RegFromApp on utiliit Windowsi registri muudatuste jälgimiseks. Registris muudatuste tegemine REG-faili abil Kuidas teha muudatusi USR-is – põhidokumendid
On olemas spetsiaalne utiliit SysTracer, mis on spetsiaalselt loodud süsteemi muutuste jälgimiseks, võrreldes kahte süsteemi hetktõmmist - enne ja pärast. Selle tulemusena saame andmeid muudatuste kohta, mis on esitatud mugaval kujul kolmes kategoorias "Registry", "Failid", "Muud sätted" (pole rühmapoliitikad, süsteemi utiliitide marsruut ehk netsh)
(Ausalt öeldes ütlen teile, et see ei kogu kõike, kuigi enamikul juhtudel piisab)
Ja kui "võitlete kaitset kurjaga", siis nad kasutavad mingeid nippe, mida tavalise jäljega valgustada ei saa :)
Vastasel juhul oleks kõik väga lihtne, sel juhul kõige kasulikum tööriist, milles osalejat toetan l0calh0st,
See Protsessi monitor alates Sysinternals- see on täpselt see, mida vajate. (Need tüübid kasutavad ilmselt dokumenteerimata võimalusi, Mark Russinovitš teab palju 🙂) Ja selle utiliidi kõigi liigutuste peitmine, kui see on õigesti konfigureeritud, on äärmiselt keeruline. (Kuigi see on võimalik, ma tean, kuidas, aga ma ei ütle teile - sest ma ei hooli)
PS: Ainus asi on hoolikalt lugeda filtreerimist puudutavat dokumentatsiooni, kuna Protsessi monitor algselt logib kõik sündmused. Esiteks peate selle sihtima installija protsessi ID-le, samuti (kui seda installiprotsessi ajal ei kasutata - keelake võrguprügi; selles on palju "prügi", mis muudab selle väga keeruliseks aru saama).
Programmid Windowsile
SysTracer Pro Windowsile (kaasaskantav)
SysTracer– utiliit, mis suudab jälgida igasuguseid operatsioonisüsteemi muudatusi. Algselt skannib ja analüüsib programm OS-i ning seejärel pakub kasutajale aruannet programmide ja nende installijate poolt süsteemis tehtud muudatuste kohta. SysTracerit kasutatakse kõige sagedamini kogenud kasutajate seas, kuna programmi loodud aruanded pole kõigile arusaadavad.
SysTracer on efektiivne mitte ainult ühe konkreetse installija käitumise jälgimise protsessis, vaid ka rakenduste ja kogu süsteemi toimimise analüüsimisel. Operatsioonisüsteemi muudatusi saab jälgida mitu korda. Kasutaja saab ka võimaluse jälgida muutusi teatud ajaperioodi jooksul.
Programm töötab üsna lihtsa algoritmi järgi. Esialgu tehakse registrist ja kogu OS-i failisüsteemist hetktõmmis. Niipea, kui kasutaja installib uue rakenduse, teeb SysTracer uuesti hetktõmmise ja analüüsib muudatusi kahe hetktõmmise erinevuse põhjal. Utiliidi läbiviidavat skannimist saab veelgi kohandada (võimalik välistada üksikuid faile, kaustu, registrivõtmeid jne). Pildistada saab eraldi päevadel ja võrrelda vabandusi enda jaoks vajalikus ajavahemikus, näiteks 15.-20. jne.
Pärast tööriista installimist ja käivitamist näete enda ees töötavat akent, millel on kuus peamist vahekaarti: Pildid, register, failid, rakendused, kaugskannimine ja spikker.
Vahekaardil “Pildid” saate piltidega teha erinevaid toiminguid, näiteks neid luua, ümber nimetada, kustutada või võrrelda. Tähelepanu köidab piltide eksportimise võimalus veebivormingus või snp-laiendis. Lisaks saavad kasutajad siin sätteid konfigureerida ja hetktõmmise atribuute vaadata. "Register" pakub võimalust uurida ühte registri hetktõmmist või võrrelda kahte. Kasutaja saab partitsioonivõtmete olekut üksikasjalikumalt uurida. SysTracer muudab muudatuste tuvastamise tänu värvikoodiga märgistustele üsna lihtsaks. Näiteks uued elemendid tõstetakse esile rohelisega, muudetud sinisega, kustutatud failid, rakendused, registrikomponendid punasega, muutmata elemendid mustaga ja need elemendid, mida ei kontrollitud halliga.
Laadige alla SysTracer– on saada arvutisse uskumatult mugav tööriist. Tarkvara saate alla laadida, kasutades selle ülevaate all olevat linki.
