Πώς να το κάνουμε Στιγμιότυπα μητρώου των Windowsγια σύγκριση και παρακολούθηση αλλαγών;
Μπορείτε να παρακολουθείτε τις αλλαγές μητρώου με διαφορετικούς τρόπους, χειροκίνητα ή χρησιμοποιώντας ειδικά προγράμματα. Σε αυτό το άρθρο θα σας πω πώς να το κάνετε αυτό χρησιμοποιώντας προγράμματα, τα οποία κατά τη γνώμη μου είναι πολύ πιο βολικά.
Όπως υποσχέθηκα, στο άρθρο "", με αυτήν τη δημοσίευση ξεκινάμε μια σειρά άρθρων αφιερωμένων στην ανάλυση κακόβουλου λογισμικού. Σε αυτά τα άρθρα θα μιλήσω για εργαλεία που σας επιτρέπουν να μελετήσετε τους ιούς και τη συμπεριφορά τους.
Το σημερινό άρθρο θα είναι χρήσιμο όχι μόνο σε ερευνητές ιών, αλλά και σε απλούς χρήστες που θέλουν να γίνουν πιο προχωρημένοι στη χρήση υπολογιστή. Θα σας πω πώς να χρησιμοποιήσετε το πρόγραμμα Regshot για να τραβήξετε στιγμιότυπα του μητρώου των Windows για σύγκριση και παρακολούθηση αλλαγών.
Τι είναι το μητρώο των Windows;
Το μητρώο είναι ένα από τα κύρια μέρη του λειτουργικού συστήματος Microsoft Windows. Παρόλα αυτά, οι περισσότεροι χρήστες χρησιμοποιούν το λειτουργικό σύστημα και δεν γνωρίζουν την ύπαρξη του μητρώου.
Ένας άπειρος χρήστης δεν συνειδητοποιεί καν ότι όταν αλλάζει όλες τις παραμέτρους: εγκατάσταση προγραμμάτων, αλλαγή των ίδιων των Windows και των συσκευών που είναι συνδεδεμένες σε αυτό, όλες οι αλλαγές γίνονται στο μητρώο των Windows.
Με μια λέξη, το μητρώο είναι, κατά μία έννοια, ο πυρήνας του λειτουργικού συστήματος, στον οποίο αποθηκεύονται όλες οι ρυθμίσεις και οι αλλαγές.
Γιατί να αναλύσετε το μητρώο και να παρακολουθήσετε τις αλλαγές;
Ας υποθέσουμε ότι δεν είστε πλέον απλώς ένας παθητικός χρήστης υπολογιστή και θέλετε να μάθετε τι συμβαίνει στα παρασκήνια κατά την εγκατάσταση ενός νέου προγράμματος ή να αναλύσετε τη συμπεριφορά ενός ιού. Για να μάθετε ποιες αλλαγές κάνει όλο το λογισμικό, χρειάζεστε προγράμματα για την παρακολούθηση του μητρώου. Ένα τέτοιο εργαλείο είναι το RegShot.
Στιγμιότυπο μητρώου χρησιμοποιώντας το RegShot
RegShotείναι ένα μικρό δωρεάν και ανοιχτού κώδικα πρόγραμμα που σας επιτρέπει να τραβάτε στιγμιότυπα του μητρώου και να τα συγκρίνετε. Όλες οι αλλαγές που έχουν συμβεί στο μητρώο μπορούν να αποθηκευτούν σε αρχείο κειμένου ή αρχείο html.
Κατεβάστε το RegShot
Μπορείτε να κατεβάσετε το πρόγραμμα RegShot δωρεάν χρησιμοποιώντας έναν άμεσο σύνδεσμο.
Εγκατάσταση του RegShot
Μετά τη λήψη του προγράμματος, αποσυμπιέστε το αρχείο και μεταβείτε στο φάκελο με τα αρχεία. Θα υπάρχουν πολλά αρχεία στον φάκελο.
