Le suivi des modifications dans le registre de Windows

Est-il un moyen de suivre les changements dans le registre de Windows? J'aimerais voir ce que les modifications dans le registre sont fait lors de l'installation de divers programmes.

InformationsquelleAutor sumek | 2008-09-27
  1. 40

    Pouvez surveiller les modifications de registre par program.

    http://www.nirsoft.net/utils/reg_file_from_application.html

    Mise à JOUR: il suffit de télécharger NirLauncher (qui comprend toutes les applications de NirSoft). Il est l'un des meilleurs ajouts à votre boîte à outils Windows.
    http://launcher.nirsoft.net/

    • C'est génial morceau de logiciel. Pourquoi ne pas beaucoup UPs? 😀
    • Pour moi RegistryChangesView (nirsoft.net/utils/registry_changes_view.html) de NirLauncher emballage a été plus utile: il crée deux instantanés (par exemple avant et après l'installation), puis les compare. Le résultat peut être exporté vers un .txt-fichier. Dans mon cas d'utilisation, il a trouvé 301 changement de registre après l'installation de l'application. Dans le même temps RegFromApp (attaché à msiexec.exe processus) trouvé à seulement 1 changement.
    InformationsquelleAutor BlackTea
  2. 45

    Le Moniteur De Processus vous permet de surveiller les fichiers de registre et de l'activité des différents processus.

    InformationsquelleAutor Franci Penov
  3. 11

    Concernant WMI et Registre:

    Il y a trois WMI classes d'événements concernant le registre:

    • RegistryTreeChangeEvent
    • RegistryKeyChangeEvent
    • RegistryValueChangeEvent

    Registre Classes D'Événements

    Mais vous devez être conscient de ces limitations:

    • Avec RegistryTreeChangeEvent et RegistryKeyChangeEvent il n'y a aucun moyen de dire directement les valeurs ou les touches a réellement changé. Pour ce faire, vous devez enregistrer le registre de l'état avant l'événement et de le comparer à l'état après l'événement.

    • Vous ne pouvez pas utiliser ces classes avec HKEY_CLASSES_ROOT ou HKEY_CURRENT_USER de l'urticaire. Vous pouvez résoudre ce problème en créant une classe WMI pour représenter la clé de registre pour le suivi:

    La définition d'une Classe de Registre Avec des Qualificatifs

    et de l'utiliser avec d' __InstanceOperationEvent les classes dérivées.

    Donc, à l'aide de WMI pour surveiller le Registre est possible, mais de moins parfait. L'avantage est qu'il est possible de surveiller les changements dans le "temps réel". Un autre avantage pourrait être WMI permanent d'inscription à l'événement:

    Recevoir des Événements à Tout moment

    une méthode pour surveiller le Registre "tout le temps", c'est à dire. événement si votre application n'est pas en cours d'exécution.

    InformationsquelleAutor
  4. 9

    Une façon simple de le faire avec aucun outil supplémentaire est d'exporter le registre dans un fichier texte avant de l'installer, puis l'exporter vers un autre fichier après. Ensuite, de comparer les deux fichiers.

    Cela dit, les outils Sysinternals sont parfaits pour cela.

    InformationsquelleAutor Greg Hewgill
  5. 3

    Regshot mérite une mention ici. Il scanne et prend un instantané de tous les paramètres de registre, puis vous l'exécutez de nouveau à une date ultérieure pour comparer avec l'original de l'instantané, et il vous montre toutes les clés et les valeurs qui ont changé.

    InformationsquelleAutor Baodad
  6. 2

    Il y a un python-hids appelé sobek ( http://code.google.com/p/sobek-hids/ ) qui est en mesure de surveiller certaines parties de la SORTE. Il fonctionne très bien pour ma pour le suivi des modifications de fichiers, et bien que le doc sais qu'il est en mesure de surveiller les modifications du registre, il ne fonctionne pas pour moi.

    Bon morceau de logiciel pour facilement deplay un basé sur python, hids.

    InformationsquelleAutor Luis Fernández
  7. 1

    Il y a quelques différentes façons. Si vous voulez le faire vous-même à la volée WMI est probablement la voie à suivre. RegistryKeyChangeEvent et ses parents sont ceux à regarder. Il y a peut être un moyen de surveiller à travers __InstanceCreationEvent, __InstanceDeletionEvent et __InstanceModificationEvent les classes trop.

    http://msdn.microsoft.com/en-us/library/aa393040(SV.85).aspx

    InformationsquelleAutor olle
  8. 1

    Lors de l'utilisation d'une machine virtuelle, j'utilise ces mesures pour inspecter les modifications de la base de registre:

    1. À l'aide de 7-Zip, ouvrez le vdi/vhd/fichier vmdk et d'en extraire le dossier C:\Windows\System32\config
    2. Exécuter OfflineRegistryView pour convertir le registre de texte en clair
      • Définir le Dossier Config' pour le dossier que vous avez extrait
      • Définir la Clé de Base' à HKLM\SYSTEM ou HKLM\SOFTWARE
      • Définir la sous-Clé de la Profondeur' de 'Illimité'
      • Appuyez sur le bouton "Go"

    Maintenant utiliser votre favori diff programme compare le "avant" et "après" instantanés.

    InformationsquelleAutor Fidel
  9. 0

    Je suis d'accord avec Francis, tous les utilitaires Sysinternals sont la peine de prendre un coup d'oeil (Autoruns est un must trop), et le Moniteur de Processus, qui remplace le bon vieux Filemon et Regmon est précieux.

    À côté de l'utilisation que vous voulez, il est très utile de voir pourquoi un processus échoue (par exemple en essayant d'accéder à un fichier ou une clé de registre qui n'existe pas), etc.

    InformationsquelleAutor PhiLho
  10. 0

    PhiLho a mentionné AutoRuns en passant, mais je pense qu'il mérite d'élaboration.

    Il n'a pas de numériser l'ensemble du registre, juste les parties contenant des références à des choses qui se charge automatiquement (Exe, Dll, pilotes, etc.) ce qui est probablement ce qui vous intéresse. Il n'a pas le suivi des modifications, mais peut exporter vers un fichier texte, de sorte que vous pouvez l'exécuter avant et après l'installation et faire un diff.

    InformationsquelleAutor Hugh Allen