Отслеживание изменений в реестре Windows

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
3. При необходимости вы можете сохранить журнал изменений (Save Log).

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

Дополнительные фильтры

Обратите внимание, что утилита зафиксировала не только активность блокнота, но также проводника и поиска Windows. Не относящиеся к делу процессы можно исключить из результатов, создав дополнительные фильтры. Достаточно щелкнуть по процессу правой кнопкой мыши и выбрать из контекстного меню пункт Exclude . Это самый простой способ создания фильтра, но можно сделать это из окна фильтрации, как показано выше. В этом случае условие будет: Process Name – Is — — Exclude.

Использование программы RegShot

RegShot – это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения. Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации. Рассмотрим принципы работы этой утилиты на простом примере.

В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:

1. Загрузите программу, перейдя по следующей ссылке, распакуйте содержимое архива и запустите файл regshot.exe;
2. Перед тем как вы начнете вносить изменения в настройки браузера, сделайте первый снимок реестра, нажав на кнопку «1й снимок»;
   
3. После того как первый снимок будет сделан, откройте настройки браузера («Сервис» > «Свойства обозревателя» или введите inetcpl.cpl в поле поиска меню «Пуск» или в диалоге «Выполнить»). Перейдите на вкладку «Дополнительно», на опции «Подчеркивать ссылки» установите переключатель на «Никогда» и нажмите на кнопку «Применить»;
   
4. Вернитесь в программу RegShot и нажмите на кнопку «2й снимок» для создания снимка реестра с измененным параметром;
   

Программа RegShot позволяет сохранять изменения реестра в текстовый и в HTML форматы. Для того чтобы выбрать формат отчетов, установите переключатель на нужной опции в разделе «Сохранить файл отчетов как:».

В утилите RegShot вы можете также указать путь для сохранения файлов. Для этого введите путь вручную в поле «Путь для сохранения» или воспользуйтесь кнопкой обзор для выбора папки при помощи диалогового окна «Обзор папок».

После того как второй снимок реестра будет доделан нажмите на кнопку «Сравнить».

По завершению сравнения снимков реестра откроется программа установленная по умолчанию, предназначенная для открытия выбранного вами типа файла. В данном случае, так как был выбран текстовый формат, отчет открывается в программе «Блокнот». На следующем скриншоте выделены строки, отвечающие за изменение данной настройки.

После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.

Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.

Теперь, после того как изменения видны, можно написать reg-файл, отвечающий за данную настройку. Если вы боитесь сделать в reg-файле ошибку, зайдите в редактор реестра и внесите изменения. После этого экспортируйте изменения в reg-файл и в блокноте удалите все ненужные строки.

В данном случае должен получиться такой reg-файл:

Если вам нужно найти сразу несколько параметров реестра, отвечающих за разные настройки, лучше всего находить эти параметры поочередно.

Отслеживать изменения в реестре

Сравнение файлов fc.exe

Чтобы использовать эту программу сравнения файлов или fc.exe, сначала экспортируйте файл .reg и назовите его, например, rega .

После того, как изменение произойдет, экспортируйте измененный файл .reg и назовите его, скажем, regb .

Теперь откройте командную строку и введите:

Поскольку для файлов .reg используется Unicode, переключатель /u указывает fc.exe использовать Unicode.

Теперь вы можете проверить вывод regcompare в Блокноте.

WhatChanged

Вы также можете попробовать эту стороннюю утилиту WhatChanged , чтобы легко отслеживать изменения в реестре Windows 10/8/7.

Просто скачайте это переносное приложение и запустите его до и после изменений.

Sysinternals Process Monitor

Sysinternals Process Monitor — отличное бесплатное программное обеспечение для мониторинга изменений реестра в режиме реального времени. Process Monitor — это расширенный инструмент мониторинга для Windows, который в режиме реального времени показывает файловую систему, реестр и активность процессов/потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая расширенную и неразрушающую фильтрацию, всесторонние свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессах, полные потоки стека с интегрированной поддержкой символов для каждой операции одновременное ведение журнала в файл и многое другое.

