Tento článok vám ukáže kroky na prevzatie vlastníctva kľúča databázy Registry a získanie úplných kontrolných práv a ako vrátiť pôvodné práva a obnoviť pôvodného vlastníka.

Niektoré časti databázy Registry systému Windows nie sú k dispozícii na úpravu, aj keď váš účet patrí do skupiny "správcovia". To sa zvyčajne stáva, pretože skupina "správcovia" Neexistujú žiadne príslušné povolenia (práva) na zápis do tohto kľúča databázy Registry. Existuje niekoľko dôvodov, prečo nemôžete upraviť kľúč databázy Registry:
■ Skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva. V tomto prípade stačí jednoducho vydať do skupiny "správcovia" plné práva.
■ Vlastníkom oddielu je systémová služba TrustedInstaller. V takom prípade sa musíte najprv stať vlastníkom sekcie a potom dať svojej skupine plné práva, práve takýto príklad bude uvedený v tomto článku.

■ Vlastníkom oddielu je systém účtu "systém" TrustedInstaller.

Zvyšok článku popisuje, ako vykonať zmeny v registri, ak nemáte príslušné povolenia, ako aj to, ako obnoviť pôvodné povolenia a prečo je to potrebné. Pred úpravou systémového registra sa odporúča

Ak zmeníte akýkoľvek parameter v registri, ak nemáte dostatočné práva, zobrazí sa chybové hlásenie.

Uvažujme prvý príklad keď skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva:
 1 Povolenia...
 2 . Vyberte skupinu "správcovia":

Ak je začiarkavacie políčko dostupné Úplný prístup, nainštalujte ho a kliknite na tlačidlo OK. To môže stačiť, ak je vlastníkom sekcie skupina.

Ak začiarkavacie políčko nie je dostupné alebo sa vám zobrazuje chybové hlásenie ako na obrázku nižšie, prejdite na druhý príklad.

  Druhý príklad keď je vlastníkom oddielu systémová služba TrustedInstaller

V okne Skupinové povolenia kliknite na tlačidlo Okrem toho

V ďalšom okne kliknite na odkaz Zmeniť zadajte názov alebo adresu miestneho účtu Emailúčtovníctvo Microsoft zaznamenáva, skontrolujte názov a kliknite na tlačidlo OK

Začiarknite políčko Nahradiť vlastníka subkontajnerov a objektov v hornej časti okna a kliknite na tlačidlo OK

Vyberte skupinu "správcovia", začiarknite políčko Úplný prístup, stlač tlačidlo OK

Teraz máte úplný prístup ku kľúču databázy Registry a môžete upravovať všetky jeho nastavenia.

  Tretí príklad keď je vlastníkom oddielu systémový účet "systém". V tomto prípade budú akcie rovnaké ako pri TrustedInstaller.

Vrátenie pôvodných práv a obnovenie vlastníctva

Pre účely zabezpečenia systému je potrebné po úprave potrebných parametrov kľúča databázy Registry vrátiť pôvodné prístupové práva a obnoviť systémový účet ako vlastník sekcie. TrustedInstaller.
 1 . Kliknite pravým tlačidlom myši na kľúč databázy Registry a vyberte z ponuky Povolenia...

 2 . V okne Skupinové povolenia kliknite na tlačidlo Okrem toho

 3 . V ďalšom okne Ďalšie možnosti zabezpečenia kliknite na odkaz Zmeniť v hornej časti okna a v zobrazenom dialógovom okne Vyberte: „Používateľ“ alebo „Skupina“ zadajte názov účtu:

Kliknite na tlačidlo OK

 5 . V okne Skupinové povolenia vyberte skupinu "správcovia", zrušte začiarknutie Úplný prístup, stlač tlačidlo OK

Pôvodné práva a vlastník kľúča databázy Registry boli obnovené.

■ Ak vlastníkom sekcie bol účet Systém(v anglickej verzii Systém), potom namiesto toho
 Služba NT\TrustedInstaller vstúpiť Systém(v anglickej verzii Systém).

Ako na to Snímky databázy Registry systému Windows porovnávať a sledovať zmeny?

