Как сделать снимки реестра Windows для сравнения и отслеживания изменений?
Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать с помощью программ, что на мой взгляд намного удобнее.
Как я и обещал, в статье « », этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.
Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера. Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.
Что такое реестр Windows?
Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.
Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.
Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.
Отслеживание изменений в реестре
Зачем анализировать реестр и отслеживать изменения?
Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.
Снимок реестра с помощью RegShot
RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.
Скачать RegShot
Скачать программу RegShot бесплатно вы можете по прямой ссылке.
Установка RegShot
После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.
Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы.
Настройка и использование RegShot
После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.
Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:
- Снимок — Только снимок
- Снимок + Сохранить — Снимок и бекап реестра
- Открыть — Открыть уже сделанный снимок реестра
Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.
Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.
После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».
Если в начале было отмечено галочкой поле «Текст», то вы увидите окно текстового редактора Notepad, в котором будет полный отчет изменений реестра.
Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.
Во время установки софта отчет будет конечно побольше.
Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.
Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.
Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл , о котором вы просто обязаны знать!
На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики
Получил такой вопрос:
… А можно поподробнее как Вы узнали, что это именно svchost пишет в реестр. Догадка, или как-то это можно проверить? У меня похожая проблема: кто-то постоянно пишет один ключ, я его удаляю, а он снова появляется. Можно это как-то отследить кто именно добавляет записи в реестр? Заранее спасибо.
В том конкретном случае это была догадка, но можно и отследить. Это делается при помощи Process Monitor . Только нужно правильно настроить фильтры.
Например, нас интересует ветка HKEY_CURRENT_USER\Software\test .
Итак, настраиваем фильтры (вызвать окно управления фильтрами можно через меню Filter | Filter… , или с помощью сочетания клавиш Ctrl+L)
Во-первых, так как мы работаем только с реестром, то слежение за остальной активностью можно (и даже нужно) отключить (соответствующие кнопки в правой части окна).
Во-вторых, добавляем фильтр по интересующей нас ветке:
Path begins with HKCU\Software\test .
И в-третьих, если нужно следить только за изменениями реестра (а в данном случае только это и нужно) добавляем фильтр по операции занесения значения в реестр (RegSetValue):
Operation is RegSetValue
Таким образом, настроенные фильтры будут выглядеть следующим образом:
Настраиваем фильтры
Применяем фильтры, и ждём пока появятся события.
При появлении события попадающего под фильтр, оно тут-же отобразится в окне программы:
А вот и события
Из скриншота видно, что процесс, пишущий что-то в интересующую нас ветку реестра носит имя powershell.exe и PID 11004. А уж на сколько этот процесс безвреден, и имеет-ли он моральное право гадить в реестр нужно уже смотреть по обстановке .
Небольшой совет для оптимизации: запуск Process Monitor может негативно сказаться на производительности компьютера, так как вне зависимости от настроенных фильтров он сохраняет все зарегистрированные события даже, если они не отображаются (в этом можно убедиться отключив фильтры и/или включив просмотр, например, файловой активности) и сохраняет их в памяти. Если оставить его запущенным на длительное время может случиться так, что ProcMon сожрёт всю память, после чего вылетит с ошибкой. Для предотвращения такого неприятного момента можно
Во-первых, сохранять события не в памяти, а в файл. Для этого нужно в меню выбрать File | Backing Files… и указать путь к файлу, в котором будут сохраняться события.
Во-вторых, можно сохранять только те события, которые попадают под фильтры (т.е. те, которые отображаются в окне). Если вы уверены, что фильтры настроены правильно, и все остальные события не нужны, их можно безвозвратно отбросить. Это делается при помощи активации параметра Filter | Drop Filtered Events . В случае если, события сохраняются в файл, активация этого параметра уменьшит его размер в разы.
Regshot
Дописав статью, и прочтя её, решил, что название статьи будет неоправданно громким, если не рассказать про одну маленькую, но очень полезную утилиту – Regshot (в справке к программе значится сайт www.regshot.ru , но меня упорно перебрасывало с него на какой-то левый сайт). Судя по всему программа прекратила своё развитие, но даже старенькая версия, которую без труда можно найти на просторах интернета выполняет свою функцию.
