Что изменила программа в реестре

windows

Автор Михаил Граблевский На чтение 4 мин Просмотров 326 Опубликовано 05.01.2015

Regshot — отличная утилита, которую ты можешь использовать для мониторинга ключей реестра реестра, которые изменяются во время инсталляций программ или изменений системных настроек, а так же это отличный набор инструментов для устранения неисправностей и контроля реестра. Мы подробно рассмотрим процедуру мониторинга реестра программой Regshot и снабдим статью пошаговым руководством к выполнению.

Проект Regshot

Regshot — проект с открытым исходным кодом (LGPL). Скачать Regshot можно с официального сайта проекта на SourceForge. Программа была разработана и представлена общественности в январе 2001 года. С тех пор программа была модифицирована и дополнена бесчисленное количество раз для улучшения функциональности и совместимости.

Цель этой программы — сравнение регистра в два периода времени: до и после любых системных изменений с помощью создаваемых снимков реестра.

5 Интересных настроек реестра Windows 10 — могут пригодиться!

Скачиваем и используем Regshot

В сети есть несколько разных зеркал для скачивания программы Regshot, но мы будем скачивать программу с официального сайта проекта Regshot на SourceForge.

Когда вы скачаете архив с программой и распакуете его, зайдите в папку с файлами из архива. Так как программа не требует установки, то запустить ее можно сразу, как портативную. В зависимости от разрядности вашей операционной системы (х86 или х64) откройте соответствующий исполняемый файл.

Лучше всего открывать программу в режиме администратора, для этого по клику правой клавишей выберем пункт «Запустить от имени Администратора».

Использование Regshot для отслеживания изменений в системе

Теперь, после запуска Regshot вы готовы проверить его. В первую очередь, после запуска Regshot, необходимо сделать первый снимок системы. Делается это по нажатию на кнопку «1st shot» и потом на кнопку «Shot». Обратите внимание, что файл по-умолчанию сохраняется в папку “C:UsersYOUR NAMEAppDataLocalTemp” в формате TXT, но вы можете изменить папку на любую удобную.

Теперь у вас готов первый снимок реестра Windows, давайте внесем изменения в открыв Панель управления. Перейдем в секцию «Оформление и персонализация» и «Сменить фон рабочего стола».

Теперь выберем любую фоновую картинку и сохраним изменения.

Теперь, после того как мы внесли изменения, пришло время создать второй снимок вашего реестра для просмотра изменений внесенных в систему. Для этого перейдем в программу Regshot и нажмем кнопку «2nd shot» и потом кнопку «Shot».

После того, как процесс создания второго снимка реестра завершится вы увидите. что внизу окна приложения цифры изменились. Давайте нажмем на кнопку «Compare» для сравнения двух снимков реестра.

Эта команда откроет окно Блокнота Windows со списком изменений в реестре.

Если вы прокрутите до конца текстового файла то увидите, что там описаны различные суммарные аспекты изменений в реестре, произошедших во время изменения настроек. Числа приведенные в этой статье могут отличаться на разных компьютерах.

Ключей добавлено: 8
Значений добавлено: 36
Ключей изменено: 25
Общие изменения: 69 (это появляется в самом конце документа)
В этом примере мы выяснили какие и сколько изменений было внесено в реестр для того, чтобы поменять фоновую картинку рабочего стола Windows. Это будет полезно в случае, если вы решите изменять эти настройки вручную (либо еще как-то, в обход штатных средств Windows).

Мониторинг изменений в реестре при установке программы
Во втором примере мы будем устанавливать программу, для этого скачиваем программу Google Drive. Создайте первый снимок реестра перед установкой программы, предварительно удалив снимки созданные ранее.

После удаления старых снимков реестра создайте новый и установите Google Drive.

После завершения установки создайте второй снимок реестра программой Regshot.

Теперь мы можем сравнить два снимка реестра на предмет изменений в нем при установке программы Google Drive.

1. Ключей удалено: 8
2. Ключей добавлено: 255
3. Значений удалено: 10604. Значений добавлено: 399
5. Значений модифицировано: 93
6. Общие изменения: 1815

Естественно в список попадают и изменения не связанные с установкой программы, а произошедшие в период установки независимо от нее. Более правдивый список можно плучить изучив его подробнее.

