Как отследить все изменения вносимые программой

Инструмент для мониторинга изменений файлов на жестком диске в режиме реального времени. Контроль скрытых файлов. Значок в трее.

1. Главная
2. Безопасность — прочее
3. DaemonFS

19 марта 2021 г. 22:01 Английский GNU GPL v3

Инструмент для контроля изменений файлов на жестком диске в режиме реального времени.

Особенности:

• Кросс-платформенность, работает на Windows, Mac OS X, Linux;
• Мониторинг изменений в скрытых файлах и папках;
• Рекурсивная индексация файлов;
• Значок в области уведомлений;
• Простой и небольшой.

При первом запуске нужно выбрать файлы, которые необходимо контролировать.

Add file — Добавить файл в список для мониторинга.
Add directory — Добавить папку в список для мониторинга.

Full Uninstall,удаление отслежанной программы

Reset — Очистить список.

После того, как мы указали файлы и папки, изменения которых необходимо контролировать, нажимаем Start. Если указаны большие каталоги, то инструмент будет некоторое время индексировать их содержимое. Стоит дождаться завершения операции индексирования файлов. После завершения индексации содержимого папок и отдельных файлов он начнет отслеживать изменения в них. При обнаружении изменений в одном из указанных для контроля файлах или папках появится всплывающее уведомление и соответствующая запись в основном окне программы.

Если к уже имеющемуся списку необходимо добавить еще некоторое количество файлов, то необходимо в основном окне программы нажать Stop, чтобы приостановить мониторинг изменений в этих файлах, и нажать Back, для возврата к списку файлов для контроля. Также как и прежде, добавляем необходимые файлы и каталоги и нажимаем Start.

Характеристики

Ссылки на официальный сайт и загрузку

• Веб-сайт:sourceforge.net/projects/daemonfs
• Каталог загрузки
• Прямая ссылка
• Резервная копия

Источник: xn--90abhbolvbbfgb9aje4m.xn--p1ai

Программа отслеживание изменений в реестре. Как посмотреть изменения в реестре Windows Как отслеживать изменения в реестре

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

Soft Organizer (ранее Full Uninstall)

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Fc c:1.reg c:2.reg > c:log.txt

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

В некоторые разделы реестра Windows изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть две:

• Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
• Владельцем раздела являются системная учетная записьСистема или TrustedInstaller (Вторая служит в рамках комплекса по укреплению безопасности операционной системы , но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели). В этом случае можно сначала стать владельцем раздела, а затем выдать своей группе полные права. Но есть и более интересные альтернативы — утилиты для запуска исполняемых файлов от имени этих учетных записей.

На этой странице

В Windows 8 слегка изменился графический интерфейс смены владельца, что стало непреодолимым препятствием для ряда читателей, судя по комментариям. Мне претит, когда на одной странице дублируются практически одинаковые инструкции, но другие варианты еще хуже. Поэтому выбирайте инструкции для своей ОС. Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел реестра.

Получение полных прав и смена владельца

По ходу дела вы увидите, кто является владельцем раздела реестра. Если это Система или TrustedInstaller , можно воспользоваться подходящей утилитой ↓

Windows 8 и новее

1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения .
2. Выделите группу «Администраторы»:

Нажмите кнопку Дополнительно , нажмите ссылку Изменить вверху окна, введите адрес электронной почты учетной записи Microsoft или имя локальной учетной записи, проверьте имя и нажмите кнопку ОК .

Установите флажок ОК .

Установите флажок «Полный доступ», как описано в пункте 2.

Windows 7

Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела.

Возвращение исходных прав и восстановление владельца

После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.

Windows 8 и новее

Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК .

Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить .

Windows 7

Теперь нужная учетная запись есть в списке. Выделите ее, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК .

Исходные права и владелец раздела реестра восстановлены.

Внесение изменений в реестр от имени учетной записи «Система»

Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec , входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

1. Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
2. Откройте командную строку от имени администратора и выполните команду: psexec -i -s regedit

Запустится редактор реестра, причем от имени системы, что задается параметром -s (параметр -i обеспечивает интерактивный запуск приложения).

Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.

Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.

Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.

Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe . Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.

Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду

fc c:1.reg c:2.reg > c:log.txt

В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с .

Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку был добавлен параметр Primer . Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в regedit ).

Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff . Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, .

Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%System32 . Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду

windiff C:1.reg C:2.reg

Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.

• Строки на белом фоне означают совпадение содержимого файлов;
• Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
• Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).

У нас есть желтая строка с содержимым «Primer»=»» . Это говорит о том, что во втором файле появился параметр Primer с пустым значением. И находится он в HKEY_LOCAL_MACHINESOFTWARETest . Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.

Перейдем к сторонним утилитам мониторинга реестра.

Популярным бесплатным решением является программа Regshot . Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.

Сперва нужно сделать первый снимок реестра.

После чего их можно сравнить.

После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты.

Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.

Более ненужные снимки можно удалить, нажав кнопку Очистить в интерфейсе программы. Скачать программу Regshot можно .

Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch . Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.

Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor .

Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно .

Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export , синтаксису которой посвящена . Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.

Можно вносить изменения в реестр путем внесения новых значений для нужных параметров в самом редакторе реестра или при помощи импорта. Но есть и другой способ. Можно заранее подготовить файл в заданном формате, и нужные параметры автоматически установятся в реестре. Для этих целей используются текстовые файлы с расширением reg .

