Wie macht man Snapshots der Windows-Registrierung um Änderungen zu vergleichen und zu verfolgen?

Sie können Registrierungsänderungen auf unterschiedliche Weise verfolgen, manuell oder mit speziellen Programmen. In diesem Artikel erkläre ich Ihnen, wie das mit Programmen geht, was meiner Meinung nach viel bequemer ist.

Wie ich versprochen habe, beginnen wir mit dieser Veröffentlichung im Artikel „“ eine Reihe von Artikeln, die sich der Analyse von Malware widmen. In diesen Artikeln werde ich über Tools sprechen, mit denen Sie Viren und ihr Verhalten untersuchen können.

Der heutige Artikel wird nicht nur für Virenforscher nützlich sein, sondern auch für normale Benutzer, die sich im Umgang mit einem Computer weiterbilden möchten. Ich erkläre Ihnen, wie Sie mit dem Regshot-Programm Snapshots der Windows-Registrierung erstellen, um Änderungen zu vergleichen und zu verfolgen.

Was ist die Windows-Registrierung?

Die Registrierung ist einer der Hauptbestandteile des Microsoft Windows-Betriebssystems. Trotzdem verwenden die meisten Benutzer das Betriebssystem und wissen nichts von der Existenz der Registrierung.

Ein unerfahrener Benutzer erkennt nicht einmal, dass beim Ändern aller Parameter: Installieren von Programmen, Ändern von Windows selbst und den damit verbundenen Geräten alle Änderungen an der Windows-Registrierung vorgenommen werden.

Kurz gesagt, die Registry ist gewissermaßen der Kern des Betriebssystems, in dem alle Einstellungen und Änderungen gespeichert werden.

Warum die Registrierung analysieren und Änderungen verfolgen?

Nehmen wir an, Sie sind nicht mehr nur ein passiver Computerbenutzer und möchten herausfinden, was sich hinter den Kulissen bei der Installation eines neuen Programms abspielt, oder das Verhalten eines Virus analysieren. Um herauszufinden, welche Änderungen die gesamte Software vornimmt, benötigen Sie Programme zur Nachverfolgung der Registrierung. Ein solches Tool ist RegShot.

Registrierungs-Snapshot mit RegShot

RegShot ist ein kleines kostenloses Open-Source-Programm, mit dem Sie Schnappschüsse der Registrierung erstellen und vergleichen können. Alle in der Registry vorgenommenen Änderungen können in einer Textdatei oder HTML-Datei gespeichert werden.

Laden Sie RegShot herunter

Sie können das RegShot-Programm kostenlos über einen Direktlink herunterladen.

RegShot installieren

Nachdem das Programm heruntergeladen wurde, entpacken Sie das Archiv und wechseln Sie in den Ordner mit den Dateien. Der Ordner enthält mehrere Dateien.

Achten Sie bei der Auswahl einer ausführbaren Datei auf die Bitanzahl Ihres Betriebssystems.

Einrichten und Verwenden von RegShot

Nach dem Start erscheint ein kleines Programmfenster, in dem wir die Sprache des Skins sofort auf Russisch ändern. Es gibt auch eine ukrainische Oberflächensprache.

Jetzt machen wir uns an die Arbeit. Die Verfolgung von Registrierungsänderungen beginnt mit der Erstellung des ersten Snapshots der Registrierung. Klicken Sie auf die Schaltfläche „Schnappschuss“ und im Dropdown-Fenster sehen wir drei Optionen:

• Schnappschuss – Nur Schnappschuss
• Schnappschuss + Speichern – Schnappschuss und Sicherung der Registrierung
• Öffnen – Öffnen Sie einen bereits erstellten Snapshot der Registrierung

Wählen Sie die gewünschte Option aus. In meinem Beispielfall besteht keine Notwendigkeit, die Registrierung zu sichern, daher klicke ich auf die Schaltfläche „Snapshot“. Das Programm wird zum Leben erweckt und beginnt mit der Erstellung des ersten Snapshots der Registrierung. Unten im Fenster sehen Sie, wie sich die Zahlen ändern.

Wenn die Zahlen aufhören und sich das Programm beruhigt, können Sie mit der Arbeit mit Drittanbieterprogrammen, der Installation und all dem beginnen.

Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Zweites Bild“ und nach einigen Sekunden können Sie auf die Schaltfläche „Vergleichen“ klicken.

Wenn das Feld „Text“ zu Beginn aktiviert war, wird ein Notepad-Texteditorfenster angezeigt, das einen vollständigen Bericht über Registrierungsänderungen enthält.

