Программа отслеживания изменений в реестре windows

Вот программные решения, упомянутые в этом руководстве:

1. Regshot
2. WhatChanged
3. RegFromApp
4. Монитор процесса
5. Рег и ФК

Когда вы устанавливаете определенное программное обеспечение, оно копирует несколько файлов в ваш реестр , и это может иногда вызывать некоторые проблемы. Решение этой проблемы состоит в том, чтобы отслеживать изменения в реестре, находить ошибку и возвращать ее в нормальное состояние.

Чтобы помочь вам найти лучшее решение для мониторинга реестра, мы представляем вам список лучших программ и инструментов для мониторинга реестра.

Каковы лучшие инструменты для отслеживания изменений реестра в Windows 10?

Regshot

Regshot — очень полезный инструмент для мониторинга изменений в вашем реестре. Помимо отображения текущего состояния реестра Windows, он позволяет сделать снимок экрана и сохранить его для последующего сравнения.

Regshot — это инструмент с открытым исходным кодом.

Проблемы с разрешением реестра в Windows 10? Решите их быстро, следуя этому полезному руководству.

Эта бесплатная утилита мониторинга работает как с 32-разрядными, так и с 64-разрядными версиями предыдущей операционной системы Windows, и будет работать на всех версиях Windows 10 без каких-либо проблем.

Помимо реестра Windows, Regshot также позволяет делать снимки каталогов Windows. Вы можете бесплатно загрузить этот инструмент мониторинга реестра с открытым исходным кодом из SourceForge .

WhatChanged

WhatChanged — еще одна известная бесплатная утилита для отслеживания изменений в реестре Windows.

WhatChanged использует так называемый «метод грубой силы», и с его помощью вы сможете сканировать свой реестр, чтобы найти измененные файлы и последние записи реестра, что позволяет легко сравнивать все изменения настроек вашей системы.

Если вы хотите очистить свой реестр, ознакомьтесь с этим пошаговым руководством, которое поможет вам сделать это с легкостью.

WhatChanged — отличный инструмент для проверки того, какие программы вы недавно установили, и, возможно, для удаления ненужных.

WhatChanged доступен для бесплатной загрузки с Major Geeks .

RegFromApp

RegFromApp — это инструмент мониторинга реестра, который плавно отслеживает все изменения в реестре, сделанные Windows или определенной программой, которую вы выбрали.

Нужно найти определенный ключ реестра? Проверьте эту статью с лучшими инструментами поиска реестра для Windows 10.

Он также создает файл регистрации RegEdit (.reg), в котором хранятся все изменения и модификации реестра, сделанные программой или приложением, которое вы установили.

Этот файл .reg можно использовать для импорта всех изменений реестра с помощью RegEditApp, если это необходимо. Вы можете скачать RegFromApp бесплатно с сайта его разработчика, nirsoft.net .

Монитор процесса

Process Monitor — еще одна очень популярная бесплатная утилита для мониторинга реестра, предлагающая некоторые дополнительные параметры. Он работает в режиме реального времени и показывает все системные файлы, изменения реестра и процессы / потоки вашей системы.

Этот крошечный инструмент также может исправить ваш реестр, если есть какие-то ошибки, а также удалить вредоносные программы и другие виды вредоносного программного обеспечения.

Вы можете скачать этот небольшой, но мощный инструмент реестра бесплатно из TechNet .

Рег и ФК

А теперь кое-что для тех, кто не любит использовать стороннее программное обеспечение для выполнения системных задач или любых других задач в Windows 10.

Reg и FC — это встроенная командная строка Windows из реестра Windows, которая позволяет вам отслеживать и сравнивать состояния вашего реестра.

Прежде чем сравнивать изменения в реестре, экспортируйте все важные ключи реестра, которые вы хотите отслеживать (когда ваша система работает хорошо), в текстовый файл и экспортируйте эти ключи снова после нескольких изменений или новых установок.

Знаете ли вы, что Windows 10 по умолчанию не хранит резервные копии реестра? Найти больше информации в этой удивительной статье.

Теперь сравните оба файла с fc.exe:

1. Перейти к поиску и введите fc.exe
2. Откройте команду fc и введите следующую командную строку:
   • fc 1st.reg 2nd.reg> result.txt

Эта команда сравнит оба файла и сохранит их в том же каталоге, что и файл .text.

Теперь вы знаете, какие инструменты вы можете установить на свой компьютер с Windows 10, чтобы следить за изменениями в реестре, которые различные приложения и программы работают в ОС.

Знать, что изменилось, это одно, а знать, как отменить изменения, — совсем другое.

