Dokonca aj tie najmenšie zmeny nastavení v systéme Windows, nehovoriac o inštalácii alebo odstránení programov, sú sprevádzané zodpovedajúcimi zmenami v systémovom registri. Používatelia sa o ne zvyčajne nestarajú, ale niekedy ich možno bude potrebné sledovať, povedzme, porovnať alebo manuálne vrátiť späť nejakú zmenu vykonanú skriptom alebo aplikáciou.

Ako sledovať zmeny v registri Windows

Ak sú očakávané zmeny malé, môžete ich sledovať pomocou vlastných operačný systém. Otvorte editor registra, vyberte vetvu, v ktorej sa očakávajú zmeny a exportujte ju do súboru REG s názvom 1.

Vykonajte potrebné zmeny a znova exportujte vetvu do súboru REG, ale s názvom 2.

Povedzme, že ste oba súbory uložili do koreňového adresára jednotky D. Porovnajme ich. Otvorte príkazový riadok a spustite tieto dva príkazy:

fc D:/1.reg D:/2.reg > D:/compare.log

Prvý nastaví kódovanie cyriliky, druhý uloží výsledok porovnania do protokolu.

Metóda funguje, ale je nepohodlná, pretože obsah súborov registra sa porovnáva a zobrazuje znak po znaku v stĺpci, čo spôsobuje ťažkosti pri čítaní takéhoto protokolu. Z tohto dôvodu je metóda vhodná na sledovanie veľmi malých zmien, dvoch alebo troch parametrov, nie viac. V iných prípadoch je lepšie použiť špeciálne nástroje.

Regshot

Najznámejším programom na sledovanie zmien v registri je Regshot. Spustíme pomôcku, klikneme na tlačidlo „1. snímka“, vykonáme nastavenia, nainštalujeme softvér atď., potom klikneme na tlačidlo „2. snímka“ a potom na „Porovnať“.

Výsledky sa zobrazia ako obyčajný text alebo súbor HTML (podľa výberu porovnávača).

Program zobrazuje, ktoré sekcie a parametre boli vytvorené a vymazané, ktoré boli zmenené a celkový počet zmien. Bohužiaľ, Regshot neumožňuje skenovať určité oddiely a kľúče, a preto sú zmeny vykonané samotným systémom Windows zaznamenané v súbore správy.

Registrovať Live Watch

Trochu iný prístup k sledovaniu zmien v registri ponúka iný bezplatný nástroj Registrovať Live Watch. Na rozdiel od Regshotu neporovnáva dve snímky registra, ale v reálnom čase sleduje zmeny v jeho sekciách, pričom údaje zobrazuje v špeciálnom textovom poli vo svojom okne. Registry Live Watch vám navyše umožňuje sledovať zmeny vykonané konkrétnym spustiteľným súborom.

Ale tento program má aj svoje nevýhody. Nemôže monitorovať celý register alebo dokonca jeho časti, ale iba jednotlivé kľúče.

Porovnanie registrov

Niečo podobné ako Regshot je bezplatný program s názvom Cregistry Comparison. Po spustení vás vyzve na výber adresára na uloženie pôvodného obrázku, po ktorom ho ihneď vytvorí a uloží.

Zmeny v registri môžete vykonať zadaním nových hodnôt pre požadované parametre v samotnom editore registra alebo pomocou importu. Existuje však aj iný spôsob. Súbor v danom formáte si môžete pripraviť vopred a potrebné parametre sa automaticky nainštalujú do registra. Na tieto účely textové súbory s príponou reg .

Formát súboru REG

Takto vyzerá príklad súboru REG, ktorý vám umožní vytvoriť oddiel ( Test) s parametrami ( "CatName").

;Nastavte nové parametre pre sekciu Test

"CatName"="reestr"
"CatAge"=dword:00000008

Syntax súboru REG

Pozrime sa na formát súboru REG. Hlavička súboru je na prvom mieste

Editor databázy Registry systému Windows, verzia 5.00

Je potrebné poznamenať, že v starších operačných systémoch Windows 98 A Windows NT 4.0, hlavička použitá REGEDIT4. Ak stále máte podobné staré súbory, neznepokojujte sa. porozumie tomuto súboru a správne spracuje informácie. Opačný proces však nebude k dispozícii - Windows 98 nebude schopný rozpoznať novú hlavičku a vyhodí chybu. Dôležitým detailom je, že za nadpisom musí byť prázdny riadok.

Ak potrebujete do dokumentu vložiť komentár, aby ste nezabudli na účel parametra, vložte symbol na začiatok ";" (bodkočiarka). Komentár slúži pre pohodlie užívateľa a nevkladá sa do registra.

