حتی جزئی ترین تغییرات تنظیمات در ویندوز، به غیر از نصب یا حذف برنامه ها، با تغییرات مربوطه در رجیستری سیستم همراه است. کاربران معمولاً به آنها اهمیت نمی‌دهند، اما گاهی اوقات ممکن است نیاز به ردیابی داشته باشند، مثلاً برای مقایسه یا لغو دستی برخی از تغییرات ایجاد شده توسط یک اسکریپت یا برنامه.

نحوه ردیابی تغییرات در رجیستری ویندوز

اگر تغییرات مورد انتظار کوچک باشد، می توان آنها را با استفاده از خود سیستم عامل ردیابی کرد. ویرایشگر رجیستری را باز کنید، شاخه ای را انتخاب کنید که انتظار می رود تغییرات در آن ایجاد شود و آن را به یک فایل REG به نام 1 صادر کنید.

تغییرات لازم را انجام دهید و شاخه را دوباره به یک فایل REG اما با نام 2 صادر کنید.

فرض کنید هر دو فایل را در ریشه درایو D ذخیره کرده اید. بیایید آنها را با هم مقایسه کنیم. یک خط فرمان باز کنید و این دو دستور را اجرا کنید:

fc D:/1.reg D:/2.reg > D:/compare.log

اولی کدگذاری سیریلیک را تنظیم می کند، دومی نتیجه مقایسه را در یک گزارش ذخیره می کند.

این روش کار می کند، اما ناخوشایند است، زیرا محتویات فایل های رجیستری با یکدیگر مقایسه می شوند و کاراکتر به کاراکتر در یک ستون نمایش داده می شوند، که هنگام خواندن چنین گزارشی مشکل ایجاد می کند. به همین دلیل، این روش برای ردیابی تغییرات بسیار جزئی، دو یا سه پارامتر، نه بیشتر، مناسب است. در موارد دیگر، بهتر است از ابزارهای ویژه استفاده کنید.

رگشات

شناخته شده ترین برنامه برای ردیابی تغییرات در رجیستری Regshot است. ما ابزار را راه اندازی می کنیم، روی دکمه "1st snapshot" کلیک می کنیم، تنظیمات را انجام می دهیم، نرم افزار را نصب می کنیم و غیره، سپس روی دکمه "2nd snapshot" و سپس "Compare" کلیک می کنیم.

نتایج در یک متن ساده یا فایل HTML (به انتخاب مقایسه کننده) نمایش داده می شود.

این برنامه نشان می دهد که کدام بخش ها و پارامترها ایجاد و حذف شده اند، کدام یک تغییر کرده اند و تعداد کل تغییرات. متاسفانه Regshot به شما اجازه اسکن پارتیشن ها و کلیدهای خاصی را نمی دهد و به همین دلیل تغییرات ایجاد شده توسط خود ویندوز در فایل گزارش ثبت می شود.

رجیستری تماشای زنده

ابزار رایگان دیگر، Registry Live Watch، رویکرد کمی متفاوت برای ردیابی تغییرات در رجیستری ارائه می دهد. برخلاف Regshot، دو عکس فوری از رجیستری را با هم مقایسه نمی‌کند، اما تغییرات بخش‌های آن را به‌صورت بلادرنگ رصد می‌کند و داده‌ها را در یک فیلد متنی خاص در پنجره‌اش نمایش می‌دهد. علاوه بر این، Registry Live Watch به شما امکان می دهد تغییرات ایجاد شده توسط یک فایل اجرایی خاص را ردیابی کنید.

اما این برنامه ایرادی هم دارد. نمی‌تواند کل رجیستری یا حتی بخش‌های آن را نظارت کند، بلکه فقط کلیدهای جداگانه را کنترل می‌کند.

مقایسه CRegistry

چیزی شبیه به Regshot یک برنامه رایگان به نام CRegistry Comparison است. پس از راه‌اندازی، از شما می‌خواهد یک دایرکتوری را برای ذخیره تصویر اصلی انتخاب کنید، پس از آن بلافاصله آن را ایجاد و ذخیره می‌کند.

می توانید با وارد کردن مقادیر جدید برای پارامترهای مورد نظر در خود ویرایشگر رجیستری یا استفاده از import، تغییراتی در رجیستری ایجاد کنید. اما راه دیگری وجود دارد. شما می توانید یک فایل را با فرمت مشخص از قبل آماده کنید و پارامترهای لازم به طور خودکار در رجیستری نصب می شوند. برای این منظور، فایل های متنی با پسوند reg .