Môžete sledovať zmeny v registri rôzne cesty ručne alebo pomocou špeciálnych programov. V tomto článku vám poviem, ako to urobiť pomocou programov, ktoré sú podľa môjho názoru oveľa pohodlnejšie.

Ako som sľúbil, v článku „“, touto publikáciou začíname sériu článkov venovaných analýze malvér. V týchto článkoch budem hovoriť o nástrojoch, ktoré vám umožňujú študovať vírusy a ich správanie.

Dnešný článok bude užitočný nielen pre výskumníkov vírusov, ale aj pre bežných používateľov, ktorí chcú byť pokročilejší v používaní počítača. Poviem vám, ako používať program Regshot na vytváranie snímok registra systému Windows na porovnanie a sledovanie zmien.

Čo je register systému Windows?

Register je jednou z hlavných častí operačný systém Microsoft Windows. Napriek tomu väčšina používateľov používa operačný systém a o existencii registra nevie.

Neskúsený používateľ si ani neuvedomuje, že pri zmene všetkých parametrov: inštalácii programov, zmene samotného systému Windows a zariadení, ktoré sú k nemu pripojené, sa všetky zmeny vykonajú v registri systému Windows.

Jedným slovom, register je v istom zmysle jadrom operačného systému, v ktorom sú uložené všetky nastavenia a zmeny.

Prečo analyzovať register a sledovať zmeny?

Povedzme, že už nie ste len pasívny používateľ počítača a chcete vedieť, čo sa deje v zákulisí počas inštalácie nový program alebo na analýzu správania vírusu. Aby ste zistili, aké zmeny robí všetok softvér, potrebujete programy na sledovanie registra. Jedným z takýchto nástrojov je RegShot.

Snímka registra pomocou nástroja RegShot

RegShot- malý voľný s otvoreným zdrojový kód program, ktorý vám umožňuje robiť snímky registra a porovnávať ich. Všetky zmeny, ktoré sa vyskytli v registri, je možné uložiť do textového súboru alebo súboru html.

Stiahnite si RegShot

Program RegShot si môžete stiahnuť zadarmo pomocou priameho odkazu.

Inštalácia programu RegShot

Po stiahnutí programu rozbaľte archív a prejdite do priečinka so súbormi. V priečinku bude niekoľko súborov.

Výber spustiteľný súbor Venujte pozornosť bitovosti vášho operačného systému.

Nastavenie a používanie RegShot

Po spustení sa objaví malé okno programu, v ktorom okamžite zmeníme jazyk skinu na ruštinu. K dispozícii je tiež ukrajinský jazyk rozhrania.

Teraz poďme do práce. Sledovanie zmien registra začína vytvorením prvej snímky registra. Kliknite na tlačidlo snímky a v rozbaľovacom okne vidíme 3 možnosti:

• Snímka – iba snímka
• Snímka + Uložiť - Snímka a záloha registra
• Otvoriť – otvorí už nasnímanú snímku registra

Vyberte požadovanú možnosť. V mojom príklade nie je potrebné zálohovať register, takže kliknem na tlačidlo „Snímka“. Program ožije a začne vytvárať prvú snímku registra. V spodnej časti okna uvidíte, ako sa čísla menia.

Keď sa čísla zastavia a program sa upokojí, môžete začať pracovať s programami tretích strán, s inštaláciou a tak ďalej.

Po dokončení kliknite na tlačidlo „Druhý obrázok“ a po niekoľkých sekundách môžete kliknúť na tlačidlo „Porovnať“.

Ak bolo na začiatku začiarknuté pole „Text“, zobrazí sa okno textový editor Poznámkový blok, ktorý poskytne úplnú správu o zmenách registra.

Neinštaloval som žiadne programy, len som zmenil pár parametrov v paneli Správa systému Windows. Ako vidíte, nástroj Regshot zaznamenal všetky zmeny.

Počas inštalácie softvéru bude prehľad samozrejme väčší.

Ak potrebujete znova analyzovať register, kliknite na tlačidlo „Vymazať“ a začnite odznova.

