Как узнать где в реестре прописалась программа

Во время проведения компьютерно-криминалистической экспертизы операционной системы Windows важно понять, когда и каким образом был запущен определенный процесс. Чтобы идентифицировать эту деятельность, мы можем извлечь из целевой системы набор артефактов, полезных для сбора доказательств выполнения определенной программы.

Как более эффективно выполнять поиск в реестре Windows

Добрый день, друзья. Как провести более качественный поиск в реестре Windows? При правильном использовании реестр Windows может стать мощным инструментом для внесения изменений в Виндовс на вашем компьютере. Но ориентироваться в нем не так-то просто, и поиск отдельных записей в редакторе реестра может сбить с толку. К счастью, существует гораздо более простой и эффективный способ поиска в реестре Windows.

Как узнать информацию о компьютере через реестр?

Что такое системный реестр Windows?

Реестр Windows представляет собой базу данных настроек и конфигураций для многих частей операционной системы Windows. Он был представлен в Windows 3.1 и с тех пор является частью ОС.

При установке новой программы в реестр добавляется новая запись, называемая ключом. Внутри ключа находятся значения, немного похожие на файлы в папке. Значения могут содержать местоположение программы, номер её версии, настройки конфигурации и многое другое.

Не рекомендуется вносить изменения в реестр, если вы не уверены в том, что делаете. Неправильное изменение важного ключа или значения может привести к сбою вашего компьютера или даже к полной остановке работы. Скорее всего, это приведет к поломке программного обеспечения, с которым связано значение.

Загрузите и настройте RegScanner

Одна из самых больших проблем при работе в реестре — это поиск ключей и значений, которые вы хотите отредактировать. Вы можете использовать функцию поиска, но она не всегда работает, если вы не знаете точное имя значения.

RegScanner — это небольшая, легкая утилита, которая позволяет вам искать ключи и значения, используя несколько переменных. Вы можете выполнять поиск по типу значения, например, DWORD или SZ, или даже по дате изменения значения. Вы можете загрузить RegScanner с веб-сайта NirSoft . Доступно несколько разных версий, включая версию x64.

Загрузите нужную версию и распакуйте сжатую папку. RegScanner — это портативная утилита. Её не нужно устанавливать, для её применения. Просто дважды щелкните исполняемый файл RegScanner, чтобы начать.

Откроется RegScanner с открытой панелью параметров сканирования. Поначалу это может показаться запутанным, но использовать его не так сложно, как кажется на первый взгляд.

Реестр в Windows 10 (Windows 10 registry).

Поиск в реестре Windows с помощью RegScanner

RegScanner предоставляет вам несколько способов поиска ключей и значений в реестре. Вы можете выполнять поиск по определенным значениям или данным, которые имеют определенное качество, например, длину данных.

Поиск по имени

Поиск по точному названию значения — самый простой способ найти записи реестра. При поиске по имени значения результаты обычно должны содержать только один элемент.

1. Откройте RegScanner и нажмите кнопкуНового сканирования, если панель параметров сканирования не открывается автоматически.
2. В полеНайти строку введите имя значения, которое вы хотите найти. Например, «StuckRects3».
3. Измените поле соответствия на точное соответствие, или элемент реестра содержит одно или несколько слов.
4. Если вы не уверены, является ли это именем значения или ключа, оставьте все параметры в полеПосмотретьвыбранными.
5. В нижней части параметров сканирования выберите базовый ключ (HKEY_LOCAL_MACHINE и т. Д.), Где, По вашему мнению, находится значение. Если вы не уверены, вы можете выбрать их все.
6. Нажмите кнопку Сканировать и дождитесь появления результатов на главной панели. При точном поиске по имени должен быть только один результат. Вы можете дважды щелкнуть по нему, чтобы открыть его в редакторе реестра.

Вы можете легко выполнять поиск по другим типам данных, таким как значение DWORD или даже по полной строке. Просто измените поле соответствия на тип данных, который вы используете.

Поиск по дате изменения

Если вы знаете, когда значение или ключ были изменены в последний раз, возможно, при установке какого-либо программного обеспечения, вы можете уточнить поиск по дате.

1. В параметрах сканирования введите свой поисковый запрос, если он у вас есть. Если нет, и вы просто хотите выполнить поиск по всем значениям, измененным в диапазоне дат, оставьте это поле пустым.
2. В поле фильтра времени можно выбрать два модификатора времени: показывать только в последнем и показывать только в указанном диапазоне.
3. Выберите фильтр времени, который соответствует вашим потребностям, и при необходимости установите диапазон времени или диапазон дат. Затем нажмите кнопку сканирования.
4. Когда вы найдете искомое значение или ключ, вы можете дважды щелкнуть по нему, чтобы открыть его в редакторе реестра.

Имейте в виду, что даже при поиске ключей или значений, измененных за последние несколько минут, все равно могут быть сотни результатов, особенно если вы использовали свой компьютер в течение этого времени. Даже небольшое количество информации, введенной в поле Поиска, уменьшит количество результатов.

Экспорт значений реестра в виде файлов REG

Когда вы отсканировали и нашли нужное значение реестра, вы можете легко экспортировать его в виде REG-файла. Вы можете использовать этот REG-файл позже, предоставить к нему общий доступ или скопировать его на другой компьютер. При запуске REG-файла он перезаписывает соответствующее значение в реестре.

• В RegScanner выполните поиск и найдите значение, которое вы хотите экспортировать в виде REG-файла.
• Выберите значение и либо нажмите кнопкуЭкспортировать выбранные элементы, либо Файл, затем «Экспортировать выбранные элементы». Вы также можете использовать сочетание клавиш Ctrl + E.
• Выберите местоположение экспорта и введите имя файла, которое вы запомните.

Вы также можете сохранять ключи и значения в виде текстового файла. Однако это всего лишь запись или для просмотра содержащихся в ней данных — вы не можете использовать текстовый файл так же, как REG-файл.

Используя поиск в редакторе реестра

В редактор реестра встроен ограниченный инструмент поиска. Он позволяет выполнять поиск только по значению, данным или имени ключа. Он также не возвращает список результатов, таких как RegScanner. Если он не найдет точное введенное вами значение, то он ничего не вернет.

• Чтобы использовать функцию поиска, откройте редактор реестра и нажмите кнопку Изменить.
• Выберите «Найти» в меню и введите поисковый запрос в поле.
• Вы можете выбрать один из ключей, значений и данных или выполнить поиск по всем трем.

Если несколько значений имеют одинаковое имя, вы можете нажать клавишу F3, чтобы найти следующее, если первый результат не тот, который вам нужен.

Лучший способ поиска в реестре Windows

Пока вы внимательны и понимаете вносимые изменения, реестр Windows может быть мощным инструментом. Вы можете использовать его для внесения изменений в приложения и функции Windows, которые могут быть недоступны в стандартных настройках. Поиск ключей и значений не всегда очень прост, но с помощью RegScanner поиск в реестре становится намного менее сложным. Успехов!

С уважением, Андрей Зимин 13.07.2022

Источник: info-kibersant.ru

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
3. При необходимости вы можете сохранить журнал изменений (Save Log).

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

fc c:1.reg c:2.reg > c:log.txt

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

Источник: remontka.pro