Pat visniecīgākajām Windows iestatījumu izmaiņām, nemaz nerunājot par programmu instalēšanu vai noņemšanu, tiek veiktas atbilstošas ​​izmaiņas sistēmas reģistrā. Lietotājiem tie parasti ir vienalga, taču dažreiz tie var būt jāizseko, piemēram, lai salīdzinātu vai manuāli atsauktu kādas skripta vai lietojumprogrammas veiktās izmaiņas.

Kā izsekot izmaiņām Windows reģistrā

Ja paredzamās izmaiņas ir nelielas, tām var izsekot, izmantojot pašu operētājsistēmu. Atveriet reģistra redaktoru, atlasiet filiāli, kurā ir paredzētas izmaiņas, un eksportējiet to uz REG failu ar nosaukumu 1.

Veiciet nepieciešamās izmaiņas un atkārtoti eksportējiet filiāli REG failā, bet ar nosaukumu 2.

Pieņemsim, ka esat saglabājis abus failus diska D saknē. Salīdzināsim tos. Atveriet komandrindu un palaidiet šīs divas komandas:

fc D:/1.reg D:/2.reg > D:/compare.log

Pirmajā tiek iestatīts kirilicas kodējums, otrajā tiek saglabāts salīdzināšanas rezultāts žurnālā.

Metode darbojas, taču ir neērta, jo reģistra failu saturs tiek salīdzināts un kolonnā tiek parādīts rakstzīmēm pēc rakstzīmēm, kas rada grūtības, lasot šādu žurnālu. Šī iemesla dēļ metode ir piemērota ļoti nelielu izmaiņu, divu vai trīs parametru izsekošanai, ne vairāk. Citos gadījumos labāk ir izmantot īpašus komunālos pakalpojumus.

Regshot

Vispazīstamākā programma izmaiņu izsekošanai reģistrā ir Regshot. Mēs palaižam utilītu, noklikšķiniet uz pogas “1. momentuzņēmums”, veicam iestatījumus, instalējam programmatūru utt., pēc tam noklikšķiniet uz pogas “2. momentuzņēmums” un pēc tam uz “Salīdzināt”.

Rezultāti tiks parādīti vienkārša teksta vai HTML failā (pēc salīdzinātāja izvēles).

Programma parāda, kuras sadaļas un parametri tika izveidoti un dzēsti, kuri no tiem tika mainīti un kopējais izmaiņu skaits. Diemžēl Regshot neļauj skenēt noteiktus nodalījumus un atslēgas, tāpēc pašas Windows veiktās izmaiņas tiek ierakstītas atskaites failā.

Reģistra tiešraides skatīšanās

Vēl viena bezmaksas utilīta, Registry Live Watch, piedāvā nedaudz atšķirīgu pieeju reģistrā veikto izmaiņu izsekošanai. Atšķirībā no Regshot, tas nesalīdzina divus reģistra momentuzņēmumus, bet reāllaikā uzrauga izmaiņas tā sadaļās, savā logā attēlojot datus īpašā teksta laukā. Turklāt Registry Live Watch ļauj izsekot konkrēta izpildāmā faila veiktajām izmaiņām.

Bet šai programmai ir arī savs trūkums. Tas nevar pārraudzīt visu reģistru vai pat tā sadaļas, bet tikai atsevišķas atslēgas.

Creģistra salīdzinājums

Kaut kas līdzīgs Regshot ir bezmaksas programma ar nosaukumu CRegistry Comparison. Pēc palaišanas tas piedāvā izvēlēties direktoriju, lai saglabātu sākotnējo attēlu, pēc kura tas nekavējoties izveido un saglabā to.

Varat veikt izmaiņas reģistrā, ievadot jaunas vēlamo parametru vērtības pašā reģistra redaktorā vai izmantojot importēšanu. Bet ir arī cits veids. Jūs varat iepriekš sagatavot failu noteiktā formātā, un nepieciešamie parametri tiks automātiski instalēti reģistrā. Šiem nolūkiem teksta faili ar paplašinājumu reg .