Όταν επιλέγετε ένα εκτελέσιμο αρχείο, δώστε προσοχή στο bit του λειτουργικού σας συστήματος.
Ρύθμιση και χρήση του RegShot
Μετά την εκκίνηση, θα εμφανιστεί ένα μικρό παράθυρο προγράμματος στο οποίο αλλάζουμε αμέσως τη γλώσσα του δέρματος σε ρωσικά. Υπάρχει επίσης μια ουκρανική γλώσσα διεπαφής.
Τώρα ας πιάσουμε τη δουλειά. Η παρακολούθηση αλλαγών μητρώου ξεκινά με τη λήψη του πρώτου στιγμιότυπου του μητρώου. Κάντε κλικ στο κουμπί στιγμιότυπο και στο αναπτυσσόμενο παράθυρο βλέπουμε 3 επιλογές:
- Στιγμιότυπο - Στιγμιότυπο μόνο
- Snapshot + Save - Στιγμιότυπο και αντίγραφο ασφαλείας του μητρώου
- Άνοιγμα - Ανοίξτε ένα ήδη τραβηγμένο στιγμιότυπο του μητρώου
Επιλέξτε την επιθυμητή επιλογή. Στο παράδειγμά μου, δεν χρειάζεται να δημιουργήσετε αντίγραφα ασφαλείας του μητρώου, οπότε κάνω κλικ στο κουμπί "Στιγμιότυπο". Το πρόγραμμα θα ζωντανέψει και θα αρχίσει να δημιουργεί το πρώτο στιγμιότυπο του μητρώου. Στο κάτω μέρος του παραθύρου θα δείτε πώς αλλάζουν οι αριθμοί.
Όταν σταματήσουν οι αριθμοί και το πρόγραμμα ηρεμήσει, μπορείτε να ξεκινήσετε να εργάζεστε με προγράμματα τρίτων, εγκατάσταση και όλα αυτά.
Αφού τελειώσετε, κάντε κλικ στο κουμπί «Δεύτερη εικόνα» και μετά από μερικά δευτερόλεπτα μπορείτε να κάνετε κλικ στο κουμπί «Σύγκριση».
Εάν το πεδίο "Κείμενο" ήταν επιλεγμένο στην αρχή, τότε θα δείτε ένα παράθυρο επεξεργασίας κειμένου Σημειωματάριο, το οποίο θα περιέχει μια πλήρη αναφορά αλλαγών στο μητρώο.
Δεν εγκατέστησα κανένα πρόγραμμα, απλώς άλλαξα μερικές ρυθμίσεις στον Πίνακα Ελέγχου των Windows. Όπως μπορείτε να δείτε, το βοηθητικό πρόγραμμα Regshot κατέγραψε όλες τις αλλαγές.
Κατά την εγκατάσταση του λογισμικού, η αναφορά θα είναι φυσικά μεγαλύτερη.
Εάν πρέπει να αναλύσετε ξανά το μητρώο, κάντε κλικ στο κουμπί "Εκκαθάριση" και ξεκινήστε από την αρχή.
Όπως μπορείτε να δείτε, η λήψη ενός στιγμιότυπου του μητρώου για την παρακολούθηση των αλλαγών είναι πολύ εύκολη, ειδικά όταν έχετε το σωστό πρόγραμμα στη διάθεσή σας. Αυτό είναι πολύ βολικό εάν πρέπει να μάθετε ποιες αλλαγές κάνει το πρόγραμμα στο μητρώο κατά την εγκατάσταση. Παρεμπιπτόντως, με αυτόν τον τρόπο μπορείτε να μάθετε ποια στοιχεία μητρώου είναι υπεύθυνα για μια συγκεκριμένη ρύθμιση των Windows.
Χρησιμοποιώντας το λειτουργικό σύστημα Windows, θα ήταν καλή ιδέα να το γνωρίσετε καλύτερα. Μπορείτε να ξεκινήσετε με ένα άρθρο σχετικά με ένα μυστικιστικό αρχείο που απλά πρέπει να γνωρίζετε!
