laptop i śmieci
Systemy operacyjne

Wyszukiwanie i śledzenie zmian w rejestrze Windows

Jedną z najprostszych metod wychwytywania zmian w rejestrze, wprowadzonych przez na przykład uruchamiane bądź instalowane aplikacje, to porównywanie dwóch zrzutów rejestru – czyli popularny diff. No dobrze, ale jak tego dokonać? W tym artykule zaprezentuję dwie darmowe aplikacje, jedna z nich specjalizuje się w monitorowaniu rejestru w trybie rzeczywistym, a druga potrafi porównać dwa pliki rejestru i wyodrębnić dokonane modyfikacje.

Do utworzenia kopii zapasowej rejestru można użyć dowolnej aplikacji nawet ERUNT, lecz w tym artykule opiszę oprogramowanie, które potrafi nie tylko zrobić zrzut rejestru do pliku, ale także w późniejszym czasie wykonać analizę porównawczą. Programem tym jest Regshot, mały i zgrabny sofcik dla Windows (platformy x86 i x64), który wykona za nas całą mozolną pracę.

Regshot

Po uruchomieniu aplikacji wykonujemy zrzut rejestru (1st shot => Shot and Save). Powstały plik będzie stanowił bazę. Następnie uruchamiamy bądź instalujemy dowolny program, który zmodyfikuje rejestr systemu Windows. Po wszystkim wykonujemy drugi zrzut (w identyczny sposób).

Mając do dyspozycji dwa zrzuty możemy dokonać porównania. W tym celu wybieramy 1st shot => Load i wczytujemy pierwszy plik zrzutu (bazowy). Następnie wczytujemy drugi 2nd shot => Load.

Dane z regshot

Na wyjściu otrzymamy różnicę, w postaci pliku tekstowego. Każda wartość, każdy klucz (dodanie/usunięcie/zmodyfikowanie) zostanie ujęty w końcowym raporcie.

Regshot jest doskonałym narzędziem do śledzenia zmian w rejestrze, lecz warto jeszcze wspomnieć o innym, równie ciekawym programie – mowa o RegFromApp, którego autorem jest Nir Sofer. Aplikacja w trybie rzeczywistym monitoruje rejestr systemowy i rejestruje wszelkie jego modyfikacje.

Regfromapp

Obsługa jest bardzo prosta. Na ekranie startowym wskazujemy aplikację (proces) do monitorowania, ewentualnie manulanie wskazujemy program (Start New Process).

Dane rejestru Regfromapp

Po zakończeniu pracy otrzymujemy standardowy plik REG (.reg), który zawiera wszystkie zmodyfikowane wartości i klucze, które zostały dokonane przez uruchomioną aplikację.

Niestety RegFromApp ma swoje wady, niektórych aplikacji nie potrafi zarejestrować, czasem podczas monitorowania wyłoży się, jego niedoskonałości widać także podczas śledzenia pakietów instalacyjnych – w takich sytuacjach warto zrobić klasyczny diff rejestru przy pomocy Regshot.

O autorze

Mariusz Kołacz

Z zawodu mgr inż. informatyk, zwolennik nowoczesnych technologii i fan Nikoli Tesla. Prowadzi kilka blogów o tematyce technologicznej. Po godzinach lubi przeczytać dobrą książkę, pozwiedzać ciekawe miejsca w Polsce lub spędzić wolny czas na łonie natury.

2 komentarze

Kliknij tutaj aby skomentować