فرمت فایل REG

این همان چیزی است که یک فایل REG نمونه به نظر می رسد که به شما امکان می دهد یک پارتیشن ایجاد کنید( تست) با پارامترهای ( "CatName").

پارامترهای جدید را برای بخش تست تنظیم کنید

"CatName"="reestr"
"CatAge"=dword:00000008

نحو فایل REG

بیایید به فرمت فایل REG نگاه کنیم. هدر فایل اول است

ویرایشگر رجیستری ویندوز نسخه 5.00

لازم به ذکر است که در سیستم عامل های قبلی، ویندوز 98و ویندوز NT 4.0، هدر استفاده شده است REGEDIT4. اگر هنوز فایل های قدیمی مشابهی دارید، نگران نباشید. این فایل را درک می کند و اطلاعات را به درستی پردازش می کند. اما روند معکوس در دسترس نخواهد بود - ویندوز 98نمی تواند هدر جدید را تشخیص دهد و خطا ایجاد می کند. یکی از جزئیات مهم این است که بعد از عنوان باید یک خط خالی باشد.

اگر باید نظری را در سند وارد کنید تا هدف پارامتر را فراموش نکنید، نماد را در ابتدا قرار دهید ";" (نقطه ویرگول). نظر برای راحتی کاربر است و در ثبت نام درج نمی شود.

ساخت فایل REG

نوشتن فایل REGمی توانید از هر ویرایشگر متنی مانند Notepad استفاده کنید. یک سند متنی جدید ایجاد کنید، کد بالا را تایپ کنید (شکل 1.1) و فایل را با پسوند REG ذخیره کنید. اگر می‌خواهید ایجاد چنین فایل‌هایی را تمرین کنید، تولید آن‌ها از ویرایشگر رجیستری آسان‌تر است و سپس تغییراتی در Notepad ایجاد کنید.

برنج. 1.1.

ایجاد تغییرات در رجیستری با استفاده از یک فایل REG

در بالا قبلاً رفتار سیستم را هنگام دوبار کلیک کردن روی یک فایل با پسوند بررسی کردیم .reg. وقتی روی آن دوبار کلیک می کنید فایل REGشما ویرایشگر رجیستری را راه اندازی می کنید که نام فایل به عنوان پارامتر به آن ارسال می شود.

توجه
قبل از وارد کردن به رجیستری فایل REGحتما یک نسخه پشتیبان از رجیستری یا نقطه بازیابی سیستم تهیه کنید! این روش برای خودکارسازی وظایف خیلی راحت نیست. به عنوان مثال، ما می خواهیم با استفاده از یک اسکریپت نصب خودکار سیستم ایجاد کنیم REG-فایل ها. اگر تعداد این فایل ها زیاد باشد، کاربر باید دائماً دکمه را فشار دهد خوب، که می بینید، لذتی برای او نخواهد داشت. با اجرای دستور با پارامتر می توانید ظاهر کادر محاوره ای را سرکوب کنید /S:

REGEDIT /S D:\test.reg

این روشی است که توسط برنامه نویسان و مدیران سیستم هنگام ایجاد برنامه ها و اسکریپت های خود استفاده می شود فایل های REG. درست است، سرویس کنترل حساب کاربری ویندوز از شما می خواهد که این عملیات را مجاز کنید، اما سرویس کنترل را می توان برای مدت زمان انجام چنین اقداماتی غیرفعال کرد و سپس کاربر چیزی را مشاهده نخواهد کرد. با کمک فایل REGشما همچنین می توانید پارتیشن ها را حذف کنید. برای این کار باید یک علامت منفی جلوی نام بخش قرار دهید. بیایید فایل خود را در Notepad باز کنیم cat.regو تغییرات زیر را انجام دهید:

ویرایشگر رجیستری ویندوز نسخه 5.00
: برای حذف یک پارتیشن علامت منفی قرار دهید
[-HKEY_CURRENT_USER\Software\Test]

اکنون باید روی فایل REG دوبار کلیک کنید تا آن را اجرا کنید و ورودی ها را به رجیستری وارد کنید. در ویرایشگر رجیستری بررسی کنید که کلید مشخص شده حذف شده است.

توجه
لطفاً توجه داشته باشید که فقط می توانید بخش هایی را حذف کنید که حاوی زیربخش نیستند. در غیر این صورت، باید تمام زیربخش های موجود در آن را به ترتیب حذف کنید و تنها پس از آن اقدام به حذف بخش مورد نظر کنید.