Αυτό είναι όλο φίλοι. Θα εξερευνήσουμε άλλα εργαλεία στο μέλλον. Και ναι, δεν ξέχασα ότι υποσχέθηκα να παράσχω λεπτομερείς οδηγίες για το πώς να φτιάξετε ένα αξιόπιστο απομονωμένο εργαστήριο σε μια εικονική μηχανή για έλεγχο λογισμικού και ιών. Καλώς ήρθατε λοιπόν στις δημόσιες σελίδες μας
Οι κλάδοι μητρώου του λειτουργικού συστήματος Windows αποθηκεύουν τις ρυθμίσεις και τις παραμέτρους του ίδιου του συστήματος, καθώς και άλλο λογισμικό που είναι εγκατεστημένο στον υπολογιστή. Μερικές φορές χρειάζεται να μάθετε ποιοι κλάδοι μητρώου τροποποιούνται από ένα εκκινημένο πρόγραμμα ή από τη διανομή εγκατάστασής του. Για να μάθετε τι έχει αλλάξει στο μητρώο, πρέπει να χρησιμοποιήσετε ένα ειδικό πρόγραμμα για την παρακολούθηση της κατάστασης των παραμέτρων μητρώου συστήματος. Το πρόγραμμα RegFromApp παρακολουθεί σε πραγματικό χρόνο τις αλλαγές στο μητρώο συστήματος που πραγματοποιούνται από ένα πρόγραμμα που εκτελείται (διαδικασία) και αντικατοπτρίζει τον κλάδο μητρώου και τις τιμές που έχουν αλλάξει σε αυτό.
Παρακολούθηση αλλαγών στο μητρώο
Για να μάθετε τι αλλάζει ένα συγκεκριμένο πρόγραμμα στο μητρώο, πρέπει να εκτελέσετε το RegFromApp και να επιλέξετε τη διαδικασία που σας ενδιαφέρει να παρακολουθήσετε από τη λίστα όλων των διεργασιών που εκτελούνται. Μόλις το πρόγραμμα που ενδιαφέρει τον χρήστη αποκτήσει πρόσβαση στο μητρώο και αλλάξει τις τιμές των υποκαταστημάτων του, το RegFromApp θα αντικατοπτρίζει αμέσως τον κλάδο μητρώου στον οποίο πραγματοποιούνται οι αλλαγές και θα εμφανίσει τις αλλαγμένες τιμές. Οι αλλαγές που έγιναν στο μητρώο μπορούν να αποθηκευτούν σε ένα αρχείο μητρώου (*.reg). Το βοηθητικό πρόγραμμα RegFromApp υποστηρίζει την εκτέλεση από τη γραμμή εντολών με παραμέτρους.
Στιγμιότυπα οθόνης του προγράμματος RegFromApp
Επίσημη ιστοσελίδα: http://www.nirsoft.net
ΛΣ:
32.64 Windows XP/Vista/7/8
Υποστηριζόμενες γλώσσες:Ρωσική
Εκδοχή: 1.32
Αδεια:δωρεάν λογισμικό (Ελεύθερος)
Μέγεθος αρχείου 107 KB
Πιο ενδιαφέροντα προγράμματα:
- Το SmartPawnshop είναι το πρώτο ρωσικό πρόγραμμα που σας επιτρέπει να βελτιστοποιήσετε τις διαδικασίες διαχείρισης επιχειρήσεων πιόνι
Μητρώο των Windows
είναι ίσως το πιο δυναμικό στοιχείο του λειτουργικού συστήματος. Αντικατοπτρίζει οποιεσδήποτε, ακόμη και τις πιο μικρές, αλλαγές που έγιναν στο σύστημα από τυπικά προγράμματα και προγράμματα τρίτων κατασκευαστών. Οι έμπειροι χρήστες μπορούν να παρακολουθούν τέτοιες αλλαγές χρησιμοποιώντας ειδικά βοηθητικά προγράμματα για το σκοπό αυτό, ένα από τα οποία θα συζητηθεί σήμερα. Λέγεται. Αυτό το μικρό φορητό βοηθητικό πρόγραμμα από Nirsoft
σας επιτρέπει να παρακολουθείτε τη λειτουργία των προγραμμάτων που είναι εγκατεστημένα στον υπολογιστή σας.
