Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» - до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)
А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st
,
это Process Monitor
от Sysinternals
- это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂) И спрятать какие либо движения от этой утилиты, при правильной ее настройке - крайне затруднительно. (Хотя возможно, знаю как но не скажу - ибо нехер)
PS: Единственное - внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки - отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).
Программы для Windows
SysTracer Pro для Windows (Portable)
SysTracer – утилита, способная отслеживать всевозможные изменения операционной системы. Изначально программа сканирует и анализирует ОС, а затем предлагает пользователю отчет о найденных изменениях, внесенных в систему программами и их установщиками. SysTracer чаще всего используется в кругах опытных пользователей, поскольку отчеты, составляемые программой, будут понятны далеко не каждому.
SysTracer эффективна не только в процессе отслеживания поведения одного конкретного установщика, но и в процессе анализа работы приложений и системы в целом. Мониторинг изменений в операционной системе можно осуществлять многократно. Также пользователь получает возможность отследить изменения в определенный временной отрезок.
Программа работает по достаточно простому алгоритму. Изначально делается снимок реестра и всей файловой системы ОС. Как только пользователь устанавливает новое приложение, SysTracer вновь делает снимок и анализирует изменения, опираясь на разницу двух снимков. Сканирование, осуществляемое утилитой, можно дополнительно настраивать (есть возможность исключить отдельные файлы, папки, ключи реестра и подобное). Вы можете делать снимки в отдельные дни и сравнивать извинения в необходимый для вас временной отрезок, например, с 15го по 20е число и т.д.
После инсталляции и запуска инструмента вы увидите перед собой рабочее окно, в котором имеются шесть основных вкладок: Снимки, Реестр, Файлы, Приложения, Удаленное сканирование и Помощь.
Во вкладке «Снимки» можно совершать различные операции со снимками, например, создавать, переименовывать, удалять или сравнивать их. Привлекает внимание возможность экспорта снимков в веб-формате или snp-расширении. Более того, именно здесь пользователи настраивают параметры и просматривают свойства снимков. В «Реестре» предлагается изучение одного снимка реестра или сравнение двух. Пользователь может более детально изучить состояние ключей разделов. В SysTracer довольно просто определять изменения благодаря цветной маркировке. Например, зеленым цветом будут подсвечены новые элементы, синим цветом – модифицированные, красным – удаленные файлы, приложения, компоненты реестра, черным – неизмененные, а серым – те элементы, которые не сканировались.
Скачать SysTracer – это получить невероятно удобный инструмент на ПК. Загрузить софт можно посредством ссылки ниже этого обзора.
Программа просмотра изменений реестра после установки программ
Вы никогда не задумывались, а что именно изменяют устанавливаемые программы на ваш компьютер? Какие именно изменения они вносят в системный реестр Windows и системные файлы? И вам никогда не приходилось сравнивать две вроде бы похожие системы?
Конечно, такие вопросы возникают только тогда, когда на это есть причины. Например, две вроде бы одинаковые системы по разному реагируют на возникновение одного и того же события. Или, например, вы стали замечать, что после установки программы, ваш компьютер начинает странно себя вести: медленная загрузка, зависания системы при определенных действиях и так далее.
Для поиска ответов на эти и другие вопросы, Microsoft выпустила специальный инструмент под названием «Windows System State Analyzer». Программа входит в состав пакета «Windows Software Certification Toolkit», который не так уж и просто найти. Учтите, что программе требуется «.NET Framework 2.0». Утилита поставляется в 32-разрядной и 64-разрядной версиях и ее можно использовать для всех текущих версий Windows. Найти подробное описание и ссылку на скачивание вы можете найти по этой ссылке на блог Microsoft (для перевода страницы на русский язык, в правой части странице перейдите к блоку «Перевести эту страницу» и выберите нужный язык; перевод, конечно, не совсем литературный, но, тем не менее, его достаточно для нормального восприятия текста).
В конце статьи блога Microsoft вы увидите две ссылки на загрузку файла под названием «Server Logo Program Software Certification Tool» — x86 для 32-разрядных систем и x64 для 64-разрядных систем. Не пугайтесь названия, во время установки выберите выборочную установку, и уже там, среди устанавливаемых компонентов, выберите «System State Analyzer». На рисунке ниже показано диалоговое окно для выбора установки только анализатора.