REG faila formāts

Šādi izskatās REG faila piemērs, kas ļaus jums izveidot nodalījumu ( Pārbaude) ar parametriem ( "Kaķa vārds").

;Iestatiet jaunus parametrus sadaļai Test

"CatName"="reestr"
"CatAge"=dword:00000008

REG faila sintakse

Apskatīsim REG faila formātu. Vispirms ir faila galvene

Windows reģistra redaktora versija 5.00

Jāņem vērā, ka iepriekšējās operētājsistēmās Windows 98 Un Windows NT 4.0, lietota galvene REGEDIT4. Ja jums joprojām ir līdzīgi veci faili, neuztraucieties. sapratīs šo failu un pareizi apstrādās informāciju. Bet apgrieztais process nebūs pieejams - Windows 98 nevarēs atpazīt jauno galveni un parādīs kļūdu. Viena svarīga detaļa ir tāda, ka aiz virsraksta ir jābūt tukšai rindai.

Ja dokumentā ir jāiekļauj komentārs, lai neaizmirstu par parametra mērķi, tad ievietojiet simbolu sākumā ";" (semikols). Komentārs ir paredzēts lietotāja ērtībām un netiek ievadīts reģistrā.

REG faila izveide

Rakstiet REG fails Varat izmantot jebkuru teksta redaktoru, piemēram, Notepad. Izveidojiet jaunu teksta dokumentu, ierakstiet augstāk esošo kodu (1.1. att.) un saglabājiet failu ar paplašinājumu REG. Ja vēlaties praktizēt šādu failu izveidi, tos ir vieglāk ģenerēt, eksportējot no reģistra redaktora, un pēc tam veikt izmaiņas programmā Notepad.

Rīsi. 1.1.

Izmaiņu veikšana reģistrā, izmantojot REG failu

Iepriekš mēs jau esam pārbaudījuši sistēmas darbību, veicot dubultklikšķi uz faila ar paplašinājumu .reg. Veicot dubultklikšķi uz REG fails startējat reģistra redaktoru, kuram kā parametrs tiek nodots faila nosaukums.

UZMANĪBU
Pirms importēšanas reģistrā REG fails Noteikti izveidojiet reģistra dublējumu vai sistēmas atjaunošanas punktu! Šī metode nav īpaši ērta uzdevumu automatizēšanai. Piemēram, mēs vēlamies izveidot automātisku sistēmas instalācijas skriptu, izmantojot REG- faili. Ja šādu failu ir pārāk daudz, lietotājam pastāvīgi būs jānospiež poga labi, kas, redz, viņam prieku nesagādās. Dialoglodziņa izskatu var novērst, izpildot komandu ar parametru /S:

REGEDIT /S D:\test.reg

Tieši šo metodi izmanto programmētāji un sistēmu administratori, veidojot savas programmas un skriptus REG faili. Tiesa, Windows lietotāja konta kontroles pakalpojums liks jums atļaut darbību, taču kontroles pakalpojumu var atspējot uz šādu darbību laiku, un tad lietotājs neko neredzēs. Ar palīdzību REG fails jūs varat arī izdzēst nodalījumus. Lai to izdarītu, sadaļas nosaukumam priekšā jāievieto mīnusa zīme. Atvērsim savu failu programmā Notepad kat.reg un veiciet šādas izmaiņas:

Windows reģistra redaktora versija 5.00
: ielieciet mīnusa zīmi, lai dzēstu nodalījumu
[-HKEY_CURRENT_USER\Software\Test]

Tagad jums ir jāveic dubultklikšķis uz REG faila, lai to palaistu un importētu ierakstus reģistrā. Reģistra redaktorā pārbaudiet, vai norādītā atslēga ir dzēsta.

UZMANĪBU
Lūdzu, ņemiet vērā, ka varat dzēst tikai tās sadaļas, kurās nav apakšsadaļu. Pretējā gadījumā jums ir nepieciešams secīgi dzēst visas tajā iekļautās apakšsadaļas un tikai pēc tam turpināt dzēst vajadzīgo sadaļu.

Varat arī noņemt parametru. Lai to izdarītu, aiz vienādības zīmes (=) ievietojiet mīnusa zīmi (-).