همچنین می توانید پارامتر را حذف کنید. برای این کار یک علامت منفی (-) بعد از علامت مساوی (=) قرار دهید.

این مقاله مراحل مالکیت یک کلید رجیستری و به دست آوردن حقوق کنترل کامل و نحوه بازگرداندن حقوق اصلی و بازگرداندن مالک اصلی را به شما نشان می دهد.

برخی از بخش‌های رجیستری ویندوز برای ویرایش در دسترس نیستند، حتی اگر حساب شما متعلق به گروه باشد "مدیران". این معمولاً به دلیل گروه اتفاق می افتد "مدیران"هیچ مجوز (حقوق) مناسبی برای نوشتن در این کلید رجیستری وجود ندارد. چندین دلیل وجود دارد که چرا نمی توانید یک کلید رجیستری را ویرایش کنید:
■ گروه "مدیران"مالک بخش است، اما حقوق کامل آن را ندارد. در این مورد، کافی است به سادگی به گروه صادر کنید "مدیران"حقوق کامل
■ مالک پارتیشن یک سرویس سیستم است TrustedInstaller. در این صورت ابتدا باید مالک بخش شوید و سپس به گروه خود حقوق کامل بدهید که در این مقاله به چنین مثالی پرداخته خواهد شد.

■ مالک پارتیشن حساب سیستم است "سیستم" TrustedInstaller.

در ادامه مقاله نحوه ایجاد تغییرات در رجیستری در صورت نداشتن مجوزهای مناسب و همچنین نحوه بازیابی مجوزهای اولیه و چرایی نیاز به انجام این کار توضیح داده خواهد شد. قبل از ویرایش رجیستری سیستم، توصیه می شود

وقتی هر پارامتری را در رجیستری تغییر می دهید، اگر حقوق کافی نداشته باشید، یک پیغام خطا دریافت خواهید کرد.

در نظر بگیریم مثال اولزمانی که گروه "مدیران"مالک بخش است، اما حقوق کامل آن را ندارد:
 1 مجوزها...
 2 . یک گروه را انتخاب کنید "مدیران":

اگر چک باکس موجود باشد دسترسی کاملرا نصب کنید و روی دکمه کلیک کنید خوب. اگر گروه مالک بخش باشد، این ممکن است کافی باشد.

اگر چک باکس در دسترس نیست یا پیام خطایی مانند تصویر زیر مشاهده کردید، به مثال دوم بروید.

  مثال دومزمانی که مالک پارتیشن یک سرویس سیستم باشد TrustedInstaller

در پنجره مجوزهای گروهروی دکمه کلیک کنید علاوه بر این

در پنجره بعدی روی لینک کلیک کنید تغییر دادننام حساب محلی یا آدرس ایمیل حساب مایکروسافت خود را وارد کنید، نام را بررسی کرده و کلیک کنید خوب

کادر را علامت بزنید صاحب کانتینرها و اشیاء را جایگزین کنیددر بالای پنجره و روی دکمه کلیک کنید خوب

یک گروه را انتخاب کنید "مدیران"، کادر را علامت بزنید دسترسی کامل، دکمه را فشار دهید خوب

اکنون به کلید رجیستری دسترسی کامل دارید و می توانید تمام تنظیمات آن را ویرایش کنید.

  مثال سومزمانی که مالک پارتیشن حساب سیستم باشد "سیستم". در این مورد، اقدامات مانند با خواهد بود TrustedInstaller.

بازگرداندن حقوق اصلی و بازگرداندن مالکیت

برای اهداف امنیتی سیستم، پس از ویرایش پارامترهای لازم کلید رجیستری، باید حقوق دسترسی اصلی را برگردانید و حساب سیستم را به عنوان مالک بخش بازیابی کنید. TrustedInstaller.
 1 . روی کلید رجیستری کلیک راست کرده و از منو انتخاب کنید مجوزها...

 2 . در پنجره مجوزهای گروهروی دکمه کلیک کنید علاوه بر این

 3 . در پنجره بعدی گزینه های امنیتی اضافیروی لینک کلیک کنید تغییر دادندر بالای پنجره و در کادر محاوره ای که ظاهر می شود انتخاب کنید: "کاربر" یا "گروه"نام حساب را وارد کنید:

روی دکمه کلیک کنید خوب

 5 . در پنجره مجوزهای گروهیک گروه را انتخاب کنید "مدیران"، علامت را بردارید دسترسی کامل، دکمه را فشار دهید خوب

حقوق اصلی و مالک کلید رجیستری بازیابی شده است.

