Selv de minste endringene i innstillingene i Windows, for ikke å nevne installasjon eller fjerning av programmer, er ledsaget av tilsvarende endringer i systemregisteret. Brukere bryr seg vanligvis ikke om dem, men noen ganger må de kanskje spores, for eksempel for å sammenligne eller manuelt angre endringer som er gjort av et skript eller en applikasjon.

Hvordan spore endringer i Windows-registret

Hvis de forventede endringene er små, kan de spores ved hjelp av selve operativsystemet. Åpne registerredigering, velg grenen der endringer forventes å bli gjort og eksporter den til en REG-fil med navnet 1.

Gjør de nødvendige endringene og eksporter grenen på nytt til en REG-fil, men med navnet 2.

La oss si at du har lagret begge filene i roten til stasjon D. La oss sammenligne dem. Åpne en kommandolinje og kjør disse to kommandoene:

fc D:/1.reg D:/2.reg > D:/compare.log

Den første setter den kyrilliske kodingen, den andre lagrer sammenligningsresultatet i en logg.

Metoden fungerer, men er upraktisk, siden innholdet i registerfilene sammenlignes og vises tegn for tegn i en kolonne, noe som skaper vanskeligheter ved lesing av en slik logg. Av denne grunn er metoden egnet for å spore svært små endringer, to eller tre parametere, ikke mer. I andre tilfeller er det bedre å bruke spesielle verktøy.

Regshot

Det mest kjente programmet for å spore endringer i registeret er Regshot. Vi starter verktøyet, klikker på knappen "1. øyeblikksbilde", gjør innstillinger, installerer programvare osv., klikker deretter på "2. øyeblikksbilde"-knappen og deretter "Sammenlign".

Resultatene vil vises i en ren tekst- eller HTML-fil (etter valg av sammenligneren).

Programmet viser hvilke seksjoner og parametere som ble opprettet og slettet, hvilke som ble endret og totalt antall endringer. Dessverre tillater ikke Regshot deg å skanne visse partisjoner og nøkler, og det er grunnen til at endringer gjort av Windows selv blir registrert i rapportfilen.

Registry Live Watch

Et annet gratis verktøy, Registry Live Watch, tilbyr en litt annen tilnærming til å spore endringer i registret. I motsetning til Regshot, sammenligner den ikke to øyeblikksbilder av registeret, men overvåker endringer i seksjonene i sanntid, og viser data i et spesielt tekstfelt i vinduet. I tillegg lar Registry Live Watch deg spore endringer gjort av en spesifikk kjørbar fil.

Men dette programmet har også sin ulempe. Den kan ikke overvåke hele registeret eller til og med dets seksjoner, men bare individuelle nøkler.

CRegistry sammenligning

Noe som ligner på Regshot er et gratis program kalt CRegistry Comparison. Etter oppstart ber den deg velge en katalog for å lagre det originale bildet, hvoretter det umiddelbart opprettes og lagres.

Du kan gjøre endringer i registeret ved å legge inn nye verdier for de ønskede parameterne i selve registerredigereren eller ved å bruke import. Men det er en annen måte. Du kan forberede en fil i et gitt format på forhånd, og de nødvendige parametrene blir automatisk installert i registeret. For disse formålene, tekstfiler med utvidelsen reg .

REG filformat

Slik ser en eksempel REG-fil ut som lar deg lage en partisjon( Test) med parametere ( "CatName").

;Sett inn nye parametere for Test-delen

"CatName"="reestr"
"CatAge"=dword:00000008

REG-filsyntaks

La oss se på REG-filformatet. Filoverskriften kommer først

Windows Registerredigering versjon 5.00

Det skal bemerkes at i tidligere operativsystemer, Windows 98 Og Windows NT 4.0, header brukt REGEDIT4. Hvis du fortsatt har lignende gamle filer, ikke vær redd. vil forstå denne filen og behandle informasjonen riktig. Men den omvendte prosessen vil ikke være tilgjengelig - Windows 98 vil ikke kunne gjenkjenne den nye overskriften og vil gi en feilmelding. En viktig detalj er at etter tittelen må det være en tom linje.

Hvis du trenger å inkludere en kommentar i dokumentet for ikke å glemme formålet med parameteren, sett symbolet i begynnelsen ";" (semikolon). Kommentaren er for brukerens bekvemmelighet og er ikke innført i registeret.