Итак, если вы хотите просто избавиться от всех изменений, вы можете использовать точку восстановления — при условии, что вы уже создали ее.

Для получения дополнительной информации о том, как создать точку восстановления и использовать ее для фактического восстановления реестра, вы можете ознакомиться с этими пошаговыми руководствами:

• Как создать точку восстановления системы в Windows 10
• Как создать точку восстановления с рабочего стола Windows 10
• Как отменить изменения реестра в Windows 10

Кроме того, если вы хотите сбросить настройки реестра, вы также можете установить один из этих очистителей реестра и запустить его на своем компьютере.

Мы надеемся, что вы найдете хотя бы один из этих инструментов полезным и поможет вам легко отслеживать изменения в реестре.

Если у вас есть какие-либо комментарии, предложения или, возможно, вы знаете какие-то другие мощные инструменты для мониторинга изменений в реестре, свяжитесь с нами в комментариях ниже, мы будем рады узнать ваше мнение.

СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:

• Если вы не можете редактировать реестр Windows 10, это быстрое решение поможет вам
• Как изменить шрифт по умолчанию для редактора реестра в Windows 10
• Не удается получить доступ к редактору реестра в Windows 10 [FIX]

Примечание редактора: этот пост был первоначально опубликован в мае 2015 года и с тех пор обновлен для свежести и точности.

When you install certain software, it copies a few files into your registry. Now, it’s no surprise that this can go either way but fortunately, registry activity can be monitored with the help of specialized tools.

You can monitor registry changes and keep track of all the keys and entries along with their status by using registry monitoring tools. But why would you want to do that?

For once, you can simplify future troubleshooting steps. In fact, the modifications made by different programs to your registry can cause errors, and incompatibilities as well as impact your system overall.

Not to mention that there are also illegitimate programs that can infiltrate your OS and further alter your registry, such as malware or viruses.

What tool would you use to monitor the changes to the registry that the malware is making? Here’s a quick preview of our top picks:

1. Regshot – Windows registry change tracker + snapshot feature
2. WhatChanged – Monitor registry key changes effortlessly
3. RegFromApp – Record registry changes directly in a .reg file
4. Process Monitor – Monitor registry changes real-time

Now, registry activity can be monitored with the help of Dash, Regshot, Wireshark, Course Hero, Process Hacker, MCQ, and more.

Find out how to monitor registry changes and easily identify potential errors in order to make sure everything works smoothly.

Without further ado, we present you with the list of the best registry monitoring tools on the market.

1. Regshot – Windows registry change tracker + snapshot feature

You wanted to know and we’re here to answer – Can registry activity be monitored with the help of RegShot? Without a shred of a doubt.

Regshot is a very useful tool for monitoring changes in your registry. Besides showing the current state of your Windows registry, it allows you to take a screenshot of it and save it for later comparison.

Regshot is a free and open-source tool that works on both 32-bit and 64-bit versions of Windows.

Besides Windows registry, Regshot also allows you to take a snapshot of the Windows directories. You can download this open-source registry monitoring tool from SourceForge for free.

⇒ Get Regshot

2. WhatChanged – Monitor registry key changes effortlessly

WhatChanged is another well-known, free registry utility for tracking changes in the Windows registry.

It uses the so-called brute force method, and with it, you’ll be able to scan your registry to find the modified files and recent registry entries.

This makes it easy to compare all the changes to your system settings.

WhatChanged is a great tool for checking what programs you recently installed, and maybe deleting some unnecessary ones.

⇒ Get WhatChanged

3. RegFromApp – Record registry changes directly in a .reg file

RegFromApp is a registry monitoring tool that smoothly monitors all the changes in the registry made by Windows or a certain program you selected.

It also creates a RegEdit registration file (.reg) which stores all registry changes and modifications made by the program or an app you installed.

This .reg file could be used to import all registry changes with RegEditApp, if needed. You can download RegFromApp for free from its developer’s website.

Should you be unable to edit the registry due to insufficient permissions, make sure you take a look at our expert tips and regain access.

⇒ Get RegFromApp

4. Process Monitor – Monitor registry changes in real-time

Process Monitor is another very popular, free registry monitoring utility, that offers some advanced options. So how to use Process Monitor? It could not be easier!

Simply download Process Monitor for registry changes, run the .exe file, and install it on your hard drive. It works in real time and shows all system files, registry changes, and processes/threads of your system.

This tiny tool is also able to fix your registry, if there are some errors, as well as to remove malware and other types of malicious software.

You can download this small, but powerful registry tool for free.

