Le suivi des modifications dans le registre de Windows
Est-il un moyen de suivre les changements dans le registre de Windows? J'aimerais voir ce que les modifications dans le registre sont fait lors de l'installation de divers programmes.
Vous devez vous connecter pour publier un commentaire.
Pouvez surveiller les modifications de registre par program.
http://www.nirsoft.net/utils/reg_file_from_application.html
Mise à JOUR: il suffit de télécharger NirLauncher (qui comprend toutes les applications de NirSoft). Il est l'un des meilleurs ajouts à votre boîte à outils Windows.
http://launcher.nirsoft.net/
RegistryChangesView
(nirsoft.net/utils/registry_changes_view.html) de NirLauncher emballage a été plus utile: il crée deux instantanés (par exemple avant et après l'installation), puis les compare. Le résultat peut être exporté vers un.txt
-fichier. Dans mon cas d'utilisation, il a trouvé 301 changement de registre après l'installation de l'application. Dans le même tempsRegFromApp
(attaché àmsiexec.exe
processus) trouvé à seulement 1 changement.Le Moniteur De Processus vous permet de surveiller les fichiers de registre et de l'activité des différents processus.
Concernant WMI et Registre:
Il y a trois WMI classes d'événements concernant le registre:
Registre Classes D'Événements
Mais vous devez être conscient de ces limitations:
Avec RegistryTreeChangeEvent et RegistryKeyChangeEvent il n'y a aucun moyen de dire directement les valeurs ou les touches a réellement changé. Pour ce faire, vous devez enregistrer le registre de l'état avant l'événement et de le comparer à l'état après l'événement.
Vous ne pouvez pas utiliser ces classes avec HKEY_CLASSES_ROOT ou HKEY_CURRENT_USER de l'urticaire. Vous pouvez résoudre ce problème en créant une classe WMI pour représenter la clé de registre pour le suivi:
La définition d'une Classe de Registre Avec des Qualificatifs
et de l'utiliser avec d' __InstanceOperationEvent les classes dérivées.
Donc, à l'aide de WMI pour surveiller le Registre est possible, mais de moins parfait. L'avantage est qu'il est possible de surveiller les changements dans le "temps réel". Un autre avantage pourrait être WMI permanent d'inscription à l'événement:
Recevoir des Événements à Tout moment
une méthode pour surveiller le Registre "tout le temps", c'est à dire. événement si votre application n'est pas en cours d'exécution.
Une façon simple de le faire avec aucun outil supplémentaire est d'exporter le registre dans un fichier texte avant de l'installer, puis l'exporter vers un autre fichier après. Ensuite, de comparer les deux fichiers.
Cela dit, les outils Sysinternals sont parfaits pour cela.
Regshot mérite une mention ici. Il scanne et prend un instantané de tous les paramètres de registre, puis vous l'exécutez de nouveau à une date ultérieure pour comparer avec l'original de l'instantané, et il vous montre toutes les clés et les valeurs qui ont changé.
Il y a un python-hids appelé sobek ( http://code.google.com/p/sobek-hids/ ) qui est en mesure de surveiller certaines parties de la SORTE. Il fonctionne très bien pour ma pour le suivi des modifications de fichiers, et bien que le doc sais qu'il est en mesure de surveiller les modifications du registre, il ne fonctionne pas pour moi.
Bon morceau de logiciel pour facilement deplay un basé sur python, hids.
Il y a quelques différentes façons. Si vous voulez le faire vous-même à la volée WMI est probablement la voie à suivre.
RegistryKeyChangeEvent
et ses parents sont ceux à regarder. Il y a peut être un moyen de surveiller à travers__InstanceCreationEvent
,__InstanceDeletionEvent
et__InstanceModificationEvent
les classes trop.http://msdn.microsoft.com/en-us/library/aa393040(SV.85).aspx
Lors de l'utilisation d'une machine virtuelle, j'utilise ces mesures pour inspecter les modifications de la base de registre:
HKLM\SYSTEM
ouHKLM\SOFTWARE
Maintenant utiliser votre favori diff programme compare le "avant" et "après" instantanés.
Je suis d'accord avec Francis, tous les utilitaires Sysinternals sont la peine de prendre un coup d'oeil (Autoruns est un must trop), et le Moniteur de Processus, qui remplace le bon vieux Filemon et Regmon est précieux.
À côté de l'utilisation que vous voulez, il est très utile de voir pourquoi un processus échoue (par exemple en essayant d'accéder à un fichier ou une clé de registre qui n'existe pas), etc.
PhiLho a mentionné AutoRuns en passant, mais je pense qu'il mérite d'élaboration.
Il n'a pas de numériser l'ensemble du registre, juste les parties contenant des références à des choses qui se charge automatiquement (Exe, Dll, pilotes, etc.) ce qui est probablement ce qui vous intéresse. Il n'a pas le suivi des modifications, mais peut exporter vers un fichier texte, de sorte que vous pouvez l'exécuter avant et après l'installation et faire un diff.