RegShot

RegShot — еще одна небольшая утилита сравнения реестра, которая позволяет быстро сделать снимок реестра и сравнить его со вторым. сделано после внесения системных изменений или установки нового программного продукта. Отчет об изменениях может быть создан в текстовом или HTML-формате и содержит список всех изменений, которые произошли между моментальными снимками1 и моментальными снимками2. Получи это здесь.

Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они:

1. Реестр Live Watch
2. LeeLu Мониторы Системный монитор AIO
3. RegFromApp
4. Регистратор реестра Менеджер Lite.

Они также могут вас заинтересовать.

1. Де-мистификация реестра Windows.
2. Как сделать резервную копию, восстановить, поддерживать реестр Windows.
3. Как ограничить доступ к редактору реестра и т. Д.
4. Как открыть несколько экземпляров реестра в Windows.

Regmon – отслеживание обращений к реестру.

Общие сведения о программе Regmon .

&nbsp &nbsp Regmon – программа от компании Sysinternals для наблюдения в реальном масштабе времени за выполнением обращений к системному реестру Windows. Авторы – Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

После приобретения Sysinternals компанией Майкрософт, в разделе Microsoft TechNet появился подраздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, Regmon , а также программа мониторинга обращений к файловой системе Windows Filemon были заменены одной программой Process Monitor , которая, при всех ее достоинствах, все же, менее удобна для выполнения именно мониторинга обращений к реестру . В среде операционных систем Windows 2000/XP многие пользователи по-прежнему предпочитают пользоваться утилитой Regmon. Если же, предполагается мониторинг обращений к реестру в среде операционных систем Windows Vista/Windows 7, то лучше перейти на страницу описания утилиты Process Monitor.

&nbsp &nbsp По своим функциональным возможностям последние версии Regmon мало чем отличаются друг от друга, по крайней мере, внешне. Здесь я разместил ссылки для скачивания версий Regmon, которыми пользовался лично.

Возможность скачивания последней версии Regmon с официального сайта на сегодняшний день отсутствует, и вместо нее предлагается скачать Process Monitor.
Более старая версия Regmon 6.06 работает в Windows 2000/XP, и даже может быть запущена в 32-битных Windows Vista/Windows 7. Правда, на практике выяснилось, что в этих ОС утилита работает нестабильно и может привести к зависанию системы.
Версия 7.04 также прекрасно работает в среде Windows 2K/XP, но при попытке запуска в Windows Vista и старше – выдаст сообщение о том, что система не поддерживается и предложит воспользоваться утилитой Process Monitor.

Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке regmon.hlp .

&nbsp &nbsp После запуска исполняемого файла regmon.exe , на экран выводится окно настроек фильтров перехвата обращений к реестру и после нажатия Ok программа начнет работу. О настройке фильтров Regmon подробно будет рассказано ниже.

Интерфейс программы состоит из 3-х частей – строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде таблицы, каждой строке которой соответствует запись об обращении к реестру. Для остановки процесса перехвата нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.

Двойной щелчок на отдельной строке вызовет запуск редактора реестра с переходом на раздел или ключ, соответствующий данной записи. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:

# – номер строки с начала сессии перехвата обращений к реестру .

Time – время обращения. Формат времени (часы или секундомер) можно задать с использованием меню Options- Clock Time . Для формата часов можно установить точность отображения времени с помощью – Options – Show Milliseconds
Process – имя и идентификатор процесса (PID), который вызвал обращение к реестру. Например – svchost.exe:792 – к реестру обращался процесс svchost.exe, идентификатор PID которого равен 792.

