Regshot что это за программа

Мониторинг реестра программой Regshot

Regshot что это за программа

05.01.

2015

Regshot — отличная утилита, которую ты можешь использовать для мониторинга ключей реестра реестра, которые изменяются во время инсталляций программ или изменений системных настроек, а так же это отличный набор инструментов для устранения неисправностей и контроля реестра. Мы подробно рассмотрим процедуру мониторинга реестра программой Regshot и снабдим статью пошаговым руководством к выполнению.

Проект Regshot

Regshot — проект с открытым исходным кодом (LGPL). Скачать Regshot можно с официального сайта проекта на SourceForge. Программа была разработана и представлена общественности в январе 2001 года. С тех пор программа была модифицирована и дополнена бесчисленное количество раз для улучшения функциональности и совместимости.

Цель этой программы — сравнение регистра в два периода времени: до и после любых системных изменений с помощью создаваемых снимков реестра.

Скачиваем и используем Regshot

В сети есть несколько разных зеркал для скачивания программы Regshot, но мы будем скачивать программу с официального сайта проекта Regshot на SourceForge.

Когда вы скачаете архив с программой и распакуете его, зайдите в папку с файлами из архива. Так как программа не требует установки, то запустить ее можно сразу, как портативную. В зависимости от разрядности вашей операционной системы (х86 или х64) откройте соответствующий исполняемый файл.

Лучше всего открывать программу в режиме администратора, для этого по клику правой клавишей выберем пункт «Запустить от имени Администратора».

Использование Regshot для отслеживания изменений в системе

Теперь, после запуска Regshot вы готовы проверить его. В первую очередь, после запуска Regshot, необходимо сделать первый снимок системы. Делается это по нажатию на кнопку «1st shot» и потом на кнопку «Shot». Обратите внимание, что файл по-умолчанию сохраняется в папку “C:UsersYOUR NAMEAppDataLocalTemp” в формате TXT, но вы можете изменить папку на любую удобную.

Теперь у вас готов первый снимок реестра Windows, давайте внесем изменения в открыв Панель управления. Перейдем в секцию «Оформление и персонализация» и «Сменить фон рабочего стола».

Теперь выберем любую фоновую картинку и сохраним изменения.

Теперь, после того как мы внесли изменения, пришло время создать второй снимок вашего реестра для просмотра изменений внесенных в систему. Для этого перейдем в программу Regshot и нажмем кнопку «2nd shot» и потом кнопку «Shot».

После того, как процесс создания второго снимка реестра завершится вы увидите. что внизу окна приложения цифры изменились. Давайте нажмем на кнопку «Compare» для сравнения двух снимков реестра.

Эта команда откроет окно Блокнота Windows со списком изменений в реестре.

Если вы прокрутите до конца текстового файла то увидите, что там описаны различные суммарные аспекты изменений в реестре, произошедших во время изменения настроек. Числа приведенные в этой статье могут отличаться на разных компьютерах.

Ключей добавлено: 8Значений добавлено: 36Ключей изменено: 25Общие изменения: 69 (это появляется в самом конце документа)

В этом примере мы выяснили какие и сколько изменений было внесено в реестр для того, чтобы поменять фоновую картинку рабочего стола Windows. Это будет полезно в случае, если вы решите изменять эти настройки вручную (либо еще как-то, в обход штатных средств Windows).

Мониторинг изменений в реестре при установке программы
Во втором примере мы будем устанавливать программу, для этого скачиваем программу Google Drive. Создайте первый снимок реестра перед установкой программы, предварительно удалив снимки созданные ранее.

После удаления старых снимков реестра создайте новый и установите Google Drive.

После завершения установки создайте второй снимок реестра программой Regshot.

Теперь мы можем сравнить два снимка реестра на предмет изменений в нем при установке программы Google Drive.

1. Ключей удалено: 82. Ключей добавлено: 2553. Значений удалено: 10604. Значений добавлено: 3995. Значений модифицировано: 93

6. Общие изменения: 1815

Естественно в список попадают и изменения не связанные с установкой программы, а произошедшие в период установки независимо от нее. Более правдивый список можно плучить изучив его подробнее.

Мониторинг изменений в реестре при удалении программы

Теперь мы удалим программу и отследим изменения в реестре. Для этого мы сделаем все по стандартному алгоритму. Мы удалим старые снимки. Создадим первый снимок и удалим программу, создадим второй снимок и сравним их. Наблюдаем результат:

1. Ключей удалено: 1412. Ключей добавлено: 93. Значений удалено: 4774. Значений добавлено: 255. Значений модифицировано: 422

6. Общие изменения: 1074

Нас уведомили о том, что инсталляция программы модифицировала 1815 ключей и значений, а деинсталляция только 1074 ключа и значения. Это потому, что процесс деинсталляции никогда не удаляет все ключи программы из реестра Windows.