Мониторинг изменений в реестре при удалении программы

Теперь мы удалим программу и отследим изменения в реестре. Для этого мы сделаем все по стандартному алгоритму. Мы удалим старые снимки. Создадим первый снимок и удалим программу, создадим второй снимок и сравним их. Наблюдаем результат:

1. Ключей удалено: 141
2. Ключей добавлено: 9
3. Значений удалено: 477
4. Значений добавлено: 25
5. Значений модифицировано: 422
6. Общие изменения: 1074

Нас уведомили о том, что инсталляция программы модифицировала 1815 ключей и значений, а деинсталляция только 1074 ключа и значения. Это потому, что процесс деинсталляции никогда не удаляет все ключи программы из реестра Windows.

Источник: pcask.ru

RegFromApp Отслеживание изменений реестра

В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре — нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.

Отследить изменения в реестре

Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.

Скриншоты программы RegFromApp

Официальный сайт: http://www.nirsoft.net
Операционные системы: 32,64 Windows XP/Vista/7/8
Поддерживаемые языки: русский
Версия: 1.32
Лицензия: freeware (бесплатная )

Размер файла 107 Кб

RegFromApp
Скачать
прямая ссылка
Еще интересные программы:

• FileMarker.NET Free — измени иконку и цвет файла одним кликом!
• Folder Marker Free — меняй иконку папки или ее цвет в два клика!
• СмартЛомбард – первая российская программа, позволяющая оптимизировать процессы управления ломбардным бизнесом

Предыдущие программы:

• Battery Optimizer Как использовать батарею ноутбука
• FurMark Тестирование видеокарты
• DriverEasy Программа для драйверов

Источник: www.loadboard.ru

Как посмотреть изменения в реестре windows 7

Поиск в реестре windows, лучшие методы

Поиск в реестре windows, лучшие методы

Добрый день! Уважаемые читатели и гости одного из популярнейших блогов посвященных системному администрированию Pyatilistnik.org. В прошлый раз мы с вами успешно восстановили данные на RAW диске и защищенном GPT разделе, тем самым сохранив свои цифровые активы. Сегодня я вам хочу показать еще одну полезную вещь, которая просто незаменима в практике системного администратора, а именно речь пойдет про поиск в реестре Windows, как его правильнее организовать, какие методы вы можете применять, думаю, что будет интересно.

Методы поиска в реестре Windows

1. Использование классической утилиты regedit (Редактор реестра)
2. Regscanner
3. Registry Finder
4. Через текстовый редактор
5. Через PowerShell

Поиск по редактору реестра

1. Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
2. В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
3. или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

Поиск в реестре Windows через regscanner

Regscanner — это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

1. Для поиска по реестру откройте Regscanner.exe
2. В окне «Regystry San Options» вы можете выбрать: «Find String» — искомое значение и «Don’t load more than» — количество выводимых строк (максимальное)
3. Задать временные промежутки, по умолчанию стоит значение «No time filter», означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку «Display only data with the following length range» и выбрав например только RED_DWORD

Нажимаем кнопку «Scan» и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным.

Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

• Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле «Find what» пишем то, что хотим искать. В «Top-level-keys» выбираем разделы реестра для поиска.

• Нажав кнопку «Data Types» вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

• Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку «Search only hidden keys«

• Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

• Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем «Find».

На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

• —help — Печатает справочное сообщение.
• —computerName arg — Указывает имя или IP-адрес компьютера для подключения.
• —navigate arg — Определяет раздел реестра для навигации. Если для этого параметра установлено значение «буфер обмена», то путь берется из буфера обмена.
• —reopenLocal arg — Восстановить или не открывать ранние локальные окна реестра при запуске Registry Finder (arg: true или false, по умолчанию true).
• —reopenRemote arg — Восстановить или не открывать ранее удаленные окна реестра (arg: true или false, по умолчанию true).
• —dataFolder arg — Определяет папку для хранения настроек и отмены истории.
• —import arg — Импортирует указанный файл .reg в реестр.
• Работа всегда выполняется в отдельном экземпляре (то есть подразумевается —multiInst).
• —importSilent Не отображать подтверждение импорта.
• —multiInst Когда экземпляр Registry Finder уже запущен, запускается новый экземпляр. По умолчанию запущенный экземпляр активируется вместо запуска другого.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне «Редактора реестра» щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:

В результате чего у вас на диске C:Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:

На этом у меня все, мы с вами разобрали массу способов поиска ключей в реестре по нужным параметрам. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

2 Responses to Поиск в реестре windows, лучшие методы

Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
3. При необходимости вы можете сохранить журнал изменений (Save Log).

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

Источник: onecomp.ru