Programm registrimuudatuste vaatamiseks pärast programmide installimist
Kas olete kunagi mõelnud, mida täpselt teie arvutisse installitud programmid muudavad? Milliseid muudatusi nad Windowsi registris ja süsteemifailides täpselt teevad? Kas olete kunagi võrrelnud kahte näiliselt sarnast süsteemi?
Sellised küsimused tekivad muidugi ainult siis, kui selleks on põhjust. Näiteks kaks pealtnäha identset süsteemi reageerivad sama sündmuse toimumisele erinevalt. Või näiteks hakkasite märkama, et pärast programmi installimist hakkab teie arvuti kummaliselt käituma: aeglane laadimine, süsteem hangub teatud toimingute ajal jne.
Nendele ja teistele küsimustele vastuste leidmiseks on Microsoft välja andnud spetsiaalse tööriista nimega "Windows System State Analyzer". Programm on osa Windowsi tarkvara sertifitseerimise tööriistakomplektist, mida pole nii lihtne leida. Pange tähele, et programm nõuab ".NET Framework 2.0". Utiliit on saadaval 32- ja 64-bitistes versioonides ning seda saab kasutada kõigi Windowsi praeguste versioonide jaoks. Üksikasjaliku kirjelduse ja allalaadimislingi leiate sellelt Microsofti ajaveebi lingilt (lehe tõlkimiseks vene keelde minge lehe paremas servas plokki "Tõlgi see leht" ja valige soovitud keel; tõlge, muidugi ei ole täielikult kirjanduslik, kuid siiski piisab teksti normaalseks tajumiseks).
Microsofti ajaveebi artikli lõpus näete kahte linki faili nimega "Server Logo Program Software Certification Tool" allalaadimiseks – x86 32-bitiste süsteemide jaoks ja x64 64-bitiste süsteemide jaoks. Ärge kartke nime; installimise ajal valige kohandatud installimine ja valige installitud komponentide hulgast "System State Analyzer". Alloleval joonisel on dialoogiboks ainult analüsaatori installimise valimiseks.
Märge: Saate installida ka “Windows System State Monitor”, mis võimaldab muudatusi reaalajas jälgida.
Microsofti ajaveebi artiklis kirjeldatakse üksikasjalikult, kuidas analüsaatorit täpselt kasutada. Muidugi, kui olete tehniliselt asjatundlik, saate ise kiiresti aru, kuidas utiliit töötab. Pange tähele, et esimese süsteemihetketõmmise tegemine võib võtta veidi aega, eriti kui otsustate jälgida kõiki arvutis tehtud muudatusi.
Siiski ei pea te kõiki üksusi valima, analüüsi saate kaasata ainult need failid ja registrivõtmed, mida peate vajalikuks. Kasutamise näidet näete järgmisel joonisel:
Nüüd saate teada kõigest, mis teie arvutis toimub.
ida-freewares.ru
Mis on parem: reaalajas jälgimine või süsteemi hetktõmmised programmide installimisel?
Programmide installimise jälgimiseks (nende andmete hilisemaks puhtaks kustutamiseks) on 2 lähenemisviisi. Esimene, üsna vana, on registri ja failisüsteemi hetktõmmiste kasutamine enne ja pärast installimist ning seejärel nende võrdlemine. Teine, mida kasutatakse desinstallitööriistas, jälgib muudatusi reaalrežiimis tarkvara installimonitori abil. Teine meetod on kõige progressiivsem järgmistel ilmselgetel põhjustel:
Selles artiklis kirjeldatakse samme registrivõtme omandiõiguse saamiseks ja täielike juhtimisõiguste saamiseks ning algsete õiguste tagastamiseks ja algse omaniku taastamiseks.
Mõned Windowsi registri jaotised pole redigeerimiseks saadaval, isegi kui teie konto kuulub rühma "Administraatorid". Tavaliselt juhtub see seetõttu, et rühm "Administraatorid" Sellele registrivõtmele kirjutamiseks pole asjakohaseid õigusi (õigusi). On mitu põhjust, miks te ei saa registrivõtit redigeerida.
■ Rühm "Administraatorid" on jaotise omanik, kuid tal ei ole sellele täielikke õigusi. Sel juhul piisab lihtsalt rühmale väljastamisest "Administraatorid" täielikud õigused.
■ Sektsiooni omanik on süsteemiteenus Usaldusväärne paigaldaja. Sel juhul peate esmalt saama jaotise omanikuks ja seejärel andma oma rühmale täielikud õigused, just sellist näidet käsitletakse selles artiklis.
■ Sektsiooni omanik on süsteemikonto "Süsteem" Usaldusväärne paigaldaja.