Ako vidíte, vytvorenie snímky registra na sledovanie zmien je veľmi jednoduché, najmä ak máte po ruke správny program. To je veľmi výhodné, ak potrebujete zistiť, aké zmeny program robí v registri počas inštalácie. Mimochodom, týmto spôsobom môžete zistiť, ktoré prvky databázy Registry sú zodpovedné za konkrétne nastavenie systému Windows.

Pomocou operačného systému Windows by bolo dobré ho lepšie spoznať. Môžete začať článkom o mystickom súbore, o ktorom jednoducho musíte vedieť!

To je všetko, priatelia. V budúcnosti preskúmame ďalšie nástroje. A áno, nezabudol som na to, čo som sľúbil urobiť podrobné pokyny o tom, ako vytvoriť spoľahlivé izolované laboratórium virtuálny prístroj na kontrolu softvéru a vírusov. Takže ste vítaní na našich verejných stránkach

Existuje špeciálna pomôcka SysTracer je špeciálne navrhnutý na sledovanie zmien v systéme porovnaním dvoch „snímok systému“ – pred a po. V dôsledku toho získavame údaje o zmenách prezentované vo vhodnej forme v troch kategóriách „Register“, „Súbory“, „Iné nastavenia“ (nie je skupinové politiky, diaľnica systémové nástroje aka netsh)
(Aby som bol úprimný, poviem vám, že nezbiera všetko, aj keď vo väčšine prípadov to stačí)

A ak „bojujete v obrane so zlom“, potom používajú triky, ktoré sa nedajú osvetliť obyčajnou stopou :)
V opačnom prípade by bolo všetko veľmi jednoduché, v tomto prípade je to najužitočnejší nástroj, v ktorom podporujem účastníka l0calh0st,
Toto Monitor procesu od Sysinternals- to je presne to, čo potrebujete. (Títo chlapci zjavne používajú nejaké nezdokumentované schopnosti, Mark Russinovich vie veľa 🙂) A skryť akékoľvek pohyby pred týmto nástrojom, ak je správne nakonfigurované, je mimoriadne ťažké. (Aj keď je to možné, viem ako, ale nepoviem vám to - pretože ma to nebaví)

PS: Jediná vec je pozorne si prečítať dokumentáciu týkajúcu sa filtrovania, od r Monitor procesu predvolene zaznamenáva všetky udalosti. Najprv ho musíte zacieliť na ID inštalačného procesu a tiež (ak sa nepoužíva počas procesu inštalácie - vypnite sieťový výpis; je v ňom veľa „odpadu“, čo veľmi sťažuje rozumieť).

Programy pre Windows

IT novinky

Aktivácia systému Windows 7

Aplikácie

Android

programy

Sme VKontakte

SysTracer Pro pre Windows (prenosný)

SysTracer– nástroj, ktorý dokáže sledovať všetky druhy zmien v operačnom systéme. Na začiatku program skenuje a analyzuje OS a potom používateľovi ponúkne správu o zmenách, ktoré v systéme vykonali programy a ich inštalátori. SysTracer sa najčastejšie používa medzi skúsenými používateľmi, pretože správy generované programom nebudú zrozumiteľné pre každého.

SysTracer je efektívny nielen v procese sledovania správania jedného konkrétneho inštalátora, ale aj v procese analýzy prevádzky aplikácií a systému ako celku. Zmeny v operačnom systéme je možné sledovať viackrát. Používateľ má tiež možnosť sledovať zmeny za určité časové obdobie.

Program funguje podľa pomerne jednoduchého algoritmu. Spočiatku snímka registra a celého systém súborov OS. Hneď ako používateľ nainštaluje novú aplikáciu, SysTracer znova urobí snímku a analyzuje zmeny na základe rozdielu medzi týmito dvoma snímkami. Skenovanie vykonávané obslužným programom je možné ďalej konfigurovať (je možné vylúčiť samostatné súbory, priečinky, kľúče databázy Registry atď.). Môžete fotiť v jednotlivé dni a porovnať si ospravedlnenky vo vami požadovanom časovom období, napríklad od 15. do 20. a pod.

Po nainštalovaní a spustení nástroja sa pred vami zobrazí pracovné okno, ktoré má šesť hlavných záložiek: Obrázky, Register, Súbory, Aplikácie, Vzdialené skenovanie a Pomocník.