Приведу короткое описание взятое с какого-то сайта:
Утилита предназначена для фиксации изменений в реестре Windows. Она может делать снимок реестра, сохранять его в файле, загружать из файла, сравнивать два снимка, находить все отличия (что изменилось, что было удалено, что появилось нового). По результатам изменений формируются несколько отчётов. HTML отчёт содержит в наглядном виде характеристики снимков и список всех изменений…
Т.е. если нужно отследить где в реестре изменяется какое-либо значение, то вполне возможно, что достаточно будет воспользоваться Regshot и не возиться с фильтрами ProcMon.
Как говорилось выше Regshot работает со снимками реестра, т.е. сначала нужно сделать один снимок (кнопка Снимок 1 ), после чего произвести какие-то изменения и нажать кнопку Снимок 2 . Просканировав реестр второй раз утилита отобразит результаты.
Главное окно Regshot
Рассмотрим не примере. Допустим нам нужно узнать, где в реестре узнать где в реестре хранится язык по умолчанию для пользователя. Не тот, который , а тот, который пользователь может поменять в панели управления.
Языки и службы текстового ввода
Порядок действий предельно прост: запускаем Regshot делаем первый снимок (Снимок 1 | Локальный реестр ), меняем язык, делаем второй снимок (Снимок 2 | Локальный реестр ).
После того как Regshot сделает второй снимок, он просканирует два снимка на предмет отличий, и выведет окно c результатами сканирования:
Результаты сканирования
Вполне возможно, что в отчёт попадут не только нужные нам данные, но и "левые" изменения, не связанные с тем, что мы ищем. Если такие данные сразу видны их можно исключить из конечного отчёта (если не уверены лучше оставить, чтобы потом разобраться). В нашем случае, в отчёт попали две ветки из раздела HKEY_CURRENT_USER: Keyboard Layout и Software. Так как нас интересуют языки, логично предположить, что изменения в ветке Software нам не интересны и их можно исключить.
После нажатия на кнопку OK открывается отчёт, в котором видно, что поменялось:
Конечный результат
Из последнего скриншота можно увидеть, что в разделе реестра HKEY_CURRENT_USER\Keyboard Layout\Preload ключ 1 изначально имел значение 00000409 (что соответствует английскому языку), а ключ 2 – 00000419 (что в свою очередь соответствует русскому языку). После проведённых нами манипуляция (изменение языка по умолчанию) эти значения поменялись.
Вот вроде и всё, что касается мониторинга реестра .
В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре - нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.
Отследить изменения в реестре
Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.
Скриншоты программы RegFromApp
|
|
Более половины всех пользователей ПК в какой-то момент задумываются об автоматизации настроек своей операционной системы. Всем известно, что в операционных системах Windows централизованным хранилищем для большинства настроек самой системы и установленных приложений является системный реестр. В реестре хранятся сотни тысяч параметров, которые отвечают за различные настройки. Зная, что в разделе HKEY_CURRENT_USER расположены настройки учетной записи пользователя, в HKEY_LOCAL_MACHINE - настройки компьютера, а раздел HKEY_CLASSES_ROOT отвечает за запуск необходимой программы при открытии файла с помощью проводника, область поиска необходимого параметра сокращается, хотя найти нужный параметр все равно очень сложно. Использовать твикеры реестра не рекомендуется, так как они могут записывать в реестре ненужные разделы и параметры, а поиск в интернете ничего не дает. В этом случае вам следует воспользоваться программами, предназначенными для мониторинга реестра. В этой статье речь пойдет о RegShot и Process Monitor - утилите Sysinternals, предназначенной для мониторинга операционной системы Windows, которая в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.
Использование программы RegShot
RegShot - это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения. Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации. Рассмотрим принципы работы этой утилиты на простом примере.
В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:
После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.
Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.
11.04.2016 9489
Р
еестр Windows
является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она . Эта небольшая портативная утилита от Nirsoft
позволяет производить наблюдение за работой установленных на компьютере программ.
А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в чаще всего завершается ошибкой.
П римечание: для отслеживания работы 32-битных программ нужно использовать 32-разрядную версию , даже на 64-битной системе.
Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок . Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG .
Режима отображения в два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.