Ülejäänud artiklis kirjeldatakse, kuidas teha registris muudatusi, kui teil pole vastavaid õigusi, samuti kuidas taastada algsed õigused ja miks seda on vaja teha. Enne süsteemiregistri redigeerimist on soovitatav
Kui muudate registris mõnda parameetrit ja teil pole piisavalt õigusi, kuvatakse tõrketeade.
Mõelgem esimene näide kui rühm "Administraatorid" on jaotise omanik, kuid tal pole sellele täielikke õigusi:
1
Load...
2
. Valige rühm "Administraatorid":
Kui märkeruut on saadaval Täielik juurdepääs, installige see ja klõpsake nuppu Okei. Sellest võib piisata, kui grupp on jaotise omanik.
Kui märkeruut pole saadaval või näete tõrketeadet nagu alloleval ekraanipildil, liikuge edasi teise näite juurde.
Aknas Grupi õigused klõpsake nuppu Lisaks
Järgmises aknas klõpsake linki Muuda Sisestage oma kohaliku konto nimi või Microsofti konto e-posti aadress, kontrollige nime ja klõpsake nuppu Okei
Märkige ruut Asendage allkonteinerite ja objektide omanik akna ülaosas ja klõpsake nuppu Okei
Valige rühm "Administraatorid", märkige ruut Täielik juurdepääs, vajuta nuppu Okei
Nüüd on teil täielik juurdepääs registrivõtmele ja saate muuta kõiki selle sätteid.
Kolmas näide kui partitsiooni omanik on süsteemikonto "Süsteem". Sel juhul on toimingud samad, mis rakendusega Usaldusväärne paigaldaja.
Algõiguste tagastamine ja omandiõiguse taastamine
Süsteemi turvalisuse huvides peate pärast registrivõtme vajalike parameetrite muutmist tagastama algsed juurdepääsuõigused ja taastama süsteemikonto jaotise omanikuna. Usaldusväärne paigaldaja.
1
. Paremklõpsake registrivõtit ja valige menüüst Load...
2 . Aknas Grupi õigused klõpsake nuppu Lisaks
Klõpsake nuppu Okei
5 . Aknas Grupi õigused valige rühm "Administraatorid", tühjendage märge Täielik juurdepääs, vajuta nuppu Okei
Registrivõtme algsed õigused ja omanik on taastatud.
■ Kui jaotise omanik oli konto Süsteem(ingliskeelne versioon Süsteem), siis selle asemel
NT Service\TrustedInstaller sisenema Süsteem(ingliskeelne versioon Süsteem).
Windowsi operatsioonisüsteemi registriharud salvestavad nii süsteemi enda kui ka muu arvutisse installitud tarkvara sätteid ja parameetreid. Mõnikord peate välja selgitama, milliseid registriharusid käivitatud programm või selle installijaotus muudab. Selleks, et teada saada, mida registris on muudetud, peate kasutama spetsiaalset programmi, mis jälgib süsteemi registri parameetrite olekut. Programm RegFromApp jälgib reaalajas töötava programmi (protsessi) tehtud muudatusi süsteemiregistris ning kajastab registriharu ja selles muudetud väärtusi.
Jälgige registris tehtud muudatusi
Et teada saada, mida konkreetne programm registris muudab, peate käivitama RegFromApp ja valima kõigi töötavate protsesside loendist protsessi, mida soovite jälgida. Niipea, kui kasutajat huvipakkuv programm siseneb registrisse ja muudab selle filiaalide väärtusi, kajastab RegFromApp kohe registriharu, milles muudatused toimuvad, ja näitab muudetud väärtusi. Registris tehtud muudatused saab salvestada registrifaili (*.reg). Utiliit RegFromApp toetab parameetritega käsurealt käivitamist.
Programmi RegFromApp ekraanipildid
Ametlik sait: http://www.nirsoft.net
OS:
32.64 Windows XP/Vista/7/8
Toetatud keeled: vene keel
Versioon: 1.32
Litsents:vabavara (tasuta)
Faili suurus 107 KB
Veel huvitavaid programme:
- SmartPawnshop on esimene Venemaa programm, mis võimaldab optimeerida etturi ärijuhtimise protsesse
Kuidas teha Windowsi registri hetktõmmised võrrelda ja jälgida muutusi?
Registrimuudatusi saate jälgida erineval viisil, käsitsi või spetsiaalsete programmide abil. Selles artiklis räägin teile, kuidas seda programmide abil teha, mis on minu arvates palju mugavam.