Na karte „Obrázky“ môžete vykonávať rôzne operácie s obrázkami, napríklad ich vytvárať, premenovávať, mazať alebo porovnávať. Pozornosť púta možnosť exportu obrázkov vo webovom formáte alebo prípone snp. Okrem toho tu používatelia konfigurujú nastavenia a zobrazujú vlastnosti snímky. „Register“ ponúka možnosť preštudovať si jeden snímok registra alebo porovnať dva. Používateľ môže podrobnejšie preskúmať stav kľúčov oddielov. SysTracer uľahčuje identifikáciu zmien vďaka farebne odlíšeným označeniam. Napríklad nové prvky budú zvýraznené zelenou farbou, upravené prvky modrou a upravené červenou. odstránené súbory, aplikácie, súčasti registra, čierna – nezmenená a sivá – tie prvky, ktoré neboli naskenované.

Stiahnite si SysTracer– je získať neuveriteľne pohodlný nástroj na vašom PC. Softvér si môžete stiahnuť pomocou odkazu pod touto recenziou.

Program na prezeranie zmien registra po inštalácii programov

Zamysleli ste sa niekedy nad tým, čo presne menia programy nainštalované vo vašom počítači? Aké zmeny vykonajú v registri systému Windows a systémové súbory? Porovnávali ste niekedy dva zdanlivo podobné systémy?

Samozrejme, takéto otázky vznikajú len vtedy, keď sú na to dôvody. Napríklad dva zdanlivo rovnaké systémy reagujú rozdielne na výskyt tej istej udalosti. Alebo ste si napríklad začali všimnúť, že po inštalácii programu sa váš počítač začne správať čudne: pomalé načítavanie, zamrznutie systému pri určitých akciách atď.

Ak chcete nájsť odpovede na tieto a ďalšie otázky, spoločnosť Microsoft vydala špeciálny nástroj s názvom „ Systém Windows Stavový analyzátor“. Program je súčasťou Windows Software Certification Toolkit, ktorý nie je také ľahké nájsť. Upozorňujeme, že program vyžaduje „. Internetová sieť 2,0". Pomôcka sa dodáva v 32-bitovej a 64-bitovej verzii a dá sa použiť pre všetky aktuálne Verzie systému Windows. Nájsť Detailný popis a odkaz na stiahnutie nájdete na tomto odkaze na blog spoločnosti Microsoft (ak chcete stránku preložiť do ruštiny, prejdite na pravej strane stránky do bloku „Preložiť túto stránku“ a vyberte požadovaný jazyk; preklad, samozrejme, nie je celkom literárne, ale predsa len menej, na bežné vnímanie textu stačí).

Na konci článku blogu spoločnosti Microsoft uvidíte dva odkazy na stiahnutie súboru s názvom „Server Logo Program Software Certification Tool“ – x86 pre 32-bitové systémy a x64 pre 64-bitové systémy. Nezľaknite sa názvu, počas inštalácie vyberte vlastnú inštaláciu a tam medzi nainštalovanými komponentmi vyberte „System State Analyzer“. Obrázok nižšie zobrazuje dialógové okno pre výber inštalácie iba analyzátora.

Poznámka: Môžete si nainštalovať aj „Windows System State Monitor“, ktorý vám umožní sledovať zmeny v reálnom čase.

Článok blogu spoločnosti Microsoft podrobne popisuje, ako presne používať analyzátor. Samozrejme, ak ste technicky zdatní, potom sami rýchlo zistíte, ako nástroj funguje. Upozorňujeme, že vytvorenie prvej snímky systému môže chvíľu trvať, najmä ak sa rozhodnete sledovať všetky zmeny vo svojom počítači.

Nemusíte však vybrať všetky položky, do analýzy môžete zahrnúť iba tie súbory a kľúče registra, ktoré považujete za potrebné. Príklad použitia môžete vidieť na nasledujúcom obrázku:

Teraz sa môžete dozvedieť o všetkom, čo sa deje vo vašom počítači.

ida-freewares.ru

Čo je lepšie: sledovanie v reálnom čase alebo systémové snímky pri inštalácii programov?