Šajā rakstā ir norādītas darbības, lai iegūtu īpašumtiesības uz reģistra atslēgu un iegūtu pilnīgas kontroles tiesības, kā arī kā atgriezt sākotnējās tiesības un atjaunot sākotnējo īpašnieku.

Dažas Windows reģistra sadaļas nav pieejamas rediģēšanai, pat ja jūsu konts pieder grupai "Administratori". Tas parasti notiek tāpēc, ka grupa "Administratori" Nav atbilstošu atļauju (tiesību), lai rakstītu šajā reģistra atslēgā. Ir vairāki iemesli, kāpēc nevarat rediģēt reģistra atslēgu:
■ Grupa "Administratori" ir sadaļas īpašnieks, bet viņam nav pilnu tiesību uz to. Šajā gadījumā pietiek vienkārši izsniegt grupai "Administratori" pilnas tiesības.
■ Sadaļas īpašnieks ir sistēmas pakalpojums Uzticams instalētājs. Šajā gadījumā vispirms jākļūst par sadaļas īpašnieku un pēc tam jāpiešķir savai grupai visas tiesības, šajā rakstā tiks apskatīts tieši šāds piemērs.

■ Sadalījuma īpašnieks ir sistēmas konts "Sistēma" Uzticams instalētājs.

Pārējā rakstā tiks aprakstīts, kā veikt izmaiņas reģistrā, ja jums nav atbilstošu atļauju, kā arī kā atjaunot sākotnējās atļaujas un kāpēc tas ir jādara. Pirms sistēmas reģistra rediģēšanas ieteicams

Mainot kādu parametru reģistrā, ja jums nav pietiekami daudz tiesību, jūs saņemsit kļūdas ziņojumu.

Apsvērsim pirmais piemērs kad grupa "Administratori" ir sadaļas īpašnieks, bet viņam nav pilnu tiesību uz to:
 1 Atļaujas...
 2 . Izvēlieties grupu "Administratori":

Ja izvēles rūtiņa ir pieejama Pilna piekļuve, instalējiet to un noklikšķiniet uz pogas labi. Tas var būt pietiekami, ja grupa ir sadaļas īpašnieks.

Ja izvēles rūtiņa nav pieejama vai tiek parādīts kļūdas ziņojums, kā parādīts tālāk esošajā ekrānuzņēmumā, pārejiet uz otro piemēru.

  Otrais piemērs ja nodalījuma īpašnieks ir sistēmas pakalpojums Uzticams instalētājs

Logā Grupas atļaujas noklikšķiniet uz pogas Turklāt

Nākamajā logā noklikšķiniet uz saites Mainīt Ievadiet vietējā konta nosaukumu vai Microsoft konta e-pasta adresi, pārbaudiet vārdu un noklikšķiniet uz labi

Atzīmējiet izvēles rūtiņu Aizstāt apakškonteineru un objektu īpašnieku loga augšdaļā un noklikšķiniet uz pogas labi

Izvēlieties grupu "Administratori", atzīmējiet izvēles rūtiņu Pilna piekļuve, nospiediet pogu labi

Tagad jums ir pilna piekļuve reģistra atslēgai un varat rediģēt visus tās iestatījumus.

  Trešais piemērs ja nodalījuma īpašnieks ir sistēmas konts "Sistēma". Šajā gadījumā darbības būs tādas pašas kā ar Uzticams instalētājs.

Sākotnējo tiesību atgriešana un īpašumtiesību atjaunošana

Sistēmas drošības nolūkos pēc nepieciešamo reģistra atslēgas parametru rediģēšanas ir jāatgriež sākotnējās piekļuves tiesības un jāatjauno sistēmas konts kā sadaļas īpašniekam. Uzticams instalētājs.
 1 . Ar peles labo pogu noklikšķiniet uz reģistra atslēgas un izvēlnē atlasiet Atļaujas...