Ή μάλλον, καταγράψτε όλες τις αλλαγές που πραγματοποιούν στο μητρώο του συστήματος κατά τη διάρκεια της εργασίας τους και, εάν είναι απαραίτητο, συγκρίνετε τα προηγούμενα αποτελέσματα με μεταγενέστερα. Εξαιρέσεις περιλαμβάνουν καθολικές εφαρμογές Windows, που συνδέονται με τις διεργασίες τους τις περισσότερες φορές αποτυγχάνει.
Σημείωση: Για σκοπούς παρακολούθησης 32-bit πρέπει να χρησιμοποιηθούν προγράμματα 32-bit εκδοχή , ακόμη και σε 64-bit Σύστημα.
Η χρήση του βοηθητικού προγράμματος είναι αρκετά απλή. Μετά την εκκίνηση, θα σας ζητηθεί να επιλέξετε μια διαδικασία για παρακολούθηση και να κάνετε κλικ Εντάξει . Μπορείτε επίσης να επιλέξετε τη διαδικασία χειροκίνητα από το κύριο γραφικό μενού του προγράμματος. Μετά από αυτό, η παρακολούθηση θα ξεκινήσει στο παρασκήνιο. Μόλις το παρακολουθούμενο πρόγραμμα κάνει οποιεσδήποτε αλλαγές στο μητρώο, θα εμφανιστούν αμέσως στο κύριο παράθυρο του βοηθητικού προγράμματος. Τα δεδομένα αλλαγής μπορούν να αντιγραφούν στο πρόχειρο ή να αποθηκευτούν σε ένα αρχείο REG.
Λειτουργία εμφάνισης σε δύο. Από προεπιλογή, το βοηθητικό πρόγραμμα εμφανίζει μόνο τις τελευταίες τροποποιημένες τιμές, αλλά είναι επίσης δυνατό να ρυθμίσετε την εμφάνιση των αρχικών τιμών. Δεν υπάρχουν άλλες σημαντικές ρυθμίσεις στο πρόγραμμα.
Αυτό το άρθρο σάς δείχνει τα βήματα για να αποκτήσετε την κυριότητα ενός κλειδιού μητρώου και να αποκτήσετε πλήρη δικαιώματα ελέγχου, καθώς και πώς να επιστρέψετε τα αρχικά δικαιώματα και να επαναφέρετε τον αρχικό κάτοχο.
Ορισμένες ενότητες του μητρώου των Windows δεν είναι διαθέσιμες για επεξεργασία, ακόμα κι αν ο λογαριασμός σας ανήκει στην ομάδα "Διαχειριστές". Αυτό συμβαίνει συνήθως επειδή η ομάδα "Διαχειριστές"Δεν υπάρχουν κατάλληλα δικαιώματα (δικαιώματα) για εγγραφή σε αυτό το κλειδί μητρώου. Υπάρχουν διάφοροι λόγοι για τους οποίους δεν μπορείτε να επεξεργαστείτε ένα κλειδί μητρώου:
■ Ομάδα "Διαχειριστές"είναι ο κάτοχος της ενότητας, αλλά δεν έχει πλήρη δικαιώματα σε αυτήν. Σε αυτή την περίπτωση, αρκεί απλώς να εκδοθεί στην ομάδα "Διαχειριστές"πλήρη δικαιώματα.
■ Ο κάτοχος διαμερίσματος είναι υπηρεσία συστήματος TrustedInstaller. Σε αυτήν την περίπτωση, πρέπει πρώτα να γίνετε ο κάτοχος της ενότητας και, στη συνέχεια, να δώσετε στην ομάδα σας πλήρη δικαιώματα, ακριβώς ένα τέτοιο παράδειγμα θα εξεταστεί σε αυτό το άρθρο.