Vytvorenie súboru REG

Napíšte súbor REG Môžete použiť ľubovoľný textový editor, napríklad Poznámkový blok. Vytvorte nový Textový dokument, zadajte vyššie uvedený kód (obr. 1.1) a uložte súbor s príponou REG. Ak si chcete precvičiť vytváranie takýchto súborov, je jednoduchšie ich vygenerovať exportom z Editora databázy Registry a potom vykonať zmeny v programe Poznámkový blok.

Ryža. 1.1.

Vykonávanie zmien v registri pomocou súboru REG

Vyššie sme už preskúmali správanie systému pri dvojitom kliknutí na súbor s príponou .reg. Keď dvakrát kliknete na súbor REG spustíte editor registra, ktorému sa ako parameter odovzdá názov súboru.

POZOR
Pred importom do registra súbor REG určite to urob záložná kópia registra alebo bod obnovenia systému! Táto metóda nie príliš vhodné na automatizáciu úloh. Napríklad chceme vytvoriť skript automatická inštalácia systémy využívajúce REG-súbory. Ak je takýchto súborov príliš veľa, používateľ bude musieť neustále stláčať tlačidlo OK, čo mu, vidíte, neurobí radosť. Vzhľad dialógového okna môžete potlačiť spustením príkazu s parametrom /S:

REGEDIT /S D:\test.reg

Toto je metóda, ktorú používajú programátori a správcov systému pri vytváraní vašich programov a skriptov pomocou REG súbory. Pravda, služba kontroly účtu Záznamy systému Windows vás vyzve, aby ste povolili operáciu, ale službu ovládania je možné počas trvania takýchto akcií deaktivovať a používateľ potom nič neuvidí. S pomocou súbor REG oddiely môžete tiež odstrániť. Ak to chcete urobiť, musíte pred názov sekcie vložiť znamienko mínus. Otvorme náš súbor v programe Poznámkový blok kat.reg a vykonajte nasledujúce zmeny:

Editor databázy Registry systému Windows, verzia 5.00
:vložte znamienko mínus na odstránenie oddielu
[-HKEY_CURRENT_USER\Software\Test]

Teraz musíte dvakrát kliknúť na súbor REG, aby ste ho spustili a importovali položky do registra. V Editore databázy Registry skontrolujte, či bol zadaný kľúč odstránený.

POZOR
Upozorňujeme, že môžete odstrániť iba sekcie, ktoré neobsahujú podsekcie. V opačnom prípade musíte postupne odstrániť všetky podsekcie, ktoré sú v nej zahrnuté, a až potom pristúpiť k vymazaniu požadovanej sekcie.

Parameter môžete tiež odstrániť. Ak to chcete urobiť, umiestnite za znamienko rovnosti (=) znamienko mínus (-).

Tento článok vám ukáže kroky na prevzatie vlastníctva kľúča databázy Registry a získanie úplných práv na kontrolu a ako vrátiť pôvodné práva a obnoviť pôvodného vlastníka.

Niektoré časti databázy Registry systému Windows nie sú k dispozícii na úpravu, aj keď váš účet patrí do skupiny "správcovia". To sa zvyčajne stáva, pretože skupina "správcovia" Neexistujú žiadne príslušné povolenia (práva) na zápis do tohto kľúča databázy Registry. Existuje niekoľko dôvodov, prečo nemôžete upraviť kľúč databázy Registry:
■ Skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva. V tomto prípade stačí jednoducho vydať do skupiny "správcovia" plné práva.
■ Vlastníkom úseku je systémová služba TrustedInstaller. V takom prípade sa musíte najprv stať vlastníkom sekcie a potom dať svojej skupine plné práva, práve takýto príklad bude uvedený v tomto článku.

■ Vlastníkom oddielu je systém účtu "systém" TrustedInstaller.

Zvyšok článku popisuje, ako vykonať zmeny v registri, ak nemáte príslušné povolenia, ako aj to, ako obnoviť pôvodné povolenia a prečo je to potrebné. Pred úpravou systémového registra sa odporúča

Ak zmeníte akýkoľvek parameter v registri, ak nemáte dostatočné práva, zobrazí sa chybové hlásenie.

Uvažujme prvý príklad keď skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva:
 1 Povolenia...
 2 . Vyberte skupinu "správcovia":

Ak je začiarkavacie políčko dostupné Úplný prístup, nainštalujte ho a kliknite na tlačidlo OK. To môže stačiť, ak je vlastníkom sekcie skupina.