Ich habe keine Programme installiert, sondern nur ein paar Einstellungen in der Windows-Systemsteuerung geändert. Wie Sie sehen, hat das Dienstprogramm Regshot alle Änderungen aufgezeichnet.

Bei der Installation der Software wird der Bericht natürlich größer.

Wenn Sie die Registrierung erneut analysieren müssen, klicken Sie auf die Schaltfläche „Löschen“ und beginnen Sie von vorne.

Wie Sie sehen, ist es sehr einfach, einen Snapshot der Registrierung zu erstellen, um Änderungen zu verfolgen, insbesondere wenn Sie das richtige Programm zur Hand haben. Dies ist sehr praktisch, wenn Sie herausfinden möchten, welche Änderungen das Programm während der Installation an der Registrierung vornimmt. Übrigens können Sie auf diese Weise herausfinden, welche Registry-Elemente für eine bestimmte Windows-Einstellung verantwortlich sind.

Wenn Sie das Windows-Betriebssystem verwenden, wäre es eine gute Idee, es besser kennenzulernen. Sie können mit einem Artikel über eine mystische Datei beginnen, die Sie unbedingt kennen müssen!

Das ist alles, Freunde. Wir werden in Zukunft weitere Tools erkunden. Und ja, ich habe nicht vergessen, dass ich versprochen habe, detaillierte Anweisungen zur Einrichtung eines zuverlässigen isolierten Labors auf einer virtuellen Maschine zur Überprüfung von Software und Viren bereitzustellen. Sie sind also herzlich willkommen auf unseren öffentlichen Seiten

In den Registrierungszweigen des Windows-Betriebssystems werden Einstellungen und Parameter des Systems selbst sowie anderer auf dem Computer installierter Software gespeichert. Manchmal müssen Sie herausfinden, welche Registrierungszweige von einem gestarteten Programm oder seiner Installationsverteilung geändert werden. Um herauszufinden, was in der Registrierung geändert wurde, müssen Sie ein spezielles Programm verwenden, um den Status der Systemregistrierungsparameter zu überwachen. Das RegFromApp-Programm überwacht in Echtzeit Änderungen in der Systemregistrierung, die von einem laufenden Programm (Prozess) vorgenommen werden, und spiegelt den Registrierungszweig und die darin geänderten Werte wider.

Verfolgen Sie Änderungen in der Registrierung

Um herauszufinden, was ein bestimmtes Programm in der Registrierung ändert, müssen Sie RegFromApp ausführen und aus der Liste aller laufenden Prozesse den Prozess auswählen, den Sie verfolgen möchten. Sobald das für den Benutzer interessante Programm auf die Registrierung zugreift und die Werte ihrer Zweige ändert, spiegelt RegFromApp sofort den Registrierungszweig wider, in dem die Änderungen auftreten, und zeigt die geänderten Werte an. An der Registrierung vorgenommene Änderungen können in einer Registrierungsdatei (*.reg) gespeichert werden. Das RegFromApp-Dienstprogramm unterstützt die Ausführung über die Befehlszeile mit Parametern.

Screenshots des RegFromApp-Programms

Offiziellen Website: http://www.nirsoft.net
Betriebssystem: 32,64 Windows XP/Vista/7/8
Unterstützte Sprachen: Russisch
Ausführung: 1.32
Lizenz:Freeware (frei)

Dateigröße 107 KB

Weitere interessante Programme:

• SmartPawnshop ist das erste russische Programm, mit dem Sie Pfandgeschäftsverwaltungsprozesse optimieren können

Windows-Registrierung ist vielleicht die dynamischste Komponente des Betriebssystems. Es spiegelt alle, auch die kleinsten, Änderungen wider, die durch Standard- und Drittanbieterprogramme am System vorgenommen werden. Erfahrene Benutzer können solche Änderungen verfolgen, indem sie zu diesem Zweck spezielle Dienstprogramme verwenden, von denen eines heute besprochen wird. Es heißt. Dieses kleine tragbare Dienstprogramm von Nirsoft ermöglicht es Ihnen, den Betrieb der auf Ihrem Computer installierten Programme zu überwachen.

Oder vielmehr: Notieren Sie alle Änderungen, die sie im Laufe ihrer Arbeit in der Systemregistrierung vornehmen, und vergleichen Sie gegebenenfalls zuvor erzielte Ergebnisse mit späteren. Ausnahmen sind universelle Windows-Anwendungen, die eine Verbindung zu ihren Prozessen herstellen Meistens scheitert es.

Hinweis: Zur Nachverfolgung 32-Bit Es müssen Programme verwendet werden 32-Bit Ausführung , sogar auf 64-Bit System.

