберите Сервис — Правила для сообщений — Почта. В открывшемся окне создайте правило. Пример уже созданного правила показан на следующем рисунке.
После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.
Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK. Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.
Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Patch Registry Monitor. Подведите курсор по очереди к каждому значению в столбце Patch и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это HKEY_CURRENT_USERIdentities{D7691494-4CF1-4D7F-9A0F-A700B85345C2}SoftwareMicrosoftOutlook Express5.0RulesMail00. Щелкните в окне Registry Monitor по записи с самым коротким путем два раза левой кнопкой мыши. Откроется редактор реестра, в котором автоматически будет развернуто дерево разделов до раздела, по которому был выполнен двойной щелчок. Окно реестра показано на следующем рисунке.
Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.
Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.
В Windows нет встроенного средства мониторинга реестра. Но вы можете использовать программу командной строки Windows. Сравнение файлов или же fc.exe для сравнения двух файлов экспорта реестра и, таким образом, отслеживания изменений реестра Windows. Вы также можете использовать бесплатное программное обеспечение для отслеживания изменений в реестре в вашей системе Windows 10/8/7.
Следите за изменениями в реестре
1]Сравнение файлов fc.exe
Чтобы использовать эту программу File Compare или fc.exe, сначала экспортируйте файл .reg и назовите его, скажем, rega.
После того, как изменение вступит в силу, экспортируйте измененный файл .reg и назовите его сказать, регб.
Теперь откройте командную строку и введите:
fc /u rega.reg regb.reg > regcompare.txt
Поскольку файлы .reg используют Юникод, то / u switch, указывает fc.exe использовать Unicode.
Теперь вы можете проверить вывод regcompare в Блокноте.
2]WhatChanged
Просто скачайте это портативное приложение WhatChanged и запустите его до и после изменения.
3]Монитор процессов Sysinternals
Sysinternals Process Monitor — отличная бесплатная программа для отслеживания изменений реестра в режиме реального времени. Process Monitor — это расширенный инструмент мониторинга для Windows, который в реальном времени показывает активность файловой системы, реестра и процессов / потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая богатую и неразрушающую фильтрацию, исчерпывающие свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессе, полные стеки потоков с интегрированной поддержкой символов. для каждой операции, одновременное ведение журнала в файл и многое другое.
4]RegShot
RegShot — еще одна небольшая утилита для сравнения реестров, которая позволяет вам быстро сделать снимок вашего реестра, а затем сравнить его со вторым; выполняется после внесения изменений в систему или установки нового программного продукта. Отчет об изменениях может быть создан в текстовом или HTML-формате и содержать список всех изменений, которые произошли между моментальным снимком1 и моментальным снимком2. Возьми здесь.
Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они есть:
- Реестр Live Watch
- LeeLu Monitors Системный монитор AIO
- RegFromApp
- Регистратор Менеджер реестра Lite.
Они также могут вас заинтересовать:
- Де-мистификация реестра Windows.
- Как делать резервные копии, восстанавливать и поддерживать реестр Windows.
- Как ограничить доступ к редактору реестра и т. Д.
- Как открыть несколько экземпляров реестра.
#windows #registry
Вопрос:
Есть ли способ отслеживать изменения в реестре Windows? Я хотел бы посмотреть, какие изменения в реестре вносятся во время установки различных программ.
Ответ №1:
Монитор процессов позволяет отслеживать активность файлов и реестра различных процессов.
Комментарии:
1. Но как это сделать? Используя некоторую инструкцию, подобную этой: howtogeek.com/school/sysinternals-pro/lesson5/all ?
Ответ №2:
Комментарии:
1. Для меня
RegistryChangesView
( nirsoft.net/utils/registry_changes_view.html ) из пакета NirLauncher было более полезно: он создает два снимка (например, до и после установки), а затем сравнивает их. Результат может быть экспортирован в.txt
файл. В моем случае использования он обнаружил 301 изменение реестра после установки приложения. За то же времяRegFromApp
(прикреплено кmsiexec.exe
процессу) найдено всего 1 изменение.