Источник: https://pcask.ru/windows/monitoring-reestra-programmoj-regshot/

Примеры мониторинга системного реестра

Regshot что это за программа

Более половины всех пользователей ПК в какой-то момент задумываются об автоматизации настроек своей операционной системы. Всем известно, что в операционных системах Windows централизованным хранилищем для большинства настроек самой системы и установленных приложений является системный реестр.

В реестре хранятся сотни тысяч параметров, которые отвечают за различные настройки.

Зная, что в разделе HKEY_CURRENT_USER расположены настройки учетной записи пользователя, в HKEY_LOCAL_MACHINE – настройки компьютера, а раздел HKEY_CLASSES_ROOT отвечает за запуск необходимой программы при открытии файла с помощью проводника, область поиска необходимого параметра сокращается, хотя найти нужный параметр все равно очень сложно. Использовать твикеры реестра не рекомендуется, так как они могут записывать в реестре ненужные разделы и параметры, а поиск в интернете ничего не дает. В этом случае вам следует воспользоваться программами, предназначенными для мониторинга реестра. В этой статье речь пойдет о RegShot и Process Monitor – утилите Sysinternals, предназначенной для мониторинга операционной системы Windows, которая в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.

Использование программы RegShot

RegShot – это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения.

Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации.

Рассмотрим принципы работы этой утилиты на простом примере.

В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:

  1. Загрузите программу, перейдя по следующей ссылке, распакуйте содержимое архива и запустите файл regshot.exe;
  2. Перед тем как вы начнете вносить изменения в настройки браузера, сделайте первый снимок реестра, нажав на кнопку “1й снимок”;
  3. После того как первый снимок будет сделан, откройте настройки браузера (“Сервис” > “Свойства обозревателя” или введите inetcpl.cpl в поле поиска меню “Пуск” или в диалоге “Выполнить”). Перейдите на вкладку “Дополнительно”, на опции “Подчеркивать ссылки” установите переключатель на “Никогда” и нажмите на кнопку “Применить”;
  4. Вернитесь в программу RegShot и нажмите на кнопку “2й снимок” для создания снимка реестра с измененным параметром;

    Программа RegShot позволяет сохранять изменения реестра в текстовый и в HTML форматы. Для того чтобы выбрать формат отчетов, установите переключатель на нужной опции в разделе “Сохранить файл отчетов как:”.

    В утилите RegShot вы можете также указать путь для сохранения файлов. Для этого введите путь вручную в поле “Путь для сохранения” или воспользуйтесь кнопкой обзор для выбора папки при помощи диалогового окна “Обзор папок”.

    После того как второй снимок реестра будет доделан нажмите на кнопку “Сравнить”.

  5. По завершению сравнения снимков реестра откроется программа установленная по умолчанию, предназначенная для открытия выбранного вами типа файла. В данном случае, так как был выбран текстовый формат, отчет открывается в программе “Блокнот”. На следующем скриншоте выделены строки, отвечающие за изменение данной настройки.

После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.

Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.

Теперь, после того как изменения видны, можно написать reg-файл, отвечающий за данную настройку. Если вы боитесь сделать в reg-файле ошибку, зайдите в редактор реестра и внесите изменения. После этого экспортируйте изменения в reg-файл и в блокноте удалите все ненужные строки.

В данном случае должен получиться такой reg-файл:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] “Anchor Underline”=”no”

Если вам нужно найти сразу несколько параметров реестра, отвечающих за разные настройки, лучше всего находить эти параметры поочередно.

Использование программы Process Monitor

Если утилита RegShot предназначена только для фиксации изменений в системном реестре, то утилита Process monitor от Sysinternals, которая написана на основе утилит FileMon и RegMon, предназначена для мониторинга операционной системы Windows. Она в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. При помощи этой утилиты вы можете выполнять следующие действия:

  • отслеживать запуск и завершения работы процессов и потоков, включая информацию о коде завершения;
  • собирать данные о параметрах операций ввода и вывода;
  • устанавливать фильтры для отображения только нужной информации;
  • записывать в журнал все операции во время загрузки системы.

и многое другое.

В этой части статьи я расскажу только о том, как можно следить за изменениями системного реестра при помощи этой утилиты. На примере мы попробуем проследить за изменениями в реестре при изменении браузера, используемого по умолчанию. Для этого выполните следующие действия:

  1. Загрузите программу ProcessMonitor с сайта Sysinternals.com, распакуйте содержимое архива и запустите файл Procmon.exe. Для работы утилиты Process Monitor необходимо зайти под учетной записью, входящей в группу “Администраторы”;
  2. Перед запуском этой утилиты в первый раз отобразится диалоговое окно с лицензионным соглашением. Прочитайте его и нажмите на кнопку “Agree”;
  3. В случае появления запроса контроля учетных записей пользователей предоставьте подтверждение.
  4. В окне Process Monitor вы можете увидеть все изменения системы в режиме реального времени. Вы можете перетаскивать колонки, изменить их порядок и настроить отображение столбцов утилиты. Для этого в меню “Options” выберите команду “Select Columns” или нажмите правой кнопкой мыши на любом месте заголовка столбцов и в контекстном меню выберите команду “Select Columns”. В рамках этой статьи я не буду акцентировать внимание на значении выбираемых столбцов.