Die Verwendung des Dienstprogramms ist recht einfach. Nach dem Start werden Sie aufgefordert, einen zu überwachenden Prozess auszuwählen und anzuklicken OK . Sie können den Prozess auch manuell aus dem grafischen Hauptmenü des Programms auswählen. Danach startet die Überwachung im Hintergrund. Sobald das überwachte Programm Änderungen an der Registrierung vornimmt, werden diese sofort im Hauptfenster des Dienstprogramms angezeigt. Änderungsdaten können in die Zwischenablage kopiert oder in einer Datei gespeichert werden REG.

Anzeigemodus in zwei. Standardmäßig zeigt das Dienstprogramm nur die zuletzt geänderten Werte an, es ist jedoch auch möglich, die Anzeige der ursprünglichen Werte festzulegen. Es gibt keine weiteren wesentlichen Einstellungen im Programm.

Dieser Artikel zeigt Ihnen die Schritte, um den Besitz eines Registrierungsschlüssels zu übernehmen und vollständige Kontrollrechte zu erlangen, und wie Sie die ursprünglichen Rechte zurückgeben und den ursprünglichen Besitzer wiederherstellen.

Einige Abschnitte der Windows-Registrierung können nicht bearbeitet werden, selbst wenn Ihr Konto zur Gruppe gehört „Administratoren“. Dies geschieht normalerweise aufgrund der Gruppe „Administratoren“ Es liegen keine entsprechenden Berechtigungen (Rechte) zum Schreiben in diesen Registrierungsschlüssel vor. Es gibt mehrere Gründe, warum Sie einen Registrierungsschlüssel nicht bearbeiten können:
■ Gruppe „Administratoren“ ist der Eigentümer des Abschnitts, verfügt jedoch nicht über die vollständigen Rechte daran. In diesem Fall genügt eine einfache Ausgabe an die Gruppe „Administratoren“ volle Rechte.
■ Der Partitionseigentümer ist ein Systemdienst TrustedInstaller. In diesem Fall müssen Sie zunächst Eigentümer des Abschnitts werden und dann Ihrer Gruppe die vollen Rechte gewähren. Ein solches Beispiel wird in diesem Artikel behandelt.

■ Der Besitzer der Partition ist das Systemkonto "System" TrustedInstaller.

Im Rest des Artikels wird beschrieben, wie Sie Änderungen an der Registrierung vornehmen, wenn Sie nicht über die entsprechenden Berechtigungen verfügen, und wie Sie die ursprünglichen Berechtigungen wiederherstellen und warum Sie dies tun müssen. Vor dem Bearbeiten der Systemregistrierung wird empfohlen, dies zu tun

Wenn Sie einen Parameter in der Registrierung ändern und nicht über ausreichende Rechte verfügen, erhalten Sie eine Fehlermeldung.

Lassen Sie uns überlegen erstes Beispiel wenn die Gruppe „Administratoren“ ist der Eigentümer des Abschnitts, verfügt jedoch nicht über die vollständigen Rechte daran:
 1 Berechtigungen...
 2 . Wählen Sie eine Gruppe aus „Administratoren“:

Wenn das Kontrollkästchen verfügbar ist Voller Zugriff, installieren Sie es und klicken Sie auf die Schaltfläche OK. Dies kann ausreichend sein, wenn die Gruppe Eigentümer des Abschnitts ist.

Wenn das Kontrollkästchen nicht verfügbar ist oder eine Fehlermeldung wie im Screenshot unten angezeigt wird, fahren Sie mit dem zweiten Beispiel fort.

  Zweites Beispiel wenn der Partitionseigentümer ein Systemdienst ist TrustedInstaller

Im Fenster Gruppenberechtigungen drück den Knopf Zusätzlich

Klicken Sie im nächsten Fenster auf den Link Ändern Geben Sie den Namen Ihres lokalen Kontos oder die E-Mail-Adresse Ihres Microsoft-Kontos ein, überprüfen Sie den Namen und klicken Sie OK

Aktivieren Sie das Kontrollkästchen Besitzer von Untercontainern und Objekten ersetzen oben im Fenster und klicken Sie auf die Schaltfläche OK

Wählen Sie eine Gruppe aus „Administratoren“, aktivieren Sie das Kontrollkästchen Voller Zugriff, Drücken Sie den Knopf OK

Sie haben nun vollen Zugriff auf den Registrierungsschlüssel und können alle seine Einstellungen bearbeiten.

  Drittes Beispiel wenn der Partitionseigentümer das Systemkonto ist "System". In diesem Fall sind die Aktionen dieselben wie bei TrustedInstaller.