Request – тип запроса. Типы запросов отслеживаемые regmon:

OpenKey – Процесс открывает ключ для дальнейших операций над ним.
CloseKey – Процесс закрывает ключ. Для любых обращений к ключу реестра сначала всегда выполняется открытие ключа, а в конце работы с ним – закрытие
CreateKey – Процесс выполняет создание нового ключа реестра.
DeleteKey – Процесс выполняет удаление ключа реестра.
DeleteValueKey – Процесс выполняет удаление значение из ключа реестра.
EnumerateKey – С помощью этого запроса процесс определяет наличие и имена подключей данного ключа. Программа циклически выполняет запрос EnumerateKey до тех пор, пока не будут прочитаны все подключи.
EnumerateValue – С помощью этого запроса определяется значения ключа. Программа циклически выполняет запрос EnumerateValue до тех пор, пока не будут получены все значения ключа.
SetValue – Процесс создает новое значение ключа, или изменяет данные, которые содержат значение по указанному пути в реестре..
QueryKey – Процесс считывает информацию о ключе по указанному пути.
QueryValue – Процесс считывает данные ключа.
LoadKey – Процесс выполняет загрузку куста реестра (hiev).
UnloadKey – Процесс выполняет выгрузку куста реестра.

Path – путь к ключу реестра или обрабатываемому значеню ключа.

Result – Результат выполненного с реестром действия :

SUCCESS – выполнено успешно
NOTFOUND – Ключ или значение не найдено. Данный результат встречается довольно часто и как правило не является ошибкой. Обычно – это признак поиска процессом конкретных данных в реестре.
BUFOVRFLOW – Переполнение буфера. Программа запросила в реестре данные, которые должна получить в буфер определенного объема, но данные в буфер не помещаются. Во многих случаях, размер получаемых из реестра данных заранее неизвестен, поэтому многие приложения инициируют зарос к реестру с помощью функции, одно из значений которой установлено в 0 , и если запрашиваемое значение существует, то функция возвращает требующийся размер буфера с признаком BUFOVRFLOW. Поэтому этот результат, как правило, говорит не об ошибке, а о попытке приложения определить размер буфера для хранения данных из реестра.
ACCDENIED – Доступ запрещен. Обычно связано с недостатком полномочий для обращения к реестру по указанному пути.
NOMORE – программе необходимо было получить список вложенных ключей для указанного пути и выполнялось их перечисление по одному. Когда ключей или значений не осталось, был сформирован результат NOMORE
Other – дополнительная информация.

Информация, детализирующая конкретный тип запроса и результат его выполнения. Это могут быть данные, полученные из значения ключа, права доступа, найденные подключи.

Access – желательные права доступа. Наиболее часто используется Access:0x20019 – максимально разрешенный доступ.
SubKeys – после успешного выполнения запроса QueryKeys указывается количество подключей для данного ключа.
“text” – текстовое значение. Обычно данные, хранящиеся в строковых значениях (данные типа STRING)
0xN – шестнадцатеричное значение. (Данные типа DWORD)
Name: – текстовое имя ключа.
XX XX XX XX – шестнадцатеричные числа для двоичных значений (данные типа BINARY)

Основное меню Regmon .

&nbsp &nbsp Большинство пунктов основного меню утилиты Regmon продублированы в виде значков панели инструментов (Toolbar). Наиболее часто используемые действия можно выполнить с использованием комбинаций клавиш, которые указаны в названии пункта. Например – “Capture Events : CTRL+E”. Нажатие CTRL+E изменит режим перехвата событий (включит, если он был выключен, или наоборот, выключит, если был включен)

Пункты основного меню File

Load – открыть из файла ранее сохраненный отчет и просмотреть его
Save – сохранить содержимое окна в файл отчета .
Save As – выбрать другое расположение и имя для файла отчета
Process Properties – свойства процесса, инициировавшего обращение к реестру. (исполняемый файл, путь, параметры командной строки и т.п.)
Exit – завершить работу Regmon
Capture Events – CTRL+E – включить/выключить перехват обращений к реестру.

Пункты основного меню Edit

Copy – скопировать в буфер обмена выделенные строки.

Delete – удалить выделенные строки.
Include Process – добавить выделенный процесс в группу отслеживаемых
Exclude Process – исключить выделенный процесс из группы отслеживаемых
Include Path – добавляет путь из выделенной строки в список отслеживаемых
Exclude Path – исключить путь из выделенной строки из списка отслеживаемых. Find – поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.