⇒ Get Process Monitor

How do I monitor my registry activity? 👉 Reg and FC Method

And now something for those who don’t like using third-party software for performing system tasks, or any other tasks in Windows 10.

If you don’t feel like using specialized registry monitoring tools, Reg and FC is Windows’ built-in command line from the Windows registry. And it allows you to monitor and compare the states of your registry.

Before comparing the registry changes, export all the important registry keys you want to monitor (when your system is performing well) to a text file, and export these keys again after a few changes or new installations.

Now compare both files with fc.exe:

1. Go to search and type fc.exe.
2. Open fc command and enter the following command line: fc 1st.reg 2nd.reg > result.txt
3. This command will compare both files and save them in the same directory as .text file.

Now, you know what tools you can install on your Windows 10 computer in order to keep an eye on the Registry changes that various apps and software operate on the OS.

Knowing what’s changed is one thing, but knowing how to revert the changes is another one.

So, if you want to simply get rid of all the changes, you can use a Restore Point, provided that you already created one.

This will help you undo registry changes in Windows 10, should you need to do so.

Additionally, if you want to reset your Registry, you can also install one of these registry cleaners and run it on your machine.

We hope that you’ll find at least one of these tools useful and that it will help you to monitor registry changes easily.

If you have some comments or suggestions, or maybe know some other powerful tools for monitoring registry changes, reach us in the comments below, we would love to hear your opinion.

When you install certain software, it copies a few files into your registry. Now, it’s no surprise that this can go either way but fortunately, registry activity can be monitored with the help of specialized tools.

You can monitor registry changes and keep track of all the keys and entries along with their status by using registry monitoring tools. But why would you want to do that?

For once, you can simplify future troubleshooting steps. In fact, the modifications made by different programs to your registry can cause errors, and incompatibilities as well as impact your system overall.

Not to mention that there are also illegitimate programs that can infiltrate your OS and further alter your registry, such as malware or viruses.

What tool would you use to monitor the changes to the registry that the malware is making? Here’s a quick preview of our top picks:

1. Regshot – Windows registry change tracker + snapshot feature
2. WhatChanged – Monitor registry key changes effortlessly
3. RegFromApp – Record registry changes directly in a .reg file
4. Process Monitor – Monitor registry changes real-time

Now, registry activity can be monitored with the help of Dash, Regshot, Wireshark, Course Hero, Process Hacker, MCQ, and more.

Find out how to monitor registry changes and easily identify potential errors in order to make sure everything works smoothly.

Without further ado, we present you with the list of the best registry monitoring tools on the market.

1. Regshot – Windows registry change tracker + snapshot feature

You wanted to know and we’re here to answer – Can registry activity be monitored with the help of RegShot? Without a shred of a doubt.

Regshot is a very useful tool for monitoring changes in your registry. Besides showing the current state of your Windows registry, it allows you to take a screenshot of it and save it for later comparison.

Regshot is a free and open-source tool that works on both 32-bit and 64-bit versions of Windows.

Besides Windows registry, Regshot also allows you to take a snapshot of the Windows directories. You can download this open-source registry monitoring tool from SourceForge for free.

⇒ Get Regshot

2. WhatChanged – Monitor registry key changes effortlessly

WhatChanged is another well-known, free registry utility for tracking changes in the Windows registry.

It uses the so-called brute force method, and with it, you’ll be able to scan your registry to find the modified files and recent registry entries.

This makes it easy to compare all the changes to your system settings.

WhatChanged is a great tool for checking what programs you recently installed, and maybe deleting some unnecessary ones.

⇒ Get WhatChanged

3. RegFromApp – Record registry changes directly in a .reg file

RegFromApp is a registry monitoring tool that smoothly monitors all the changes in the registry made by Windows or a certain program you selected.

It also creates a RegEdit registration file (.reg) which stores all registry changes and modifications made by the program or an app you installed.

This .reg file could be used to import all registry changes with RegEditApp, if needed. You can download RegFromApp for free from its developer’s website.

Should you be unable to edit the registry due to insufficient permissions, make sure you take a look at our expert tips and regain access.

⇒ Get RegFromApp

4. Process Monitor – Monitor registry changes in real-time

Process Monitor is another very popular, free registry monitoring utility, that offers some advanced options. So how to use Process Monitor? It could not be easier!

Simply download Process Monitor for registry changes, run the .exe file, and install it on your hard drive. It works in real time and shows all system files, registry changes, and processes/threads of your system.

This tiny tool is also able to fix your registry, if there are some errors, as well as to remove malware and other types of malicious software.

You can download this small, but powerful registry tool for free.