Rückgabe ursprünglicher Rechte und Wiederherstellung des Eigentums

Aus Gründen der Systemsicherheit müssen Sie nach der Bearbeitung der erforderlichen Parameter des Registrierungsschlüssels die ursprünglichen Zugriffsrechte zurückgeben und das Systemkonto als Eigentümer des Abschnitts wiederherstellen. TrustedInstaller.
 1 . Klicken Sie mit der rechten Maustaste auf den Registrierungsschlüssel und wählen Sie aus dem Menü aus Berechtigungen...

 2 . Im Fenster Gruppenberechtigungen drück den Knopf Zusätzlich

 3 . Im nächsten Fenster Zusätzliche Sicherheitsoptionen Klicken Sie auf den Link Ändern oben im Fenster und im angezeigten Dialogfeld Wählen Sie: „Benutzer“ oder „Gruppe“ Geben Sie den Kontonamen ein:

Drück den Knopf OK

 5 . Im Fenster Gruppenberechtigungen Wählen Sie eine Gruppe aus „Administratoren“, deaktivieren Voller Zugriff, Drücken Sie den Knopf OK

Die ursprünglichen Rechte und der Besitzer des Registrierungsschlüssels wurden wiederhergestellt.

■ Wenn der Eigentümer des Abschnitts ein Konto war System(in englischer Version System), dann stattdessen
 NT-Dienst\TrustedInstaller eingeben System(in englischer Version System).

Von Zeit zu Zeit müssen Benutzer und Systemadministratoren möglicherweise Änderungen in der Windows-Registrierung über einen bestimmten Zeitraum anzeigen. Dies kann daran liegen, dass Sie sehen möchten, welche Änderungen ein bestimmtes Programm oder Benutzeraktionen bewirkt.

Sie können an der Windows-Registrierung vorgenommene Änderungen mithilfe der im Betriebssystem integrierten Tools oder mithilfe von Software von Drittanbietern anzeigen. Beginnen wir mit den ersten.

Darüber hinaus möchten wir auch erwähnen, dass es dabei auf zwei Methoden ankommt: den Vergleich zweier „Schnappschüsse“ der Registrierung, die zu unterschiedlichen Zeiten erstellt wurden, oder die Überwachung von Änderungen in Echtzeit.

Der einfachste Weg, um zu sehen, welche Änderungen an der Registrierung vorgenommen wurden, ist die Verwendung des in Windows integrierten Dienstprogramms fc.exe. Der Vorteil dieser Methode besteht darin, dass keine Suche nach zusätzlicher Software erforderlich ist. Im Allgemeinen wird das Dienstprogramm fc.exe nicht nur zum Anzeigen von Registrierungsänderungen verwendet, sondern auch zum Vergleichen zweier Dateien oder Dateigruppen im Allgemeinen. Damit wird klar, dass wir zwei „Snapshots“ der Registry benötigen.

Wir exportieren zunächst die gesamte Registry oder nur den Zweig, den wir benötigen. Nehmen wir an, wir haben zwei Dateien: 1.reg und 2.reg, die wir auf Laufwerk C ablegen. Dann können wir sie mit dem Befehl vergleichen

fc c:\1.reg c:\2.reg > c:\log.txt

In diesem Fall geben wir das Ergebnis des Befehls in eine Textdatei aus. Ich würde jedoch empfehlen, ein fortgeschritteneres Format und/oder einen stärkeren Editor als Notepad zu verwenden, um Probleme mit zu vermeiden.

Oben habe ich MS Word und das .doc-Format verwendet.

Das Problem bei der Verwendung von fc.exe besteht darin, dass das Ergebnis seiner Arbeit nicht lesbar ist. Der obige Screenshot lässt das im Thread vermuten Parameter wurde hinzugefügt Grundierung. Es ist jedoch unwahrscheinlich, dass Sie dies verstehen können, wenn Sie es nicht im Voraus wissen. fc.exe kann nicht als vollwertiges Analysetool bezeichnet werden. Dieses Dienstprogramm eignet sich besser, wenn Sie selbst Änderungen an der Registrierung vornehmen und sicherstellen möchten, dass diese vorgenommen wurden (aber nicht durch die Registrierungszweige wandern möchten). regedit).

Kommen wir daher zu einem anderen Dienstprogramm, das in modernen Windows-Versionen leider nicht mehr enthalten ist, aber hinzugefügt werden kann. Es heißt WinDiff. Sie können es durch die Installation von Microsoft Windows SDK-Paketen hinzufügen. Leider wurde WinDiff nach Windows 7 von diesen Paketen ausgeschlossen, Sie können es jedoch separat herunterladen, z. B. .