Opprette en REG-fil

Skrive REG-fil Du kan bruke et hvilket som helst tekstredigeringsprogram, for eksempel Notisblokk. Opprett et nytt tekstdokument, skriv inn koden ovenfor (fig. 1.1) og lagre filen med REG-utvidelsen. Hvis du vil øve på å lage slike filer, er det lettere å generere dem ved å eksportere fra Registerredigering, og deretter gjøre endringer i Notisblokk.

Ris. 1.1.

Gjør endringer i registeret ved hjelp av en REG-fil

Ovenfor har vi allerede undersøkt oppførselen til systemet når du dobbeltklikker på en fil med filtypen .reg. Når du dobbeltklikker på REG-fil du starter registerredigering, som filnavnet sendes til som en parameter.

MERK FØLGENDE
Før du importerer til registeret REG-fil Sørg for å lage en sikkerhetskopi av registeret eller et systemgjenopprettingspunkt! Denne metoden er ikke veldig praktisk for å automatisere oppgaver. For eksempel ønsker vi å lage et automatisk systeminstallasjonsskript ved hjelp av REG-filer. Hvis det er for mange slike filer, vil brukeren hele tiden måtte trykke på knappen OK, som du skjønner ikke vil gi ham glede. Du kan undertrykke utseendet til dialogboksen ved å kjøre kommandoen med parameteren /S:

REGEDIT /S D:\test.reg

Det er denne metoden som brukes av programmerere og systemadministratorer når de lager sine programmer og skript som bruker REG filer. Riktignok vil Windows User Account Control-tjenesten be deg om å tillate operasjonen, men kontrolltjenesten kan deaktiveres for varigheten av slike handlinger, og da vil ikke brukeren se noe. Med hjelp REG-fil du kan også slette partisjoner. For å gjøre dette må du sette et minustegn foran seksjonsnavnet. La oss åpne filen vår i Notisblokk cat.reg og gjør følgende endringer:

Windows Registerredigering versjon 5.00
: Sett et minustegn for å slette en partisjon
[-HKEY_CURRENT_USER\Software\Test]

Nå må du dobbeltklikke på REG-filen for å kjøre den og importere oppføringene til registeret. Sjekk i Registerredigering at den angitte nøkkelen er slettet.

MERK FØLGENDE
Vær oppmerksom på at du kun kan slette seksjoner som ikke inneholder underseksjoner. Ellers må du sekvensielt slette alle underseksjoner som er inkludert i den, og bare deretter fortsette å slette ønsket seksjon.

Du kan også fjerne parameteren. For å gjøre dette, plasser et minustegn (-) etter likhetstegnet (=).

Denne artikkelen viser deg trinnene for å ta eierskap til en registernøkkel og få fulle kontrollrettigheter, og hvordan du returnerer de opprinnelige rettighetene og gjenoppretter den opprinnelige eieren.

Noen deler av Windows-registret er ikke tilgjengelige for redigering, selv om kontoen din tilhører gruppen "Administratorer". Dette skjer vanligvis fordi gruppen "Administratorer" Det er ingen passende tillatelser (rettigheter) til å skrive til denne registernøkkelen. Det er flere grunner til at du ikke kan redigere en registernøkkel:
■ Gruppe "Administratorer" er eier av seksjonen, men har ikke fulle rettigheter til den. I dette tilfellet er det nok å bare utstede til gruppen "Administratorer" fulle rettigheter.
■ Partisjonseieren er en systemtjeneste TrustedInstaller. I dette tilfellet må du først bli eier av seksjonen, og deretter gi gruppen din fulle rettigheter, akkurat et slikt eksempel vil bli vurdert i denne artikkelen.

■ Eieren av partisjonen er systemkontoen "System" TrustedInstaller.

Resten av artikkelen vil beskrive hvordan du gjør endringer i registret hvis du ikke har de riktige tillatelsene, samt hvordan du gjenoppretter de opprinnelige tillatelsene og hvorfor du må gjøre dette. Før du redigerer systemregisteret, anbefales det

Når du endrer en parameter i registeret, hvis du ikke har nok rettigheter, vil du motta en feilmelding.

La oss vurdere første eksempel når gruppen "Administratorer" er eieren av seksjonen, men har ikke fulle rettigheter til den:
 1 Tillatelser...
 2 . Velg en gruppe "Administratorer":

Hvis avmerkingsboksen er tilgjengelig Full tilgang, installer den og klikk på knappen OK. Dette kan være tilstrekkelig dersom konsernet er eier av seksjonen.