■ Ο κάτοχος του διαμερίσματος είναι ο λογαριασμός συστήματος "Σύστημα" TrustedInstaller.
Το υπόλοιπο άρθρο θα περιγράψει πώς να κάνετε αλλαγές στο μητρώο εάν δεν έχετε τα κατάλληλα δικαιώματα, καθώς και πώς να επαναφέρετε τα αρχικά δικαιώματα και γιατί πρέπει να το κάνετε αυτό. Πριν από την επεξεργασία του μητρώου συστήματος, συνιστάται
Όταν αλλάζετε οποιαδήποτε παράμετρο στο μητρώο, εάν δεν έχετε αρκετά δικαιώματα, θα λάβετε ένα μήνυμα σφάλματος.
Ας σκεφτούμε πρώτο παράδειγμαόταν η ομάδα "Διαχειριστές"είναι ο κάτοχος της ενότητας, αλλά δεν έχει πλήρη δικαιώματα σε αυτήν:
1
Άδειες...
2
. Επιλέξτε μια ομάδα "Διαχειριστές":
Εάν το πλαίσιο ελέγχου είναι διαθέσιμο Πλήρης πρόσβαση, εγκαταστήστε το και κάντε κλικ στο κουμπί Εντάξει. Αυτό μπορεί να είναι αρκετό εάν η ομάδα είναι ο κάτοχος της ενότητας.
Εάν το πλαίσιο ελέγχου δεν είναι διαθέσιμο ή δείτε ένα μήνυμα σφάλματος όπως στο παρακάτω στιγμιότυπο οθόνης, προχωρήστε στο δεύτερο παράδειγμα.
Στο παράθυρο Δικαιώματα ομάδαςκάντε κλικ στο κουμπί Επιπροσθέτως
Στο επόμενο παράθυρο, κάντε κλικ στον σύνδεσμο ΑλλαγήΕισαγάγετε το όνομα του τοπικού λογαριασμού σας ή τη διεύθυνση email του λογαριασμού Microsoft, ελέγξτε το όνομα και κάντε κλικ Εντάξει
Επιλέξτε το πλαίσιο Αντικαταστήστε τον ιδιοκτήτη υποδοχείων και αντικειμένωνστο επάνω μέρος του παραθύρου και κάντε κλικ στο κουμπί Εντάξει
Επιλέξτε μια ομάδα "Διαχειριστές", επιλέξτε το πλαίσιο Πλήρης πρόσβαση, πάτα το κουμπί Εντάξει
Έχετε πλέον πλήρη πρόσβαση στο κλειδί μητρώου και μπορείτε να επεξεργαστείτε όλες τις ρυθμίσεις του.
Τρίτο παράδειγμαόταν ο κάτοχος του διαμερίσματος είναι ο λογαριασμός συστήματος "Σύστημα". Σε αυτή την περίπτωση, οι ενέργειες θα είναι ίδιες όπως και με TrustedInstaller.
Επιστροφή αρχικών δικαιωμάτων και αποκατάσταση ιδιοκτησίας
Για λόγους ασφαλείας συστήματος, αφού επεξεργαστείτε τις απαραίτητες παραμέτρους του κλειδιού μητρώου, πρέπει να επιστρέψετε τα αρχικά δικαιώματα πρόσβασης και να επαναφέρετε τον λογαριασμό συστήματος ως κάτοχο της ενότητας. TrustedInstaller.
1
. Κάντε δεξί κλικ στο κλειδί μητρώου και επιλέξτε από το μενού Άδειες...