Ak začiarkavacie políčko nie je k dispozícii alebo sa vám zobrazuje chybové hlásenie ako na obrázku nižšie, prejdite na druhý príklad.

  Druhý príklad keď je vlastníkom oddielu systémová služba TrustedInstaller

V okne Skupinové povolenia kliknite na tlačidlo Okrem toho

V ďalšom okne kliknite na odkaz Zmeniť zadajte názov alebo adresu miestneho účtu Emailúčtovníctvo Microsoft zaznamenáva, skontrolujte názov a kliknite na tlačidlo OK

Začiarknite políčko Nahradiť vlastníka subkontajnerov a objektov v hornej časti okna a kliknite na tlačidlo OK

Vyberte skupinu "správcovia", začiarknite políčko Úplný prístup, stlač tlačidlo OK

Teraz máte úplný prístup ku kľúču databázy Registry a môžete upravovať všetky jeho nastavenia.

  Tretí príklad keď je vlastníkom oddielu systémový účet "systém". V tomto prípade budú akcie rovnaké ako pri TrustedInstaller.

Vrátenie pôvodných práv a obnovenie vlastníctva

Pre účely zabezpečenia systému je potrebné po úprave potrebných parametrov kľúča databázy Registry vrátiť pôvodné prístupové práva a obnoviť systémové konto ako vlastník sekcie. TrustedInstaller.
 1 . Kliknite pravým tlačidlom myši na kľúč databázy Registry a vyberte z ponuky Povolenia...

 2 . V okne Skupinové povolenia kliknite na tlačidlo Okrem toho

 3 . V ďalšom okne Ďalšie možnosti zabezpečenia kliknite na odkaz Zmeniť v hornej časti okna a v zobrazenom dialógovom okne Vyberte: „Používateľ“ alebo „Skupina“ zadajte názov účtu:

Kliknite na tlačidlo OK

 5 . V okne Skupinové povolenia vyberte skupinu "správcovia", zrušte začiarknutie Úplný prístup, stlač tlačidlo OK

Pôvodné práva a vlastník kľúča databázy Registry boli obnovené.

■ Ak vlastníkom sekcie bol účet systém(v anglickej verzii systém), potom namiesto toho
 Služba NT\TrustedInstaller vstúpiť systém(v anglickej verzii systém).

Ako na to Snímky databázy Registry systému Windows porovnávať a sledovať zmeny?

Môžete sledovať zmeny v registri rôzne cesty ručne alebo pomocou špeciálnych programov. V tomto článku vám poviem, ako to urobiť pomocou programov, ktoré sú podľa môjho názoru oveľa pohodlnejšie.

Ako som sľúbil, v článku „“, touto publikáciou začíname sériu článkov venovaných analýze malvéru. V týchto článkoch budem hovoriť o nástrojoch, ktoré vám umožňujú študovať vírusy a ich správanie.

Dnešný článok bude užitočný nielen pre výskumníkov vírusov, ale aj jednoducho bežných používateľov ktorí chcú byť pokročilejší v používaní počítača. Poviem vám, ako používať program Regshot na vytváranie snímok registra systému Windows na porovnanie a sledovanie zmien.

Čo je register systému Windows?

Register je jednou z hlavných častí operačného systému Microsoft Windows. Napriek tomu väčšina používateľov používa operačný systém a o existencii registra nevie.

Neskúsený používateľ si ani neuvedomuje, že pri zmene všetkých parametrov: inštalácii programov, zmene samotného systému Windows a zariadení, ktoré sú k nemu pripojené, sa všetky zmeny vykonajú v registri systému Windows.

Jedným slovom, register je v istom zmysle jadrom operačného systému, v ktorom sú uložené všetky nastavenia a zmeny.

Prečo analyzovať register a sledovať zmeny?

Povedzme, že už nie ste len pasívny používateľ počítača a chcete vedieť, čo sa deje v zákulisí počas inštalácie nový program alebo na analýzu správania vírusu. Aby ste zistili, aké zmeny robí všetok softvér, potrebujete programy na sledovanie registra. Jedným z takýchto nástrojov je RegShot.

Snímka registra pomocou nástroja RegShot

RegShot- malý voľný s otvoreným zdrojový kód program, ktorý vám umožňuje robiť snímky registra a porovnávať ich. Všetky zmeny, ktoré sa vyskytli v registri, je možné uložiť textový súbor alebo html súbor.

Stiahnite si RegShot

Stiahnuť ▼ program RegShot Priamy odkaz môžete použiť zadarmo.