Ответ №3:
Что касается WMI и реестра:
Существует три класса событий WMI, относящихся к реестру:
- RegistryTreeChangeEvent
- Регистрация события изменения
- Значение регистрацииизменение
Классы событий Реестра
Но вы должны знать об этих ограничениях:
- С помощью RegistryTreeChangeEvent и RegistryKeyChangeEvent невозможно напрямую определить, какие значения или ключи действительно изменились. Для этого вам нужно будет сохранить состояние реестра до события и сравнить его с состоянием после события.
- Вы не можете использовать эти классы с узлами HKEY_CURRENT_USER или HKEY_CURRENT_USER. Вы можете преодолеть это, создав класс WMI, представляющий раздел реестра для мониторинга:
Определение Класса Реестра С Помощью Квалификаторов
и используйте его с производными классами __InstanceOperationEvent.
Таким образом, использование WMI для мониторинга реестра возможно, но не идеально. Преимущество заключается в том, что можно отслеживать изменения в «реальном времени». Еще одним преимуществом может быть постоянная подписка на события WMI:
Получение событий в любое время
способ мониторинга реестра «в любое время», т. е. событие, если ваше приложение не запущено.
Ответ №4:
Простой способ сделать это без дополнительных инструментов-экспортировать реестр в текстовый файл перед установкой, а затем экспортировать его в другой файл после. Затем сравните два файла.
Сказав это, инструменты Sysinternals отлично подходят для этого.
Ответ №5:
Регшот заслуживает упоминания здесь. Он сканирует и делает снимок всех параметров реестра, затем вы запускаете его позже, чтобы сравнить с исходным снимком, и он показывает вам все ключи и значения, которые изменились.
Ответ №6:
Существует python-hids под названием sobek ( http://code.google.com/p/sobek-hids/ ) , который способен отслеживать некоторые части SO. Он отлично работает для моего мониторинга изменений файлов, и хотя в документе говорится, что он может отслеживать изменения реестра, он не работает для меня.
Хорошая часть программного обеспечения для легкого удаления hids на основе python.
Ответ №7:
Есть несколько разных способов. Если вы хотите сделать это самостоятельно на лету, WMI, вероятно, лучший способ. RegistryKeyChangeEvent
и на его родственников стоит посмотреть. Возможно , есть способ следить за этим __InstanceCreationEvent
, __InstanceDeletionEvent
и __InstanceModificationEvent
за классами тоже.
http://msdn.microsoft.com/en-us/library/aa393040(ПРОТИВ 85).aspx
Ответ №8:
При использовании виртуальной машины я использую эти шаги для проверки изменений в реестре:
- Используя 7-Zip, откройте файл vdi/vhd/vmdk и извлеките папку C:WindowsSystem32config
- Запустите OfflineRegistryView, чтобы преобразовать реестр в открытый текст
- Установите «Папку конфигурации» в папку, которую вы извлекли
- Установите «Базовый ключ» в
HKLMSYSTEM
илиHKLMSOFTWARE
- Установите для параметра «Глубина подраздела» значение «Неограниченно».
- Нажмите кнопку «Перейти» .
Теперь используйте свою любимую программу diff для сравнения снимков «до» и «после».
Ответ №9:
Я согласен с Франси, все утилиты Sysinternals стоит посмотреть (автозапуск тоже необходим), а монитор процессов, который заменяет старый добрый Filemon и Regmon, бесценен.
Помимо использования, которое вы хотите, очень полезно узнать, почему процесс завершается неудачно (например, попытка доступа к файлу или несуществующему разделу реестра) и т. Д.
Ответ №10:
Филхо мимоходом упомянул об автозапуске, но я думаю, что это заслуживает уточнения.
Он не сканирует весь реестр, только части, содержащие ссылки на вещи, которые загружаются автоматически (бывшие, библиотеки DLL, драйверы и т.д.), Что, вероятно, вас интересует. Он не отслеживает изменения, но может экспортировать их в текстовый файл, так что вы можете запустить его до и после установки и выполнить изменения.