Nagu lubasin, alustame artiklis “” selle väljaandega artiklite sarja, mis on pühendatud pahavara analüüsile. Nendes artiklites räägin tööriistadest, mis võimaldavad teil uurida viiruseid ja nende käitumist.
Tänane artikkel pole kasulik mitte ainult viiruseuurijatele, vaid ka tavakasutajatele, kes soovivad arvuti kasutamises rohkem areneda. Ma räägin teile, kuidas kasutada programmi Regshot Windowsi registrist hetktõmmiste tegemiseks, et võrrelda ja jälgida muudatusi.
Mis on Windowsi register?
Register on Microsoft Windowsi operatsioonisüsteemi üks peamisi osi. Sellest hoolimata kasutab enamik kasutajaid operatsioonisüsteemi ega tea registri olemasolust.
Kogenematu kasutaja ei saa isegi aru, et kõigi parameetrite muutmisel: programmide installimisel, Windowsi enda ja sellega ühendatud seadmete muutmisel tehakse kõik muudatused Windowsi registris.
Ühesõnaga register on teatud mõttes operatsioonisüsteemi tuum, kuhu salvestatakse kõik seadistused ja muudatused.
Miks analüüsida registrit ja jälgida muudatusi?
Oletame, et te pole enam lihtsalt passiivne arvutikasutaja ja soovite teada saada, mis toimub uue programmi installimise ajal kulisside taga või analüüsida viiruse käitumist. Selleks, et teada saada, milliseid muudatusi kogu tarkvara teeb, vajate registri jälgimise programme. Üks selline tööriist on RegShot.
Registri hetktõmmis RegShoti abil
RegShot on väike tasuta ja avatud lähtekoodiga programm, mis võimaldab teha registrist hetktõmmiseid ja neid võrrelda. Kõik registris toimunud muudatused saab salvestada teksti- või html-faili.
Laadige alla RegShot
Programmi RegShot saate otselingi kaudu tasuta alla laadida.
RegShoti installimine
Pärast programmi allalaadimist pakkige arhiiv lahti ja minge failidega kausta. Kaustas on mitu faili.
Käivitatava faili valimisel pöörake tähelepanu oma operatsioonisüsteemi bittusele.
RegShoti seadistamine ja kasutamine
Pärast käivitamist ilmub väike programmiaken, milles muudame kohe naha keele vene keeleks. Samuti on olemas ukraina liidese keel.
Nüüd asume tööle. Registrimuudatuste jälgimine algab registrist esimese hetktõmmise tegemisest. Klõpsake hetktõmmise nupul ja rippmenüüs näeme 3 valikut:
- Snapshot – ainult hetktõmmis
- Snapshot + Save – registri hetktõmmis ja varukoopia
- Ava – avage registrist juba tehtud hetktõmmis
Valige vajalik valik. Minu näite puhul ei ole vaja registrit varundada, seega klõpsan nupul "Snapshot". Programm ärkab ellu ja hakkab looma esimest registri hetktõmmist. Akna allosas näete, kuidas numbrid muutuvad.
Kui numbrid peatuvad ja programm rahuneb, võite alustada tööd kolmanda osapoole programmide, installimise ja muuga.
Pärast lõpetamist klõpsake nuppu "Teine pilt" ja mõne sekundi pärast saate klõpsata nuppu "Võrdle".
Kui alguses oli väli “Tekst” märgitud, siis kuvatakse Notepadi tekstiredaktori aken, mis sisaldab täielikku registrimuudatuste aruannet.
Ma ei installinud ühtegi programmi, vaid muutsin Windowsi juhtpaneelis mõnda seadet. Nagu näete, salvestas utiliit Regshot kõik muudatused.
Tarkvara installimise ajal on aruanne loomulikult suurem.
Kui teil on vaja registrit uuesti analüüsida, klõpsake nuppu "Tühjenda" ja alustage otsast peale.
Nagu näete, on registrist hetktõmmise tegemine muudatuste jälgimiseks väga lihtne, eriti kui teil on käepärast õige programm. See on väga mugav, kui peate uurima, milliseid muudatusi programm installimise ajal registris teeb. Muide, sel viisil saate teada, millised registrielemendid vastutavad konkreetse Windowsi sätte eest.
Windows OS-i kasutamisel oleks hea mõte seda paremini tundma õppida. Võite alustada artikliga müstilisest failist, mida peate lihtsalt teadma!