Existujú 2 prístupy k monitorovaniu inštalácií programov (pre následné čisté vymazanie ich dát). Prvý, dosť starý, používa snímky registra a súborového systému pred a po inštalácii a potom ich porovnáva. Druhým, ktorý sa používa v nástroji Uninstall Tool, je sledovanie zmien v reálnom režime pomocou Monitora inštalácie softvéru. Druhá metóda je najprogresívnejšia z nasledujúcich zrejmých dôvodov:

V prevádzkových pobočkách registra systémy Windows Ukladajú sa nastavenia a parametre samotného systému, ako aj ďalšieho softvéru nainštalovaného v počítači. Niekedy potrebujete zistiť, ktoré vetvy registra sú modifikované spusteným programom alebo jeho inštalačným rozložením. Ak chcete zistiť, čo sa zmenilo v registri, musíte použiť špeciálny program na sledovanie stavu parametrov systémového registra. Program RegFromApp monitoruje v reálnom čase zmeny v systémovom registri, ktoré vykonal spustený program(proces) a odráža vetvu registra a hodnoty v nej zmenené.

Sledujte zmeny v registri

Ak chcete zistiť, aké zmeny v registri konkrétny program, musíte spustiť RegFromApp a vybrať proces, ktorý chcete sledovať, zo zoznamu všetkých spustených procesov. Hneď ako program, ktorý je pre používateľa zaujímavý, vstúpi do registra a zmení hodnoty svojich vetiev, RegFromApp okamžite zobrazí vetvu registra, v ktorej sa zmeny vyskytli, a zobrazí zmenené hodnoty. Zmeny vykonané v registri je možné uložiť do súboru registra (*.reg). Pomôcka RegFromApp podporuje spúšťanie z príkazový riadok s parametrami.

Snímky obrazovky programu RegFromApp

Oficiálna stránka: http://www.nirsoft.net
OS: 32.64 Windows XP/Vista/7/8
Podporované jazyky: ruský
Verzia: 1.32
Licencia:freeware (zadarmo)

Veľkosť súboru 107 kB

Ďalšie zaujímavé programy:

• SmartPawnshop je prvý ruský program, ktorý vám umožňuje optimalizovať procesy riadenia pešiaka

Z času na čas užívatelia a správcov systému Možno bude potrebné pozrieť sa na zmeny v Registry systému Windows na určité obdobie. Môže to byť preto, že chcete vidieť, aké zmeny vykoná konkrétny program alebo akcie používateľa.

Zmeny vykonané v registri systému Windows môžete zobraziť pomocou nástrojov zabudovaných do operačného systému alebo pomocou softvéru tretích strán. Začnime tými prvými.

Okrem toho spomeňme aj to, že všetko ide o dve metódy: porovnanie dvoch „snímok“ registra urobených v rôznych časoch alebo sledovanie zmien v reálnom čase.

Najdostupnejším spôsobom, ako zistiť, aké zmeny boli vykonané v registri, je použiť vstavaný Pomôcky systému Windows fc.exe. Výhodou tejto metódy je, že nie je potrebné hľadať ďalší softvér. Vo všeobecnosti sa nástroj fc.exe používa nielen na zobrazenie zmien v registri, ale aj na porovnanie dvoch súborov alebo sád súborov vo všeobecnosti. Je teda jasné, že potrebujeme dva „snímky“ registra.

Najprv exportujeme celý register alebo len pobočku, ktorú potrebujeme. Povedzme, že máme dva súbory: 1.reg a 2.reg, ktoré dáme na disk C. Potom ich môžeme pomocou príkazu porovnať

fc c:\1.reg c:\2.reg > c:\log.txt

V tomto prípade sme zobrazili výsledok príkazu v textový súbor. Odporúčam však použiť pokročilejší formát a/alebo silnejší editor ako Poznámkový blok, aby ste sa vyhli problémom s .

Vyššie som použil formát MS Word a .doc.

Problém s použitím fc.exe je, že výsledok jeho práce je nečitateľný. Snímka obrazovky vyššie naznačuje, že vo vlákne bol pridaný parameter Primer. Ale je nepravdepodobné, že to pochopíte, ak o tom nebudete vedieť vopred. fc.exe nemožno nazvať plnohodnotným analytickým nástrojom. Tento nástroj je najvhodnejší, keď sami vykonávate zmeny v registri a chcete si overiť, či boli vykonané (ale nechcete blúdiť po vetvách registra v regedit).