 2 . Logā Grupas atļaujas noklikšķiniet uz pogas Turklāt

 3 . Nākamajā logā Papildu drošības iespējas noklikšķiniet uz saites Mainīt loga augšdaļā un parādītajā dialoglodziņā Izvēlieties: "Lietotājs" vai "Grupa" ievadiet konta nosaukumu:

Noklikšķiniet uz pogas labi

 5 . Logā Grupas atļaujas izvēlieties grupu "Administratori", noņemiet atzīmi Pilna piekļuve, nospiediet pogu labi

Ir atjaunotas reģistra atslēgas sākotnējās tiesības un īpašnieks.

■ Ja sadaļas īpašnieks bija konts Sistēma(angļu valodā Sistēma), tad tā vietā
 NT Service\TrustedInstaller ievadiet Sistēma(angļu valodā Sistēma).

Kā to izdarīt Windows reģistra momentuzņēmumi salīdzināt un izsekot izmaiņām?

Reģistra izmaiņām var izsekot dažādos veidos, manuāli vai izmantojot īpašas programmas. Šajā rakstā es jums pastāstīšu, kā to izdarīt, izmantojot programmas, kas, manuprāt, ir daudz ērtāk.

Kā jau solīju, rakstā “” ar šo publikāciju mēs sākam rakstu sēriju, kas veltīta ļaunprātīgas programmatūras analīzei. Šajos rakstos es runāšu par rīkiem, kas ļauj pētīt vīrusus un to uzvedību.

Šodienas raksts būs noderīgs ne tikai vīrusu pētniekiem, bet arī parastajiem lietotājiem, kuri vēlas kļūt progresīvāki datora lietošanā. Es jums pastāstīšu, kā izmantot programmu Regshot, lai uzņemtu Windows reģistra momentuzņēmumus, lai salīdzinātu un izsekotu izmaiņas.

Kas ir Windows reģistrs?

Reģistrs ir viena no galvenajām Microsoft Windows operētājsistēmas daļām. Neskatoties uz to, lielākā daļa lietotāju izmanto operētājsistēmu un nezina par reģistra esamību.

Nepieredzējis lietotājs pat neapzinās, ka, mainot visus parametrus: instalējot programmas, mainot pašu Windows un ar to saistītās ierīces, visas izmaiņas tiek veiktas Windows reģistrā.

Vārdu sakot, reģistrs savā ziņā ir operētājsistēmas kodols, kurā tiek saglabāti visi iestatījumi un izmaiņas.

Kāpēc analizēt reģistru un izsekot izmaiņām?

Pieņemsim, ka jūs vairs neesat tikai pasīvs datora lietotājs un vēlaties uzzināt, kas notiek aizkulisēs jaunas programmas instalēšanas laikā vai analizēt vīrusa uzvedību. Lai uzzinātu, kādas izmaiņas veic visa programmatūra, ir nepieciešamas programmas reģistra izsekošanai. Viens no šādiem rīkiem ir RegShot.

Reģistra momentuzņēmums, izmantojot RegShot

RegShot ir neliela bezmaksas atvērtā koda programma, kas ļauj uzņemt reģistra momentuzņēmumus un tos salīdzināt. Visas izmaiņas, kas notikušas reģistrā, var saglabāt teksta failā vai html failā.

Lejupielādēt RegShot

Programmu RegShot var lejupielādēt bez maksas, izmantojot tiešu saiti.

RegShot instalēšana

Kad programma ir lejupielādēta, izpakojiet arhīvu un dodieties uz mapi ar failiem. Mapē būs vairāki faili.

Izvēloties izpildāmo failu, pievērsiet uzmanību operētājsistēmas bites pakāpei.

RegShot iestatīšana un lietošana

Pēc palaišanas parādīsies neliels programmas logs, kurā mēs nekavējoties mainām ādas valodu uz krievu valodu. Ir arī ukraiņu saskarnes valoda.

Tagad ķersimies pie darba. Reģistra izmaiņu izsekošana sākas ar pirmā reģistra momentuzņēmuma uzņemšanu. Noklikšķiniet uz momentuzņēmuma pogas, un nolaižamajā logā tiek parādītas 3 iespējas:

• Momentuzņēmums — tikai momentuzņēmums
• Momentuzņēmums + Saglabāt — reģistra momentuzņēmums un dublējums
• Atvērt — atveriet jau uzņemtu reģistra momentuzņēmumu

Izvēlieties vajadzīgo opciju. Manā piemērā nav nepieciešams dublēt reģistru, tāpēc es noklikšķiniet uz pogas “Momentuzņēmums”. Programma atdzīvosies un sāks izveidot pirmo reģistra momentuzņēmumu. Loga apakšā redzēsiet, kā mainās skaitļi.