Inštalácia programu RegShot

Po stiahnutí programu rozbaľte archív a prejdite do priečinka so súbormi. V priečinku bude niekoľko súborov.

Výber spustiteľný súbor Venujte pozornosť bitovosti vášho operačného systému.

Nastavenie a používanie RegShot

Po spustení sa objaví malé okno programu, v ktorom okamžite zmeníme jazyk skinu na ruštinu. K dispozícii je tiež ukrajinský jazyk rozhrania.

Teraz poďme do práce. Sledovanie zmien registra začína vytvorením prvej snímky registra. Kliknite na tlačidlo snímky a v rozbaľovacom okne vidíme 3 možnosti:

• Snímka – iba snímka
• Snímka + Uložiť - Snímka a záloha registra
• Otvoriť – otvorí už nasnímanú snímku registra

Vyberte požadovanú možnosť. V mojom príklade nie je potrebné zálohovať register, takže kliknem na tlačidlo „Snímka“. Program ožije a začne vytvárať prvú snímku registra. V spodnej časti okna uvidíte, ako sa čísla menia.

Keď sa čísla zastavia a program sa upokojí, môžete začať pracovať s programami tretích strán, inštalovať a všetko ostatné.

Po dokončení kliknite na tlačidlo „Druhý obrázok“ a po niekoľkých sekundách môžete kliknúť na tlačidlo „Porovnať“.

Ak bolo pole „Text“ začiarknuté na začiatku, zobrazí sa okno textový editor Poznámkový blok, ktorý poskytne úplnú správu o zmenách registra.

Neinštaloval som žiadne programy, len som zmenil pár parametrov v paneli Správa systému Windows. Ako vidíte, nástroj Regshot zaznamenal všetky zmeny.

Počas inštalácie softvéru bude prehľad samozrejme väčší.

Ak potrebujete znova analyzovať register, kliknite na tlačidlo „Vymazať“ a začnite odznova.

Ako vidíte, vytvorenie snímky registra na sledovanie zmien je veľmi jednoduché, najmä ak máte po ruke správny program. To je veľmi výhodné, ak potrebujete zistiť, aké zmeny program vykoná v registri počas inštalácie. Mimochodom, týmto spôsobom môžete zistiť, ktoré prvky databázy Registry sú zodpovedné za konkrétne nastavenie systému Windows.

Pomocou operačného systému Windows by bolo dobré ho lepšie spoznať. Môžete začať článkom o mystickom súbore, o ktorom jednoducho musíte vedieť!

To je všetko, priatelia. V budúcnosti preskúmame ďalšie nástroje. A áno, nezabudol som na to, čo som sľúbil urobiť podrobné pokyny o tom, ako vytvoriť spoľahlivé izolované laboratórium virtuálny prístroj na kontrolu softvéru a vírusov. Takže ste vítaní na našich verejných stránkach

V prevádzkových pobočkách registra systémy Windows Ukladajú sa nastavenia a parametre samotného systému, ako aj ďalšieho softvéru nainštalovaného v počítači. Niekedy potrebujete zistiť, ktoré vetvy registra sú upravené spusteným programom alebo jeho inštalačným distribúciou. Ak chcete zistiť, čo sa zmenilo v registri, musíte použiť špeciálny program na sledovanie stavu parametrov systémového registra. RegFromApp monitoruje v reálnom čase zmeny v systémovom registri, ktoré vykonal spustený program(proces) a odráža vetvu registra a hodnoty v nej zmenené.

Sledujte zmeny v registri

Ak chcete zistiť, aké zmeny v registri konkrétny program, musíte spustiť RegFromApp a vybrať proces, ktorý chcete sledovať, zo zoznamu všetkých bežiace procesy. Hneď ako program, ktorý je pre používateľa zaujímavý, vstúpi do registra a zmení hodnoty svojich vetiev, RegFromApp okamžite zobrazí vetvu registra, v ktorej sa zmeny vyskytli, a zobrazí zmenené hodnoty. Zmeny vykonané v registri je možné uložiť do súboru registra (*.reg). Pomôcka RegFromApp podporuje spustenie z príkazový riadok s parametrami.

Snímky obrazovky programu RegFromApp

Oficiálna stránka: http://www.nirsoft.net
OS: 32.64 Windows XP/Vista/7/8
Podporované jazyky: ruský
Verzia: 1.32
Licencia:freeware (zadarmo)

Veľkosť súboru 107 kB

Ďalšie zaujímavé programy:

• SmartPawnshop je prvý ruský program, ktorý vám umožňuje optimalizovať procesy riadenia pešiaka