Um das WinDiff-Dienstprogramm über die Windows-Befehlszeile zu verwenden, platzieren Sie es im Verzeichnis %WINDIR%\System32. Um nun die beiden Registrierungsdateien aus dem Beispiel zu vergleichen, müssen wir nur noch den Befehl eingeben

windiff C:\1.reg C:\2.reg

Es öffnet sich die grafische Oberfläche des Dienstprogramms, die im Screenshot oben zu sehen ist. Lassen Sie uns herausfinden, wie die Ausgabe des WinDiff-Programms gelesen wird.

• Linien auf weißem Hintergrund bedeuten, dass der Inhalt der Dateien übereinstimmt;
• Die rot hinterlegten Zeilen zeigen den Inhalt der ersten (linken) Datei an, der sich nicht in der zweiten (rechts) befindet;
• Die gelb hinterlegten Zeilen zeigen den Inhalt der zweiten (rechten) Datei an, der nicht in der ersten (linken) Datei enthalten ist.

Wir haben eine gelbe Linie mit Inhalt "Grundierung"="". Dies zeigt an, dass der Parameter in der zweiten Datei vorkam Grundierung mit einem leeren Wert. Und er ist dabei HKEY_LOCAL_MACHINE\SOFTWARE\Test. Da die zweite Datei später als die erste gespeichert wurde, können wir daraus schließen, dass dieser Parameter hinzugefügt und nicht entfernt wurde.

Kommen wir nun zu den Registrierungsüberwachungsdienstprogrammen von Drittanbietern.

Eine beliebte kostenlose Lösung ist das Programm Regshot. Das Programm arbeitet auch mit Registrierungs-Snapshots und erstellt diese selbst, anstatt zuvor gespeicherte Dateien zu analysieren. Das ist sein Minus. Und das Plus ist, dass es sehr einfach ist.

Zuerst müssen Sie den ersten Snapshot der Registrierung erstellen.

Anschließend können sie verglichen werden.

Nach Abschluss des Vergleichsvorgangs öffnet das Programm automatisch eine Datei mit den Ergebnissen der Arbeit. Ein weiterer Vorteil von Regshot besteht darin, dass diese Datei leicht zu lesen ist. Es ist jedoch erwähnenswert, dass es eine Reihe von Registrierungsänderungen enthalten wird, die wie eine Art Morsecode erscheinen können. In meinem Fall wurden beide Bilder im Abstand von weniger als einer Minute aufgenommen. Meine einzige Aktion bestand darin, den Primer-Parameter zu entfernen. Wie Sie sehen, hat das Programm dies aufgezeichnet. Und auch viele andere Veränderungen aufgezeichnet. Unter der Haube des Betriebssystems ist immer etwas los, und das meiste davon bleibt unseren Augen verborgen.

Weitere unnötige Bilder können durch Drücken der Taste gelöscht werden Klar in der Programmoberfläche. Sie können das Regshot-Programm herunterladen.

Das letzte in diesem Artikel besprochene Windows-Registrierungsüberwachungstool ist das Programm Registrierung Live Watch. Vielleicht können Sie schon am Namen erkennen, dass dieses Programm in der Lage ist, Registrierungsänderungen in Echtzeit zu überwachen.

Das Programm ist außerdem äußerst einfach und verfügt tatsächlich nicht einmal über viele Einstellungen. Sie geben einfach den Registry-Zweig an, den Sie überwachen möchten, und starten die Überwachung über die Schaltfläche Starten Sie den Monitor.

Allerdings hat das Programm einen gravierenden Nachteil, der den eigentlichen Gedanken der Überwachung größtenteils zunichte macht. Es zeigt nur Meldungen über Änderungen im beobachteten Registrierungszweig an, schreibt jedoch nicht genau, welche Änderungen vorgenommen wurden. Der zweite Nachteil besteht darin, dass Registry Live Watch nicht die gesamte Registrierung überwachen kann. Sie können das Programm herunterladen.

Am Ende des Artikels werden wir darüber sprechen, wie Sie die Erfassung von Informationen über die Registrierung automatisieren können, ohne auf Software von Drittanbietern zurückgreifen zu müssen. Dies kann mithilfe eines Skripts erfolgen, das den Befehl reg export enthält, dessen Syntax erläutert wird. Wenn Sie dieses Skript nach einem Zeitplan ausführen, erhalten Sie eine Reihe von Registrierungs-Snapshots, die bei Bedarf verglichen werden können.