Kad skaitļi apstājas un programma nomierinās, varat sākt strādāt ar trešo pušu programmām, instalēšanu un visu to.

Pēc pabeigšanas noklikšķiniet uz pogas "Otrais attēls" un pēc dažām sekundēm varat noklikšķināt uz pogas "Salīdzināt".

Ja sākumā tika atzīmēts lauks “Teksts”, tad redzēsit Notepad teksta redaktora logu, kurā būs pilns reģistra izmaiņu pārskats.

Es neinstalēju nevienu programmu, tikai mainīju dažus iestatījumus Windows vadības panelī. Kā redzat, Regshot utilīta ierakstīja visas izmaiņas.

Programmatūras instalēšanas laikā atskaite, protams, būs lielāka.

Ja jums ir atkārtoti jāanalizē reģistrs, noklikšķiniet uz pogas “Notīrīt” un sāciet no jauna.

Kā redzat, reģistra momentuzņēmuma uzņemšana, lai izsekotu izmaiņām, ir ļoti vienkārša, it īpaši, ja pie rokas ir īstā programma. Tas ir ļoti ērti, ja nepieciešams noskaidrot, kādas izmaiņas programma veic reģistrā instalēšanas laikā. Starp citu, šādā veidā jūs varat uzzināt, kuri reģistra elementi ir atbildīgi par konkrētu Windows iestatījumu.

Izmantojot Windows OS, būtu ieteicams to labāk iepazīt. Varat sākt ar rakstu par mistisku failu, kas jums vienkārši jāzina!

Tas arī viss, draugi. Nākotnē mēs izpētīsim citus rīkus. Un jā, es neaizmirsu, ka apsolīju sniegt detalizētus norādījumus par to, kā virtuālajā mašīnā izveidot uzticamu izolētu laboratoriju programmatūras un vīrusu pārbaudei. Tāpēc esat laipni aicināti mūsu publiskajās lapās

Operētājsistēmas Windows reģistra filiālēs tiek glabāti pašas sistēmas iestatījumi un parametri, kā arī cita datorā instalētā programmatūra. Dažreiz jums ir jānoskaidro, kuras reģistra filiāles modificē palaist programma vai tās instalācijas izplatīšana. Lai uzzinātu, kas ir mainīts reģistrā, jums ir jāizmanto īpaša programma, lai uzraudzītu sistēmas reģistra parametru statusu. Programma RegFromApp reāllaikā uzrauga palaistās programmas (procesa) veiktās izmaiņas sistēmas reģistrā un atspoguļo reģistra filiāli un tajā mainītās vērtības.

Sekojiet izmaiņām reģistrā

Lai uzzinātu, kādas konkrētas programmas izmaiņas reģistrā, jums ir jāpalaiž RegFromApp un visu darbojošos procesu sarakstā atlasiet procesu, kuram vēlaties izsekot. Tiklīdz lietotāju interesējošā programma piekļūst reģistram un maina tā filiāļu vērtības, RegFromApp nekavējoties atspoguļos reģistra filiāli, kurā notiek izmaiņas, un parādīs mainītās vērtības. Reģistrā veiktās izmaiņas var saglabāt reģistra failā (*.reg). RegFromApp utilīta atbalsta palaišanu no komandrindas ar parametriem.

Programmas RegFromApp ekrānuzņēmumi

Oficiālā vietne: http://www.nirsoft.net
OS: 32.64 Windows XP/Vista/7/8
Atbalstītās valodas: krievu valoda
Versija: 1.32
Licence:bezmaksas programmatūra (bezmaksas)

Faila lielums 107 KB

Vairāk interesantas programmas:

• SmartPawnshop ir pirmā krievu programma, kas ļauj optimizēt lombardu biznesa vadības procesus