Regedit Jump – быстрый переход в редактор реестра Windows Regedit, и открытие ключа , соответствующего указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.
Clear Display – очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.

Пункты основного меню Options

Font – выбор шрифта для окна
Highlight Colors – выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых (наиболее интересных для анализа). Можно задать цвет фона (BG) и текста (FG) выбрав нужный цветовой элемент и нажав кнопку Select под свои предпочтения.
Filter/Highlight – определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах – ниже по тексту.
History Depth – максимальное число перехватываемых событий. (0 – без ограничений).
Auto Scroll – включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.
Clock Time – переключение формата времени (часы или секундомер)
Show Milliseconds – дополнительно в значении времени показывать миллисекунды.
Always On Top – окно программы всегда поверх всех остальных окон

Log Boot – отслеживать обращения к реестру в процессе загрузки Windows. После выбора этого пункта меню, программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:

&nbsp &nbsp После перезагрузки, в корневом каталоге системы (C:Windows) будет создан файл Regmon.log с данными мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки. Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, поэтому все обращения к реестру, произошедшие до его старта, не будут отслежены. Просмотр журнала мониторинга можно выполнить с использованием меню File – Open

Установка фильтров программы Regmon .

По умолчанию, утилита Regmon настроена на вывод информации об обращениях к реестру Windows, выполняемых всеми процессами и приложениями, но в программе предусмотрена возможность фильтровать выходные данные. Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Regmon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L

Фильтры позволяют ограничить вывод данных Regmon исходя из имени процесса, пути в реестре, типа запроса и результатов его выполнения. Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом “точка с запятой”. Возможно использование символа * (звездочка) в качестве шаблона (wildcard).
Include – только процессы и пути реестра, перечисленные в этом поле, будут выводиться в списке выходных данных Regmon.
Exclude – процессы и пути реестра, перечисленные в этом поле, не будут выводиться в списке выходных данных Regmon.
В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.
В нижней части окна настройки фильтров имеется несколько флажков ( checkboxes ) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.
Log Opens – выводить данные об операциях, связанных с открытием или закрытием ключей.
Log Reads – выводить данные об операциях чтения из реестра ( QueryKey и QueryValue ).
Log Writes -выводить данные об операциях записи в реестр ( SetValue ).
Log Errors – выводить данные об операциях, завершившихся с ошибкой . Надо учитывать, что ошибки при обращении к реестру далеко не всегда говорят о какой-либо проблеме с реестром, а чаще всего вызваны логикой работы процесса, обращающегося к реестру.
Log Successes – выводить данные об операциях, выполненных успешно .

Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Regmon Filters &nbsp &nbsp На практике, для фильтрации выводимых данных, удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке

Include Process и Include Path – добавить в поле Include процесс или путь, отображаемый в текущей строке.
Exclude Process и Exclude Path – исключить из выходных данных Regmon процесс или путь, отображаемый в текущей строке.

Практика применения утилиты Regmon .

&nbsp &nbsp Для освоения работы с Regmon, проще всего начать с использования перехвата обращений к реестру той программы, логика работы которой вам известна. Например – редактор реестра Windows regedit.exe . Для фильтрации можно взять следующие значения:
Include – regedit
Exclude – оставляете пустым
Поле Highlihgts тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват обращений к реестру.
После начала отслеживания, попробуйте открыть раздел реестра и посмотреть как выглядит последовательность обращений и какие операции выполнялись в процессе выполнения данного действия. Что происходит при чтении или записи отдельных значений.

После приобретения начальных навыков работы с Regmon, попробуйте определить, например, где и в каком виде в реестре хранится информация о домашней странице обозревателя Internet Explorer (IE) . В качестве дополнительной информации:

– желательно определить имя процесса для Include-фильтра, чтобы уменьшить объем ненужной информации.
– проще всего найти данную настройку в реестре Windows, если вручную изменить домашнюю страницу IE на известное вам значение.
– включать режим перехвата обращений к реестру лучше непосредственно перед выполнением изменения домашней страницы IE, чтобы уменьшить объем анализируемой информации, не относящейся к искомой проблеме.