See on kõik, sõbrad. Tulevikus uurime teisi tööriistu. Ja jah, ma ei unustanud, et lubasin anda üksikasjalikud juhised selle kohta, kuidas teha virtuaalses masinas tarkvara ja viiruste kontrollimiseks usaldusväärne isoleeritud labor. Seega olete teretulnud meie avalikele lehtedele
Personaalarvutite kasutajatel tekib mõnikord küsimus, kuidas pääseda juurde Windows 10 registrile. Tavaliselt kasutatakse seda andmebaasi varundamiseks, uute REG-failide loomiseks ja avamiseks ning paljudeks muudeks toiminguteks. Windows 10 kui uusim operatsioonisüsteem sisaldab registrit ühe põhikomponendina. See hierarhiline andmebaas sisaldab OS-i sätteid, rakenduse sätteid, seadme draiveri teavet, erinevaid kasutaja paroole ja muud olulist süsteemiteavet.
Uue programmi installimisel salvestatakse osa sellest registrifaili RegEdit.exe.
Windows 10 registrisse lisatava faili loomiseks ja redigeerimiseks vajate teatud oskusi. Enne muudatuste tegemist on oluline varundada kogu andmebaas. See võimaldab teil importida failist algsätted, kui midagi läheb valesti.
Kuidas luua uut faili
Kui soovite teada, kuidas registrit Windows 10-s avada, peate otsinguribale sisestama regedit. Seejärel paremklõpsake otsingutulemusel ja valige rippmenüüst "Ava administraatorina". Teise võimalusena võite vajutada Windowsi klahvi + R klahvikombinatsiooni, mis avab dialoogiboksi Käivita. Sellele väljale sisestage regedit ja klõpsake nuppu OK. Peate valima "Fail" ja "Ekspordi", seejärel sisestage nimi ja salvestage see. Saate salvestada kogu andmebaasi või valida konkreetse vahemiku. Eksporditud registrifailidele antakse vaikimisi automaatselt REG-laiend.
Registrifail on lihtne REG-laiendiga tekstidokument, mida saab vaadata rakenduse Notepad kaudu. Kui see on õigesti konfigureeritud, võite lihtsalt sellel klõpsata ja Windowsi registris muudatusi teha. Uue faili loomiseks võite avada Notepad ja sisestada vajaliku süntaksi. Peate tekstidokumendi oma arvutisse salvestama, seejärel paremklõpsake sellel ja muutke laiendiks REG. Pärast seda, kui teete failil topeltklõpsu, teeb see registris muudatusi. Näiteks võib selline dokument lubada teil DNS-teenuse automaatselt käivitada. Teenuse käsitsi käivitamiseks peate muutma andmete väärtuseks 00000003.
Selle keelamiseks muutke väärtuseks 00000004.
Kuidas muudatusi teha
Kasutajad, kes mõtlevad, kuidas Windows 10 registrit avada, peaksid teadma, et redaktorid võimaldavad teil praegustes failides muudatusi teha. Näiteks saate muuta oma brauseri avalehte. See võib olla kasulik, kui pahavara on saanud brauseri kontrolli alla, muutes soovitud veebisaidi külastamise keeruliseks. Esmalt avage redaktor, tippides otsinguribale regedit või kasutades Windows + R kombinatsiooni.
Klõpsake HKEY_CURRENT_USER kõrval olevat sümbolit „+” ja valige Tarkvara Microsoft Internet Explorer. Seejärel paremklõpsake nuppu Main ja valige Ekspordi, et salvestada fail sisselogitud kasutaja arvutisse. Pärast seda peate lihtsalt failil paremklõpsama, valima "Open with" ja "Notepad".
Ülemine rida "Windows 10 registri redigeerimine" ütleb operatsioonisüsteemile, et see dokument on RegEdit-fail. Järgmine rida on konfiguratsiooniandmed, mis ütlevad süsteemile, mida registris lisada ja muuta. Oma kodulehe muutmiseks kindlale veebisaidile (nt Microsoft) peate sisse logima:
- HKEY_CURRENT_USER.
- Tarkvara.
- Microsoft.
- Internet Explorer.
- Peamine.
Seejärel märkige akna paremas servas olev ruut ja klõpsake 2 korda nuppu Start Page. Sisestage jaotises Väärtuse andmed veebisaidi aadress ja klõpsake nuppu OK. Kui pärast muudatuste tegemist läheb midagi valesti, peate eksporditud failil topeltklõpsama, et lähtestada selle algsätted.
Kui desinstallite programmi, on võimalus, et mõnda seadet ei kustutata.
Programmi täielikuks eemaldamiseks peate selle registrist eemaldama. Selleks helistage toimetajale ja klõpsake HKEY_LOCAL_MACHINE kõrval olevat ikooni „+”. Seejärel klõpsake nuppu Tarkvara ja tuvastage programm, mida tuleb kustutada. Selleks paremklõpsake soovitud kirjel ja valige "Kustuta".