■ اگر صاحب بخش یک حساب کاربری بود سیستم(در نسخه انگلیسی سیستم)، سپس به جای آن
 NT Service\TrustedInstallerوارد سیستم(در نسخه انگلیسی سیستم).

چطور انجام دادن عکس های فوری رجیستری ویندوزبرای مقایسه و پیگیری تغییرات؟

می توانید تغییرات رجیستری را به روش های مختلف، به صورت دستی یا با استفاده از برنامه های خاص پیگیری کنید. در این مقاله به شما خواهم گفت که چگونه با استفاده از برنامه ها این کار را انجام دهید که به نظر من بسیار راحت تر است.

همانطور که قول داده بودم، در مقاله ""، با این انتشار مجموعه ای از مقالات اختصاص داده شده به تجزیه و تحلیل بدافزار را آغاز می کنیم. در این مقالات من در مورد ابزارهایی صحبت خواهم کرد که به شما امکان می دهد ویروس ها و رفتار آنها را مطالعه کنید.

مقاله امروز نه تنها برای محققان ویروس، بلکه برای کاربران عادی که می خواهند در استفاده از رایانه پیشرفته تر شوند نیز مفید خواهد بود. من به شما خواهم گفت که چگونه از برنامه Regshot برای گرفتن عکس های فوری از رجیستری ویندوز برای مقایسه و ردیابی تغییرات استفاده کنید.

رجیستری ویندوز چیست؟

رجیستری یکی از بخش های اصلی سیستم عامل مایکروسافت ویندوز است. با وجود این، اکثر کاربران از سیستم عامل استفاده می کنند و از وجود رجیستری بی اطلاع هستند.

یک کاربر بی تجربه حتی متوجه نمی شود که هنگام تغییر تمام پارامترها: نصب برنامه ها، تغییر خود ویندوز و دستگاه های متصل به آن، همه تغییرات در رجیستری ویندوز انجام می شود.

در یک کلام، رجیستری به یک معنا هسته اصلی سیستم عامل است که تمام تنظیمات و تغییرات در آن ذخیره می شود.

چرا رجیستری را تجزیه و تحلیل کنید و تغییرات را پیگیری کنید؟

فرض کنید شما دیگر فقط یک کاربر منفعل کامپیوتر نیستید و می خواهید در حین نصب یک برنامه جدید یا تجزیه و تحلیل رفتار یک ویروس در پشت صحنه بدانید. برای اینکه بفهمید همه نرم افزارها چه تغییراتی ایجاد می کنند، به برنامه هایی برای ردیابی رجیستری نیاز دارید. یکی از این ابزارها RegShot است.

عکس فوری رجیستری با استفاده از RegShot

RegShotیک برنامه کوچک رایگان و متن باز است که به شما امکان می دهد از رجیستری عکس بگیرید و آنها را مقایسه کنید. تمام تغییراتی که در رجیستری رخ داده است را می توان در یک فایل متنی یا فایل html ذخیره کرد.

RegShot را دانلود کنید

برنامه RegShot را می توانید با لینک مستقیم به صورت رایگان دانلود کنید.

در حال نصب RegShot

پس از دانلود برنامه، آرشیو را از حالت فشرده خارج کرده و به پوشه ای که فایل ها در آن قرار دارد بروید. چندین فایل در پوشه وجود خواهد داشت.

هنگام انتخاب فایل اجرایی به بیتی بودن سیستم عامل خود توجه کنید.

راه اندازی و استفاده از RegShot

پس از راه اندازی، یک پنجره برنامه کوچک ظاهر می شود که در آن بلافاصله زبان پوست را به روسی تغییر می دهیم. یک زبان رابط اوکراینی نیز وجود دارد.

حالا بریم سر کار. ردیابی تغییرات رجیستری با گرفتن اولین عکس فوری از رجیستری شروع می شود. روی دکمه snapshot کلیک کنید و در پنجره کشویی 3 گزینه را مشاهده می کنیم:

• عکس فوری - فقط عکس فوری
• Snapshot + Save - عکس فوری و پشتیبان گیری از رجیستری
• باز کردن - یک عکس فوری گرفته شده از رجیستری را باز کنید

گزینه مورد نیاز را انتخاب کنید. در مورد مثال من، نیازی به پشتیبان گیری از رجیستری نیست، بنابراین روی دکمه "Snapshot" کلیک می کنم. این برنامه زنده می شود و شروع به ایجاد اولین عکس فوری از رجیستری می کند. در پایین پنجره مشاهده خواهید کرد که چگونه اعداد تغییر می کنند.