⇒ Get Process Monitor

How do I monitor my registry activity? 👉 Reg and FC Method

And now something for those who don’t like using third-party software for performing system tasks, or any other tasks in Windows 10.

If you don’t feel like using specialized registry monitoring tools, Reg and FC is Windows’ built-in command line from the Windows registry. And it allows you to monitor and compare the states of your registry.

Before comparing the registry changes, export all the important registry keys you want to monitor (when your system is performing well) to a text file, and export these keys again after a few changes or new installations.

Now compare both files with fc.exe:

1. Go to search and type fc.exe.
2. Open fc command and enter the following command line: fc 1st.reg 2nd.reg > result.txt
3. This command will compare both files and save them in the same directory as .text file.

Now, you know what tools you can install on your Windows 10 computer in order to keep an eye on the Registry changes that various apps and software operate on the OS.

Knowing what’s changed is one thing, but knowing how to revert the changes is another one.

So, if you want to simply get rid of all the changes, you can use a Restore Point, provided that you already created one.

This will help you undo registry changes in Windows 10, should you need to do so.

Additionally, if you want to reset your Registry, you can also install one of these registry cleaners and run it on your machine.

We hope that you’ll find at least one of these tools useful and that it will help you to monitor registry changes easily.

If you have some comments or suggestions, or maybe know some other powerful tools for monitoring registry changes, reach us in the comments below, we would love to hear your opinion.

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением. 

chcp 1251

Скачать утилиты можно по ссылкам:

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать  с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера.  Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать RegShot

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Авторы утилиты: XhmikosR, M. Buecher.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

• Снимок — Только снимок
• Снимок + Сохранить — Снимок и бекап реестра
• Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Обзоры утилит от Sysinternals.com:

• Process Explorer (контроль за процессами)
• PageDfrg (дефрагментация системных файлов)
• Autoruns (управление автозагрузкой)
• FileMon (монитор файловой системы)
• RegMon (монитор реестра)

Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.

Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.

Внешний вид Registry Monitor показан на рисунке ниже.

• File:
  • Open — открывает ранее собранный и сохраненный лог-файл для анализа в Registry Monitor-е. Будьте внимательны, открывая лог, текущие собранные данные будут потеряны, поэтому, если они нужны, то сохраните предварительно собранные данные в файл.
  • Save — сохраняет собранные данные в файл.
  • Save as… — сохраняет собранные данные в файл.
  • Process Properties… — свойства процесса. Если в окне, где отображены собранные данные, выделить любую строку, то данный пункт меню станет доступен и при его выборе откроется окно с информацией о том процессе, обращение которого к реестру выделено. Пример окна с информацией о процессе показан ниже.
  • Capture Events — переключатель, который включает или приостанавливает сбор сведений об обращениях к реестру.
  • Exit — выход.
• Edit:
  • Copy — копирует в буфер обмена выделенную строку.
  • Delete — удаляет выбранную строку.
  • Include Process — быстрая настройка фильтра. После применения этого пункта меню будут отслеживаться обращения к реестру только указанного процесса. Чтобы отменить эту настройку исправьте фильтр (о чем будет рассказано ниже).
  • Exclude Process — исключить процесс. Обращения данного процесса более не будут попадать в собранные данные и он, таким образом, будет исключен из мониторинга.
  • Include Patch — будут собираться данные только при обращении к выделенному в момент применения команды меню разделу реестра и его подразделам. Для отмены отслеживания только определенного раздела реестра исправьте фильтр, о чем более подробно будет рассказано далее.
  • Find… — поиск строки в собранных данных в окне Registry Monitor.
  • Regedit Jump… — если выделить в окне Registry Monitor строку и выбрать этот пункт меню, то будет запущен редактор реестра RegEdit и в нем будет автоматически развернуто дерево разделов того раздела, имя которого находится в выделенной строке Registry Monitor-а. Двойной клик мышью по любой строке собранных данных в RegMon выполняет такое же действие, т.е. открывает RegEdit сразу на том ключе, к которому было зафиксировано обращение процесса.
  • Clear Display — очищает экран от собранных данных. Будьте осторожны, если данные представляют интерес, то не забудьте предварительно сохранить их в файл.
• Options:
  • Font… — открывает диалоговое окно выбора шрифта, которым будет отображаться собранная информация в окне Registry Monitor.
  • Highlight Colors… — открывает диалоговое окно выбора цвета для строк и текста, которые необходимо подсвечивать в собранных данных. Более подробно о подсветке строк смотрите ниже, в настройках фильтра.
  • Filter/Highlight… — открывает окно настройки фильтра и подсветки строк. Пример этого окна показан ниже.