Prejdime preto k ďalšej utilite, ktorá už bohužiaľ nie je zahrnutá moderné verzie Windows, ale možno pridať. Volá sa WindDiff. Môžete ho pridať pomocou inštalácie balíky Microsoft Windows SDK. Žiaľ, po Windowse 7 bol WinDiff z týchto balíkov vylúčený, ale môžete si ho stiahnuť samostatne, napríklad .

Použitie pomôcky WinDiff z príkazového riadku Reťazce systému Windows, vložte ho do adresára %WINDIR%\System32. Teraz, aby sme porovnali dva súbory registra z príkladu, stačí zadať príkaz

vietor C:\1.reg C:\2.reg

Otvorí GUI nástroj, ktorý môžete vidieť na obrázku vyššie. Poďme zistiť, ako čítať výstup programu WinDiff.

• Čiary na bielom pozadí znamenajú zhodu obsahu súborov;
• Riadky s červeným pozadím zobrazujú obsah prvého (ľavého) súboru, ktorý nie je v druhom (vpravo);
• Riadky so žltým pozadím zobrazujú obsah druhého (pravého) súboru, ktorý nie je v prvom (ľavom).

Máme žltú čiaru s obsahom "Primer"="". To znamená, že parameter sa objavil v druhom súbore Primer s prázdnou hodnotou. A je v tom HKEY_LOCAL_MACHINE\SOFTWARE\Test. Keďže druhý súbor bol uložený neskôr ako prvý, môžeme konštatovať, že tento parameter bol pridaný a nie odstránený.

Prejdime k nástrojom na monitorovanie registrov tretích strán.

Populárnym bezplatným riešením je program Regshot. Program tiež pracuje so snímkami registra a vytvára ich sám, namiesto toho, aby analyzoval vopred uložené súbory. Toto je jeho mínus. A plus je, že je to veľmi jednoduché.

Najprv musíte urobiť prvú snímku registra.

Potom sa môžu porovnávať.

Po dokončení procesu porovnávania program automaticky otvorí súbor s výsledkami práce. Ďalšou výhodou Regshot je, že tento súbor je ľahko čitateľný. Za zmienku však stojí, že bude obsahovať kopu zmien registrov, ktoré sa môžu zdať ako druh morzeovky. V mojom prípade boli oba obrázky odfotené menej ako minútu od seba. Mojou jedinou akciou bolo odstránenie parametra Primer. Ako vidíte, program to zaznamenal. A tiež zaznamenal mnoho ďalších zmien. Pod kapotou operačného systému sa neustále niečo deje a väčšina z toho je našim očiam skrytá.

Viac nepotrebných obrázkov je možné vymazať stlačením tlačidla jasný v rozhraní programu. Môžete si stiahnuť program Regshot.

Posledným nástrojom na monitorovanie registrov systému Windows, o ktorom sa hovorí v tomto článku, bude program Registrovať Live Watch. Možno to pochopíte už z názvu tento program je schopný sledovať zmeny registra v reálnom čase.

Program je tiež veľmi jednoduchý a v skutočnosti nemá ani veľa nastavení. Stačí zadať pobočku registra, ktorú chcete sledovať a tlačidlom spustiť sledovanie Spustite aplikáciu Monitor.

Program má však vážnu nevýhodu, ktorá z väčšej časti neutralizuje samotnú myšlienku monitorovania. Zobrazuje len hlásenia o zmenách v sledovanej vetve registra, ale nepíše presne, aké zmeny boli vykonané. Druhou nevýhodou je, že Registry Live Watch nedokáže sledovať celý register. Program si môžete stiahnuť.

Na konci článku budeme hovoriť o tom, ako automatizovať zhromažďovanie informácií o registri bez použitia softvéru tretích strán. Dá sa to urobiť pomocou skriptu obsahujúceho príkaz reg export, ktorého syntax je diskutovaná. Spustením tohto skriptu podľa plánu získate množstvo snímok registra, ktoré možno v prípade potreby porovnať.