Hvis avmerkingsboksen ikke er tilgjengelig eller du ser en feilmelding som i skjermbildet nedenfor, gå videre til det andre eksemplet.

  Andre eksempel når partisjonseieren er en systemtjeneste TrustedInstaller

I vinduet Gruppetillatelser klikk på knappen I tillegg

Klikk på lenken i neste vindu Endring Skriv inn det lokale kontonavnet eller Microsoft-kontoens e-postadresse, sjekk navnet og klikk OK

Merk av i boksen Bytt ut eier av underbeholdere og gjenstanderøverst i vinduet og klikk på knappen OK

Velg en gruppe "Administratorer", merk av i boksen Full tilgang, trykk på knappen OK

Du har nå full tilgang til registernøkkelen og kan redigere alle innstillingene.

  Tredje eksempel når partisjonseieren er systemkontoen "System". I dette tilfellet vil handlingene være de samme som med TrustedInstaller.

Returnere opprinnelige rettigheter og gjenopprette eierskap

For systemsikkerhetsformål, etter å ha redigert de nødvendige parameterne til registernøkkelen, må du returnere de opprinnelige tilgangsrettighetene og gjenopprette systemkontoen som eier av seksjonen. TrustedInstaller.
 1 . Høyreklikk på registernøkkelen og velg fra menyen Tillatelser...

 2 . I vinduet Gruppetillatelser klikk på knappen I tillegg

 3 . I neste vindu Ytterligere sikkerhetsalternativer klikk på lenken Endringøverst i vinduet, og i dialogboksen som vises Velg: "Bruker" eller "Gruppe" skriv inn kontonavn:

Klikk på knappen OK

 5 . I vinduet Gruppetillatelser velg en gruppe "Administratorer", fjern merket Full tilgang, trykk på knappen OK

De opprinnelige rettighetene og eieren av registernøkkelen er gjenopprettet.

■ Hvis eieren av seksjonen var en konto System(i engelsk versjon System), så i stedet
 NT Service\TrustedInstaller Tast inn System(i engelsk versjon System).

Hvordan gjøre Øyeblikksbilder av Windows-registeretå sammenligne og spore endringer?

Du kan spore registerendringer på forskjellige måter, manuelt eller ved hjelp av spesielle programmer. I denne artikkelen vil jeg fortelle deg hvordan du gjør dette ved å bruke programmer, som etter min mening er mye mer praktisk.

Som jeg lovet, i artikkelen "", med denne publikasjonen begynner vi en serie artikler viet til analyse av skadelig programvare. I disse artiklene vil jeg snakke om verktøy som lar deg studere virus og deres oppførsel.

Dagens artikkel vil være nyttig ikke bare for virusforskere, men også for vanlige brukere som ønsker å bli mer avanserte i bruk av datamaskin. Jeg skal fortelle deg hvordan du bruker Regshot-programmet til å ta øyeblikksbilder av Windows-registret for å sammenligne og spore endringer.

Hva er Windows-registeret?

Registeret er en av hoveddelene i Microsoft Windows-operativsystemet. Til tross for dette bruker de fleste brukere operativsystemet og er uvitende om eksistensen av registeret.

En uerfaren bruker innser ikke engang at når du endrer alle parameterne: installerer programmer, endrer selve Windows og enhetene som er koblet til det, gjøres alle endringer i Windows-registeret.

Med et ord er registeret på en måte kjernen i operativsystemet, der alle innstillinger og endringer lagres.

Hvorfor analysere registeret og spore endringer?

La oss si at du ikke lenger bare er en passiv databruker og ønsker å finne ut hva som skjer bak kulissene under installasjonen av et nytt program eller å analysere oppførselen til et virus. For å finne ut hvilke endringer all programvaren gjør, trenger du programmer for å spore registeret. Et slikt verktøy er RegShot.

Register øyeblikksbilde ved hjelp av RegShot

RegShot er et lite gratis og åpen kildekodeprogram som lar deg ta øyeblikksbilder av registeret og sammenligne dem. Alle endringer som har skjedd i registeret kan lagres i en tekstfil eller html-fil.

Last ned RegShot

Du kan laste ned RegShot-programmet gratis ved å bruke en direkte lenke.