    В данном примере собирается информация об обращениях к реестру всех процессов, за исключением IEXPLORE.EXE и Explorer.EXE, причем, все обращения к реестру процесса csrss.exe подсвечиваются в окне другим цветом. Галки внизу окна позволяют собирать только определенные события, как то:

    • Log Opens — включает или отключает сбор информации о процессах, которые открывают ключи реестра.
    • Log Reads — включает или отключает сбор информации о процессах, которые читают ключи реестра.
    • Log Writes — включает или отключает сбор информации о процессах, которые пишут в ключи реестра.
    • Log Successes — включает или отключает сбор информации о процессах, любое обращение которых к реестру было удачно (т.е., к примеру, процесс смог успешно считать или записать значение).
    • Log Errors — включает или отключает сбор информации о процессах, любое обращение которых к реестру закончилось ошибкой (например, процесс не нашел определенный ключ реестра).

    В этом же окне кнопка Defaults сбрасывает все сделанные настройки фильтра в значениях, при которых будут собираться все данные.

  • History Depth… — позволяет настроить количество строк, которые будут запоминаться Registry Monitor-ом. Именно такое количество строк затем будет сохранено в лог-файле работы RegMon-а. Для хранения всех строк используется значение 0.
  • Always On Top — включение этого параметра позволит всегда видеть окно RegMon-а выше всех окон, что весьма удобно при сборе данных от нескольких приложений, между которыми необходимо переключаться.
  • Auto Scroll — этот параметр позволяет включить прокрутку окна с собранными данными. Последнее обращение к реестру всегда будет видно на экране.
  • Clock Time — если этот параметр выключен, то в лог будет записано время обращения процесса к реестру, относительно времени запуска Registry Monitor. Если включен, то будет записано системное время.
  • Show Milliseconds — если предыдущий параметр включен, т.е. в лог записывается системное время, то имеет смысл включить и этот параметр. В этом случае, к системному времени будут записываться и миллисекунды, что повысит точность определения времени обращения процесса к реестру.
  • Log Boot — выбор этого параметра включает мониторинг обращения к реестру во время загрузки системы. Т.е. после его выбора надо перезагрузиться и Registry Monitor запишет в лог-файл с именем REGMON.LOG, находящийся в папке, где установлена Windows, все обращения к реестру на протяжении загрузки системы. Такой лог-файл будет иметь размер в несколько десятков мегабайт. Запись обращений к реестру будет продолжаться до тех пор, пока не будет запущен RegMon или до следующей перезагрузки системы.

RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.

Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.

Итак, запустим RegMon. Настраивать пока фильтр не будем. Включим опцию Always On Top, чтобы окно RegMon не «убегало» на задний план. При запущенном RegMon-е откроем Outlook Express. Сразу после окончания его загрузки нажмем кнопку Capture или выберем пункт меню File — Capture Events, чтобы остановить сбор данных. Пример окна Registry Monitor после запуска Outlook Express с остановленным процессом сбора информации показан ниже.

В данном случае интересны обращения к реестру только процесса msimn.exe, поэтому щелкнем на нем правой кнопкой и выберем Include Process, либо выберем в меню Edit — Include Process. На запрос о том, хотим ли мы применить этот фильтр к уже собранным данным можно ответить и положительно и отрицательно, это не имеет значения. Теперь нужно очистить окно Registry Monitor. Для этого выберите Edit — Clear Display. Последний штрих в подготовке сбора данных — донастройка фильтра. Для этого выберем Options — Filter/Highlight. В настройке фильтра, внизу, снимем все галки за исключением Log Writes и Log Successes, настроив, таким образом, отсеивание всех обращений к реестру за исключением успешной записи в реестр значений процессом msimn.exe. Пример настройки фильтра показан ниже.

После того, как фильтр настроен, нужно создать в Outlook Express правило для почты. Чтобы создать правило в Outlook Express, выберите Сервис — Правила для сообщений — Почта. В открывшемся окне создайте правило. Пример уже созданного правила показан на следующем рисунке.

После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.

Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK. Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.

Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Patch Registry Monitor. Подведите курсор по очереди к каждому значению в столбце Patch и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это HKEY_CURRENT_USERIdentities{D7691494-4CF1-4D7F-9A0F-A700B85345C2}SoftwareMicrosoftOutlook Express5.0RulesMail00. Щелкните в окне Registry Monitor по записи с самым коротким путем два раза левой кнопкой мыши. Откроется редактор реестра, в котором автоматически будет развернуто дерево разделов до раздела, по которому был выполнен двойной щелчок. Окно реестра показано на следующем рисунке.

Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.