Ну, и если возникнут затруднения, попробуйте задать в фильтре HighLights текст соответствующий выводимому значению домашней страницы в настройках обозревателя.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой “Поделиться”

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Regmon – отслеживание обращений к реестру.

Общие сведения о программе Regmon .

&nbsp &nbsp Regmon – программа от компании Sysinternals для наблюдения в реальном масштабе времени за выполнением обращений к системному реестру Windows. Авторы – Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

После приобретения Sysinternals компанией Майкрософт, в разделе Microsoft TechNet появился подраздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, Regmon , а также программа мониторинга обращений к файловой системе Windows Filemon были заменены одной программой Process Monitor , которая, при всех ее достоинствах, все же, менее удобна для выполнения именно мониторинга обращений к реестру . В среде операционных систем Windows 2000/XP многие пользователи по-прежнему предпочитают пользоваться утилитой Regmon. Если же, предполагается мониторинг обращений к реестру в среде операционных систем Windows Vista/Windows 7, то лучше перейти на страницу описания утилиты Process Monitor.

&nbsp &nbsp По своим функциональным возможностям последние версии Regmon мало чем отличаются друг от друга, по крайней мере, внешне. Здесь я разместил ссылки для скачивания версий Regmon, которыми пользовался лично.

Возможность скачивания последней версии Regmon с официального сайта на сегодняшний день отсутствует, и вместо нее предлагается скачать Process Monitor.
Более старая версия Regmon 6.06 работает в Windows 2000/XP, и даже может быть запущена в 32-битных Windows Vista/Windows 7. Правда, на практике выяснилось, что в этих ОС утилита работает нестабильно и может привести к зависанию системы.
Версия 7.04 также прекрасно работает в среде Windows 2K/XP, но при попытке запуска в Windows Vista и старше – выдаст сообщение о том, что система не поддерживается и предложит воспользоваться утилитой Process Monitor.

Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке regmon.hlp .

&nbsp &nbsp После запуска исполняемого файла regmon.exe , на экран выводится окно настроек фильтров перехвата обращений к реестру и после нажатия Ok программа начнет работу. О настройке фильтров Regmon подробно будет рассказано ниже.

Интерфейс программы состоит из 3-х частей – строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде таблицы, каждой строке которой соответствует запись об обращении к реестру. Для остановки процесса перехвата нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.

Двойной щелчок на отдельной строке вызовет запуск редактора реестра с переходом на раздел или ключ, соответствующий данной записи. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:

# – номер строки с начала сессии перехвата обращений к реестру .

Time – время обращения. Формат времени (часы или секундомер) можно задать с использованием меню Options- Clock Time . Для формата часов можно установить точность отображения времени с помощью – Options – Show Milliseconds
Process – имя и идентификатор процесса (PID), который вызвал обращение к реестру. Например – svchost.exe:792 – к реестру обращался процесс svchost.exe, идентификатор PID которого равен 792.

Request – тип запроса. Типы запросов отслеживаемые regmon:

OpenKey – Процесс открывает ключ для дальнейших операций над ним.
CloseKey – Процесс закрывает ключ. Для любых обращений к ключу реестра сначала всегда выполняется открытие ключа, а в конце работы с ним – закрытие
CreateKey – Процесс выполняет создание нового ключа реестра.
DeleteKey – Процесс выполняет удаление ключа реестра.
DeleteValueKey – Процесс выполняет удаление значение из ключа реестра.
EnumerateKey – С помощью этого запроса процесс определяет наличие и имена подключей данного ключа. Программа циклически выполняет запрос EnumerateKey до тех пор, пока не будут прочитаны все подключи.
EnumerateValue – С помощью этого запроса определяется значения ключа. Программа циклически выполняет запрос EnumerateValue до тех пор, пока не будут получены все значения ключа.
SetValue – Процесс создает новое значение ключа, или изменяет данные, которые содержат значение по указанному пути в реестре..
QueryKey – Процесс считывает информацию о ключе по указанному пути.
QueryValue – Процесс считывает данные ключа.
LoadKey – Процесс выполняет загрузку куста реестра (hiev).
UnloadKey – Процесс выполняет выгрузку куста реестра.