Installerer RegShot

Etter at programmet er lastet ned, pakk ut arkivet og gå til mappen med filene. Det vil være flere filer i mappen.

Når du velger en kjørbar fil, vær oppmerksom på bitheten til operativsystemet ditt.

Sette opp og bruke RegShot

Etter lansering vises et lite programvindu der vi umiddelbart endrer språket på huden til russisk. Det er også et ukrainsk grensesnittspråk.

La oss nå sette i gang. Sporing av registerendringer begynner med å ta det første øyeblikksbildet av registeret. Klikk på snapshot-knappen og i rullegardinvinduet ser vi 3 alternativer:

• Øyeblikksbilde – Kun øyeblikksbilde
• Øyeblikksbilde + Lagre - Øyeblikksbilde og sikkerhetskopiering av registeret
• Åpne - Åpne et allerede tatt øyeblikksbilde av registeret

Velg ønsket alternativ. I mitt eksempel er det ikke nødvendig å sikkerhetskopiere registeret, så jeg klikker på "Øyeblikksbilde" -knappen. Programmet vil komme til live og begynne å lage det første øyeblikksbildet av registeret. Nederst i vinduet ser du hvordan tallene endres.

Når tallene stopper og programmet roer seg, kan du begynne å jobbe med tredjepartsprogrammer, installasjon og alt det der.

Når du er ferdig, klikker du på "Andre bilde"-knappen og etter noen sekunder kan du klikke på "Sammenlign"-knappen.

Hvis "Tekst"-feltet ble krysset av i begynnelsen, vil du se et Notisblokk-tekstredigeringsvindu, som vil inneholde en fullstendig rapport over registerendringer.

Jeg installerte ingen programmer, bare endret noen innstillinger i Windows Kontrollpanel. Som du kan se, registrerte Regshot-verktøyet alle endringene.

Under installasjon av programvaren vil rapporten selvsagt bli større.

Hvis du trenger å analysere registeret på nytt, klikker du på "Slett"-knappen og starter på nytt.

Som du kan se, er det veldig enkelt å ta et øyeblikksbilde av registeret for å spore endringer, spesielt når du har det riktige programmet for hånden. Dette er veldig praktisk hvis du trenger å finne ut hvilke endringer programmet gjør i registret under installasjonen. Forresten, på denne måten kan du finne ut hvilke registerelementer som er ansvarlige for en bestemt Windows-innstilling.

Ved å bruke Windows OS vil det være en god idé å bli bedre kjent med det. Du kan starte med en artikkel om en mystisk fil som du rett og slett må vite om!

Det er alt, venner. Vi vil utforske andre verktøy i fremtiden. Og ja, jeg glemte ikke at jeg lovet å gi detaljerte instruksjoner om hvordan man lager et pålitelig isolert laboratorium på en virtuell maskin for å sjekke programvare og virus. Så du er velkommen til våre offentlige sider

Registergrenene til Windows-operativsystemet lagrer innstillinger og parametere for selve systemet, så vel som annen programvare installert på datamaskinen. Noen ganger må du finne ut hvilke registergrener som endres av et lansert program eller installasjonsdistribusjonen. For å finne ut hva som er endret i registeret, må du bruke et spesielt program for å overvåke statusen til systemregisterparametere. RegFromApp-programmet overvåker endringer i systemregisteret i sanntid av et kjørende program (prosess) og gjenspeiler registergrenen og verdiene som er endret i den.

Spor endringer i registeret

For å finne ut hva et spesifikt program endrer i registeret, må du kjøre RegFromApp og velge prosessen du er interessert i å spore fra listen over alle kjørende prosesser. Så snart programmet av interesse for brukeren får tilgang til registeret og endrer verdiene til grenene, vil RegFromApp umiddelbart gjenspeile registergrenen der endringene skjer og vise de endrede verdiene. Endringer i registeret kan lagres i en registerfil (*.reg). RegFromApp-verktøyet støtter kjøring fra kommandolinjen med parametere.

Skjermbilder av RegFromApp-programmet

Offisiell side: http://www.nirsoft.net
OS: 32.64 Windows XP/Vista/7/8
Støttede språk: russisk
Versjon: 1.32
Tillatelse:freeware (gratis)

Filstørrelse 107 KB

Flere interessante programmer:

• SmartPawnshop er det første russiske programmet som lar deg optimere administrasjonsprosesser for bondeforretninger