وقتی اعداد متوقف شدند و برنامه آرام شد، می توانید کار با برنامه های شخص ثالث، نصب و همه چیز را شروع کنید.

پس از اتمام بر روی دکمه "تصویر دوم" کلیک کنید و پس از چند ثانیه می توانید بر روی دکمه "مقایسه" کلیک کنید.

اگر قسمت "Text" در ابتدا علامت زده شده بود، یک پنجره ویرایشگر متن Notepad را مشاهده خواهید کرد که حاوی گزارش کاملی از تغییرات رجیستری است.

من هیچ برنامه ای نصب نکردم، فقط چند تنظیمات را در کنترل پنل ویندوز تغییر دادم. همانطور که می بینید، ابزار Regshot تمام تغییرات را ثبت کرد.

در حین نصب نرم افزار، گزارش البته بزرگتر خواهد بود.

اگر نیاز به تجزیه و تحلیل مجدد رجیستری دارید، بر روی دکمه "پاک کردن" کلیک کنید و دوباره شروع کنید.

همانطور که می بینید، گرفتن یک عکس فوری از رجیستری برای ردیابی تغییرات بسیار آسان است، به خصوص زمانی که برنامه مناسبی در دست دارید. اگر بخواهید بدانید برنامه در حین نصب چه تغییراتی در رجیستری ایجاد می کند، این بسیار راحت است. به هر حال، از این طریق می توانید دریابید که کدام عناصر رجیستری مسئول یک تنظیمات خاص ویندوز هستند.

با استفاده از سیستم عامل ویندوز، بهتر است با آن آشنا شوید. می توانید با مقاله ای در مورد یک فایل عرفانی که به سادگی باید درباره آن بدانید شروع کنید!

همین، دوستان. در آینده ابزارهای دیگر را بررسی خواهیم کرد. و بله، فراموش نکردم که قول دادم دستورالعمل های دقیقی در مورد نحوه ساخت یک آزمایشگاه ایزوله قابل اعتماد در یک ماشین مجازی برای بررسی نرم افزار و ویروس ها ارائه کنم. بنابراین به صفحات عمومی ما خوش آمدید

شاخه های رجیستری سیستم عامل ویندوز تنظیمات و پارامترهای خود سیستم و همچنین سایر نرم افزارهای نصب شده بر روی رایانه را ذخیره می کنند. گاهی اوقات باید دریابید که کدام شاخه های رجیستری توسط یک برنامه راه اندازی شده یا توزیع نصب آن اصلاح می شوند. برای اینکه بفهمید چه چیزی در رجیستری تغییر کرده است، باید از یک برنامه ویژه برای نظارت بر وضعیت پارامترهای رجیستری سیستم استفاده کنید. برنامه RegFromApp تغییرات در رجیستری سیستم را که توسط یک برنامه (فرآیند) در حال اجرا ایجاد شده است را به صورت بلادرنگ رصد می کند و شاخه رجیستری و مقادیر تغییر یافته در آن را منعکس می کند.

ردیابی تغییرات در رجیستری

برای اینکه بفهمید یک برنامه خاص در رجیستری چه تغییری می کند، باید RegFromApp را اجرا کنید و فرآیندی را که علاقه مند به ردیابی آن هستید از لیست تمام فرآیندهای در حال اجرا انتخاب کنید. به محض اینکه برنامه مورد علاقه کاربر به رجیستری دسترسی پیدا کرد و مقادیر شاخه های آن را تغییر داد، RegFromApp بلافاصله شاخه رجیستری را که تغییرات در آن رخ می دهد منعکس می کند و مقادیر تغییر یافته را نشان می دهد. تغییرات ایجاد شده در رجیستری را می توان در یک فایل رجیستری (*.reg) ذخیره کرد. ابزار RegFromApp از اجرای از خط فرمان با پارامترها پشتیبانی می کند.

تصاویری از برنامه RegFromApp

سایت رسمی: http://www.nirsoft.net
سیستم عامل: 32.64 ویندوز XP/Vista/7/8
زبان های پشتیبانی شده:روسی
نسخه: 1.32
مجوز:نرم افزار رایگان (رایگان)

حجم فایل 107 کیلوبایت

برنامه های جالب تر:

• SmartPawnshop اولین برنامه روسی است که به شما امکان می دهد فرآیندهای مدیریت کسب و کار پیاده را بهینه کنید