Path – путь к ключу реестра или обрабатываемому значеню ключа.

Result – Результат выполненного с реестром действия :

SUCCESS – выполнено успешно
NOTFOUND – Ключ или значение не найдено. Данный результат встречается довольно часто и как правило не является ошибкой. Обычно – это признак поиска процессом конкретных данных в реестре.
BUFOVRFLOW – Переполнение буфера. Программа запросила в реестре данные, которые должна получить в буфер определенного объема, но данные в буфер не помещаются. Во многих случаях, размер получаемых из реестра данных заранее неизвестен, поэтому многие приложения инициируют зарос к реестру с помощью функции, одно из значений которой установлено в 0 , и если запрашиваемое значение существует, то функция возвращает требующийся размер буфера с признаком BUFOVRFLOW. Поэтому этот результат, как правило, говорит не об ошибке, а о попытке приложения определить размер буфера для хранения данных из реестра.
ACCDENIED – Доступ запрещен. Обычно связано с недостатком полномочий для обращения к реестру по указанному пути.
NOMORE – программе необходимо было получить список вложенных ключей для указанного пути и выполнялось их перечисление по одному. Когда ключей или значений не осталось, был сформирован результат NOMORE
Other – дополнительная информация.

Информация, детализирующая конкретный тип запроса и результат его выполнения. Это могут быть данные, полученные из значения ключа, права доступа, найденные подключи.

Access – желательные права доступа. Наиболее часто используется Access:0x20019 – максимально разрешенный доступ.
SubKeys – после успешного выполнения запроса QueryKeys указывается количество подключей для данного ключа.
“text” – текстовое значение. Обычно данные, хранящиеся в строковых значениях (данные типа STRING)
0xN – шестнадцатеричное значение. (Данные типа DWORD)
Name: – текстовое имя ключа.
XX XX XX XX – шестнадцатеричные числа для двоичных значений (данные типа BINARY)

Основное меню Regmon .

&nbsp &nbsp Большинство пунктов основного меню утилиты Regmon продублированы в виде значков панели инструментов (Toolbar). Наиболее часто используемые действия можно выполнить с использованием комбинаций клавиш, которые указаны в названии пункта. Например – “Capture Events : CTRL+E”. Нажатие CTRL+E изменит режим перехвата событий (включит, если он был выключен, или наоборот, выключит, если был включен)

Пункты основного меню File

Load – открыть из файла ранее сохраненный отчет и просмотреть его
Save – сохранить содержимое окна в файл отчета .
Save As – выбрать другое расположение и имя для файла отчета
Process Properties – свойства процесса, инициировавшего обращение к реестру. (исполняемый файл, путь, параметры командной строки и т.п.)
Exit – завершить работу Regmon
Capture Events – CTRL+E – включить/выключить перехват обращений к реестру.

Пункты основного меню Edit

Copy – скопировать в буфер обмена выделенные строки.

Delete – удалить выделенные строки.
Include Process – добавить выделенный процесс в группу отслеживаемых
Exclude Process – исключить выделенный процесс из группы отслеживаемых
Include Path – добавляет путь из выделенной строки в список отслеживаемых
Exclude Path – исключить путь из выделенной строки из списка отслеживаемых. Find – поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.

Regedit Jump – быстрый переход в редактор реестра Windows Regedit, и открытие ключа , соответствующего указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.
Clear Display – очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.