Примечание : Вы так же можете установить «Windows System State Monitor», который позволяет запускать мониторинг изменений в реальном времени.
В статье блога Microsoft достаточно подробно описывается, как именно необходимо использовать анализатор. Конечно, если вы технически подкованы, то вы и сами быстро разберетесь в том, как утилита действует. Учтите, что создание первого снимка системы может занять некоторое время, особенно если вы решите контролировать все изменения на вашем компьютере.
Тем не менее, вам не обязательно выбирать все пункты, вы можете включить в анализ только те файлы и ключи реестра, которые считаете нужным. Пример использования вы можете увидеть на следующем рисунке:
Теперь вы сможете узнать обо всем том, что происходит на вашем компьютере.
ida-freewares.ru
Что лучше: слежение в реальном времени или снимки системы при установке программ?
Существует 2 подхода к слежению за инсталляциями программ (для последующей чистой очистки их данных). Первый, достаточно старый — это использование снимков реестра и файловой системы до и после установки, потом их сравнение. Второй, который используется в Uninstall Tool — мониторинг изменения в реальном режиме используя Монитор Установки ПО. Второй способ является самым прогрессивным по следующим очевидным причинам:
Р
еестр Windows
является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она . Эта небольшая портативная утилита от Nirsoft
позволяет производить наблюдение за работой установленных на компьютере программ.
А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в чаще всего завершается ошибкой.
П римечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию , даже на 64-битной системе.
Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок . Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG .
Режима отображения в два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.
В этой статье показаны действия, с помощью которых вы сможете стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.
Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы»
. Это обычно происходит из-за того что у группы «Администраторы»
нет соответствующих разрешений (прав) на запись в этот раздел реестра. Есть несколько причин, почему вы не можете редактировать раздел реестра:
■ Группа «Администраторы»
является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы»
полные права.
■ Владельцем раздела является системная служба TrustedInstaller
. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.
■ Владельцем раздела является системная учетная запись «Система» TrustedInstaller .
Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется
При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.
Рассмотрим первый пример
, когда группа «Администраторы»
является владельцем раздела, но не имеет полных прав на него:
1
Разрешения...
2
. Выделите группу «Администраторы»
:
Если доступен флажок Полный доступ , установите его и нажмите кнопку ОК . Этого может оказаться достаточно, если группа является владельцем раздела.
Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.
В окне Разрешения для группы нажмите кнопку Дополнительно
В следующем окне нажмите ссылку Изменить введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК
Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК
Выделите группу «Администраторы» , установите флажок Полный доступ , нажмите кнопку OK
Теперь у вас есть полный доступ к разделу реестра и вы можете редактировать все его параметры.
Третий пример , когда владельцем раздела является системная учетная запись «Система» . В этом случае действия будут такими же, как и с TrustedInstaller .
Возвращение исходных прав и восстановление владельца
В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller
.
1
. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения...
2 . В окне Разрешения для группы нажмите кнопку Дополнительно
Нажмите кнопку OK
5 . В окне Разрешения для группы выделите группу «Администраторы» , снимите флажок Полный доступ , нажмите кнопку OK
Исходные права и владелец раздела реестра восстановлены.
■ Если владельцем раздела являлась учетная запись Система
(в английской варианте System
), то вместо
NT Service\TrustedInstaller
введите Система
(в английской варианте System
).
Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.
Как отследить изменения в реестре Windows
Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.
Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.
Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:
fc D:/1.reg D:/2.reg > D:/compare.log
Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.
Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.
Regshot
Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».
Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).
Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.
Registry Live Watch
Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.
Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.
CRegistry Comparison
Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.
В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре - нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.
Отследить изменения в реестре
Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.
Скриншоты программы RegFromApp
Официальный сайт:
http://www.nirsoft.net
Операционные системы:
32,64 Windows XP/Vista/7/8
Поддерживаемые языки:
русский
Версия:
1.32
Лицензия:
freeware
(бесплатная
)
Размер файла 107 Кб
Еще интересные программы:
- СмартЛомбард – первая российская программа, позволяющая оптимизировать процессы управления ломбардным бизнесом