Формат REG-файла

Вот как выглядит пример REG-файла, который позволит создать раздел(Test ) с параметрами («CatName» ).

;Устанавливаем новые параметры для раздела Test

«CatName»=»reestr»
«CatAge»=dword:00000008

Синтаксис REG-файлов

Рассмотрим формат REG -файлов. Сначала идет заголовок файла

Windows Registry Editor Version 5.00

Нужно заметить, что в более ранних операционных системах, Windows 98 и Windows NT 4.0 , использовал ся заголовок REGEDIT4 . Если у вас сохранились подобные старые файлы, то не пугайтесь. поймет этот файл и корректно обработает информацию. А вот обратный процесс будет недоступен — Windows 98 не сможет распознать новый заголовок и выдаст ошибку. Одна немаловажная деталь — после заголовка обязательно идет пустая строка.

Если вам нужно включить в документ комментарий, чтобы не забыть о назначении параметра, то поставьте вначале символ «;» (точка с запятой). Комментарий служит для удобства самого пользователя и в реестр не вносится.

Создание REG-файла

Писать REG-файл можно в любом текстовом редакторе, например в Блокноте. Создайте новый текстовый документ, наберите приведенный выше код (рис. 1.1) и сохраните файл с расширением REG. Если вы хотите потренироваться в создании подобных файлов, то проще сгенерировать их при помощи экспорта из редактора реестра, а затем внести изменения в Блокноте.

Внесение изменений в реестр при помощи REG-файла

Выше мы уже рассматривали поведение системы при выполнении двойного щелчка по файлу с расширением .reg . При двойном щелчке на REG-файле у вас запускается редактор реестра, которому передается в качестве параметра имя файла.

ВНИМАНИЕ
Перед импортом в реестр REG-файла обязательно сделайте резервную копию реестра или точку восстановления системы! Данный способ не очень удобен для автоматизации задач. Например, мы хотим создать сценарий автоматической установки системы с использованием REG -файлов. Если таких файлов будет слишком много, то пользователю постоянно придется нажимать кнопку OK , что, согласитесь, не доставит ему удовольствия. Можно подавить появление диалогового окна, запустив команду с параметром /S:

REGEDIT /S D:test.reg

Именно этот способ используется программистами и системными администраторами при создании своих программ и сценариев, использующих REG-файлы . Правда, служба контроля учетных записей Windows выведет запрос о разрешении операции, но службу контроля можно отключить на время подобных действий, и тогда пользователь ничего не увидит. C помощью REG-файла также можно удалять разделы. Для этого необходимо поставить знак минуса перед названием раздела. Откроем в Блокноте наш файл cat.reg и внесем следующие изменения:

Windows Registry Editor Version 5.00
:ставим минус для удаления раздела
[-HKEY_CURRENT_USERSoftwareTest]

Теперь нужно дважды щелкнуть на REG-файле, чтобы запустить его и импортировать записи в реестр. Проверьте в редакторе реестра, что заданный раздел был удален.

ВНИМАНИЕ
Обратите внимание, что удалять можно только те разделы, которые не содержат в себе подразделов. В противном случае необходимо последовательно удалить все входящие в его состав подразделы и только потом приступать к удалению нужного раздела.

Также можно удалить параметр. Для этого следует поставить знак минуса (-) после знака равенства (=).

В ветках реестра операционной системы Windows хранятся настройки и параметры самой системы, а также прочего установленного на компьютере программного обеспечения. Порой требуется узнать какие ветки реестра изменяет запускаемая программа или её установочный дистрибутив. Для того, чтобы узнать, что было изменено в реестре — нужно воспользоваться специальной программой для мониторинга состояния параметров системного реестра. Программа RegFromApp отслеживает в режиме реального времени изменения в системном реестре, производимые запущенной программой (процессом) и отражает ветку реестра и изменяемые в ней значения.

Отследить изменения в реестре

Чтобы узнать что меняет в реестре конкретная программа, нужно запустить RegFromApp и выбрать интересующий для отслеживания процесс из списка всех запущенных процессов. Как только интересующая пользователя программа обратится к реестру и изменит значения его веток, RegFromApp тут же отразит ветку реестра, в которой происходят изменения и покажет изменяемые значения. Внесенные в реестр изменения можно сохранить в файл реестра (*.reg). Утилита RegFromApp поддерживает запуск из командной строки с параметрами.

Скриншоты программы RegFromApp

Официальный сайт: http://www.nirsoft.net
Операционные системы: 32,64 Windows XP/Vista/7/8
Поддерживаемые языки: русский
Версия: 1.32
Лицензия: freeware (бесплатная )

Размер файла 107 Кб

Еще интересные программы:

• СмартЛомбард – первая российская программа, позволяющая оптимизировать процессы управления ломбардным бизнесом

Источник: wiom.ru

Как отследить изменения в реестре Windows

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.

Как отследить изменения в реестре Windows

Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.

Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.

Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

fc D:/1.reg D:/2.reg > D:/compare.log

Добавить в заметки чтобы посмотреть позже?

Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.

Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

Regshot

Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».

Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).

Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

Registry Live Watch

Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.

Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

CRegistry Comparison

Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.

Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.

Скачать утилиты можно по ссылкам:

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

Источник: trafictop.top