Пункты основного меню Options

Font – выбор шрифта для окна
Highlight Colors – выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых (наиболее интересных для анализа). Можно задать цвет фона (BG) и текста (FG) выбрав нужный цветовой элемент и нажав кнопку Select под свои предпочтения.
Filter/Highlight – определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах – ниже по тексту.
History Depth – максимальное число перехватываемых событий. (0 – без ограничений).
Auto Scroll – включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.
Clock Time – переключение формата времени (часы или секундомер)
Show Milliseconds – дополнительно в значении времени показывать миллисекунды.
Always On Top – окно программы всегда поверх всех остальных окон

Log Boot – отслеживать обращения к реестру в процессе загрузки Windows. После выбора этого пункта меню, программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:

&nbsp &nbsp После перезагрузки, в корневом каталоге системы (C:Windows) будет создан файл Regmon.log с данными мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки. Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, поэтому все обращения к реестру, произошедшие до его старта, не будут отслежены. Просмотр журнала мониторинга можно выполнить с использованием меню File – Open

Установка фильтров программы Regmon .

По умолчанию, утилита Regmon настроена на вывод информации об обращениях к реестру Windows, выполняемых всеми процессами и приложениями, но в программе предусмотрена возможность фильтровать выходные данные. Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Regmon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L

Фильтры позволяют ограничить вывод данных Regmon исходя из имени процесса, пути в реестре, типа запроса и результатов его выполнения. Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом “точка с запятой”. Возможно использование символа * (звездочка) в качестве шаблона (wildcard).
Include – только процессы и пути реестра, перечисленные в этом поле, будут выводиться в списке выходных данных Regmon.
Exclude – процессы и пути реестра, перечисленные в этом поле, не будут выводиться в списке выходных данных Regmon.
В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.
В нижней части окна настройки фильтров имеется несколько флажков ( checkboxes ) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.
Log Opens – выводить данные об операциях, связанных с открытием или закрытием ключей.
Log Reads – выводить данные об операциях чтения из реестра ( QueryKey и QueryValue ).
Log Writes -выводить данные об операциях записи в реестр ( SetValue ).
Log Errors – выводить данные об операциях, завершившихся с ошибкой . Надо учитывать, что ошибки при обращении к реестру далеко не всегда говорят о какой-либо проблеме с реестром, а чаще всего вызваны логикой работы процесса, обращающегося к реестру.
Log Successes – выводить данные об операциях, выполненных успешно .

Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Regmon Filters &nbsp &nbsp На практике, для фильтрации выводимых данных, удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке

Include Process и Include Path – добавить в поле Include процесс или путь, отображаемый в текущей строке.
Exclude Process и Exclude Path – исключить из выходных данных Regmon процесс или путь, отображаемый в текущей строке.

Практика применения утилиты Regmon .

&nbsp &nbsp Для освоения работы с Regmon, проще всего начать с использования перехвата обращений к реестру той программы, логика работы которой вам известна. Например – редактор реестра Windows regedit.exe . Для фильтрации можно взять следующие значения:
Include – regedit
Exclude – оставляете пустым
Поле Highlihgts тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват обращений к реестру.
После начала отслеживания, попробуйте открыть раздел реестра и посмотреть как выглядит последовательность обращений и какие операции выполнялись в процессе выполнения данного действия. Что происходит при чтении или записи отдельных значений.

После приобретения начальных навыков работы с Regmon, попробуйте определить, например, где и в каком виде в реестре хранится информация о домашней странице обозревателя Internet Explorer (IE) . В качестве дополнительной информации:

– желательно определить имя процесса для Include-фильтра, чтобы уменьшить объем ненужной информации.
– проще всего найти данную настройку в реестре Windows, если вручную изменить домашнюю страницу IE на известное вам значение.
– включать режим перехвата обращений к реестру лучше непосредственно перед выполнением изменения домашней страницы IE, чтобы уменьшить объем анализируемой информации, не относящейся к искомой проблеме.

Ну, и если возникнут затруднения, попробуйте задать в фильтре HighLights текст соответствующий выводимому значению домашней страницы в настройках обозревателя.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой “Поделиться”