  5. По умолчанию, утилита Process Monitor следит за системными файлами, реестром, процессами, сетевой активностью, а также за событиями профилирования. Так как в этом примере нужно проследить только за системным реестром, оставьте активной только кнопку “Show Registry Activity”, как показано на следующем скриншоте:
  6. Даже после того, как вы оставите только мониторинг системного реестра, вам будет трудно разобраться во всех создаваемых записях. Для облегчения поиска нужного параметра реестра и его значения, вам нужно настроить фильтр. Чтобы открыть диалоговое окно фильтра, выполните одно из следующих действий:
    • В меню “Filter” выберите команду “Filter”;
    • Воспользуйтесь комбинацией клавиш Ctrl+L;
    • Нажмите на кнопку “Filter” на панели инструментов программы.

Диалоговое окно фильтра позволяет указывать атрибуты, которые будут отображаться или исключаться событиями, соответствующими значениям атрибутов. В этом примере нужно воспользоваться только тремя типами атрибутов:

  • EventClass – тип события, охватывающий один из основных классов событий (FileSystem, Network, Process, Profiling или Registry);
  • Operation – действия, которые выполняет система;
  • Process Name – имя процесса, за которым необходимо следить.

В этом примере будут использоваться только некоторые значения атрибута Operation. Краткое описание некоторых действий:

RegCloseKey – закрывает дескриптор указанного раздела реестра;

RegOpenKey – открывает дескриптор указанного раздела реестра;

RegCreateKey – создает дескриптор указанного раздела реестра;

RegQueryKey – возвращает значение параметров, связанных с открытым разделом реестра;

RegEnumKey – перечисляет подразделы указанного открытого раздела реестра;

RegDeleteKey – удаляет дескриптор указанного раздела реестра;

RegSetValue – изменяет значение указанного параметра реестра;

В диалоговом окне “Process Monitor Filter” для начала удалите все фильтры. Затем выполните следующие действия:

  • Из первого раскрывающегося списка выберите атрибут “EventClass”. Во втором раскрывающемся списке оставьте значение “is”. В третьем раскрывающемся списке выберите значение “File System”, а затем выберите “Exclude”. Нажмите на кнопку “Add”. Повторите эти действия для классов “Network”, “Process” и “Profiling”.
  • Из первого раскрывающегося списка выберите атрибут “Process Name”. Во втором раскрывающемся списке оставьте значение “is”. В третьем раскрывающемся списке введите имя процессов, за которыми нужно проследить. В этом примере мы будем следить за процессами iexplore.exe и opera.exe.
  • Из первого раскрывающегося списка выберите атрибут “Operation”. Во втором раскрывающемся списке оставьте значение “is”. В третьем раскрывающемся списке выберите значения, которые отображены на следующем скриншоте.

Также вместо того чтобы исключать некоторые действия, вы можете просто установить “Include” для действия “RegSetValue”.

После того как нужные фильтры будут выбраны, нажмите на кнопку “ОК”. Во время применения фильтров вы увидите следующий диалог:

Остановите мониторинг реестра до того как вам нужно будет проверять изменения. Для этого нажмите на кнопку “Capture” на панели инструментов, или воспользуйтесь комбинацией клавиш Ctrl+E. Очистите содержимое программы, нажав на кнопку “Clear” или при помощи комбинации клавиш Ctrl+X.

Если у вас установлен по умолчанию браузер Internet Explorer, откройте Opera и дождитесь появления диалога с предложением сделать его по умолчанию. После появления этого диалога перейдите в Process Monitor и включите мониторинг при помощи кнопки “Capture”. Снова перейдите в Opera и установите его браузером по умолчанию.

После выполнения этих действий вернитесь в Process Monitor и остановите мониторинг. Окно программы Process Monitor будет выглядеть примерно следующим образом:

Среди отобразившихся значений нетрудно заметить, что все изменения, которые относятся к установке браузера по умолчанию, хранятся в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Значение измененного параметра вы можете увидеть в столбце Details или открыв диалог свойств события:

В итоге получается следующий твик реестра:

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtm\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.http\UserChoice] “Progid”=”Opera.HTML” [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.https\UserChoice] “Progid”=”Opera.HTML”

Ссылки по теме

Источник: http://www.interface.ru/home.asp?artId=23413

Отслеживание изменений в реестре программой Regshot

Regshot что это за программа

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать  с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера.  Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать RegShot

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Авторы утилиты: XhmikosR, M. Buecher.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

  • Снимок — Только снимок
  • Снимок + Сохранить — Снимок и бекап реестра
  • Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Источник: https://spy-soft.net/otslezhivanie-izmenenij-v-reestre-regshot/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.