2 . Στο παράθυρο Δικαιώματα ομάδαςκάντε κλικ στο κουμπί Επιπροσθέτως
Κάντε κλικ στο κουμπί Εντάξει
5 . Στο παράθυρο Δικαιώματα ομάδαςεπιλέξτε μια ομάδα "Διαχειριστές", καταργήστε την επιλογή Πλήρης πρόσβαση, πάτα το κουμπί Εντάξει
Τα αρχικά δικαιώματα και ο κάτοχος του κλειδιού μητρώου έχουν αποκατασταθεί.
■ Εάν ο κάτοχος της ενότητας ήταν λογαριασμός Σύστημα(στην αγγλική έκδοση Σύστημα), τότε αντ' αυτού
NT Service\TrustedInstallerεισαγω Σύστημα(στην αγγλική έκδοση Σύστημα).
Από καιρό σε καιρό, οι χρήστες και οι διαχειριστές συστήματος μπορεί να χρειαστεί να προβάλουν αλλαγές στο μητρώο των Windows για μια συγκεκριμένη περίοδο. Αυτό μπορεί να οφείλεται στο ότι θέλετε να δείτε ποιες αλλαγές κάνει ένα συγκεκριμένο πρόγραμμα ή ενέργειες χρήστη.
Μπορείτε να προβάλετε τις αλλαγές που έγιναν στο μητρώο των Windows χρησιμοποιώντας εργαλεία ενσωματωμένα στο λειτουργικό σύστημα ή χρησιμοποιώντας λογισμικό τρίτων κατασκευαστών. Ας ξεκινήσουμε με τα πρώτα.
Επιπλέον, ας αναφέρουμε επίσης ότι όλα καταλήγουν σε δύο μεθόδους: σύγκριση δύο «στιγμιότυπων» του μητρώου που λαμβάνονται σε διαφορετικές χρονικές στιγμές ή παρακολούθηση αλλαγών σε πραγματικό χρόνο.
Ο πιο προσιτός τρόπος για να δείτε ποιες αλλαγές έχουν γίνει στο μητρώο είναι να χρησιμοποιήσετε το βοηθητικό πρόγραμμα που είναι ενσωματωμένο στα Windows fc.exe. Το πλεονέκτημα αυτής της μεθόδου είναι ότι δεν χρειάζεται να αναζητήσετε πρόσθετο λογισμικό. Γενικά, το βοηθητικό πρόγραμμα fc.exe χρησιμοποιείται όχι μόνο για την προβολή αλλαγών στο μητρώο, αλλά και για τη σύγκριση δύο αρχείων ή συνόλων αρχείων γενικά. Έτσι, γίνεται σαφές ότι χρειαζόμαστε δύο "στιγμιότυπα" του μητρώου.
Πρώτα εξάγουμε ολόκληρο το μητρώο ή μόνο το υποκατάστημα που χρειαζόμαστε. Ας υποθέσουμε ότι έχουμε δύο αρχεία: 1.reg και 2.reg, τα οποία βάλαμε στη μονάδα δίσκου C. Στη συνέχεια, μπορούμε να χρησιμοποιήσουμε την εντολή για να τα συγκρίνουμε
fc c:\1.reg c:\2.reg > c:\log.txtΣε αυτήν την περίπτωση, βγάζουμε το αποτέλεσμα της εντολής σε ένα αρχείο κειμένου. Αλλά θα συνιστούσα να χρησιμοποιήσετε μια πιο προηγμένη μορφή ή/και ένα ισχυρότερο πρόγραμμα επεξεργασίας από το Σημειωματάριο για να αποφύγετε προβλήματα με το .
Παραπάνω χρησιμοποίησα μορφή MS Word και .doc.
Το πρόβλημα με τη χρήση του fc.exe είναι ότι το αποτέλεσμα της εργασίας του δεν είναι αναγνώσιμο. Το παραπάνω στιγμιότυπο οθόνης υποδηλώνει ότι στο νήμα έχει προστεθεί παράμετρος Αλφαβητάρι. Αλλά είναι απίθανο να μπορέσετε να το καταλάβετε αυτό εάν δεν το γνωρίζετε εκ των προτέρων. Το fc.exe δεν μπορεί να ονομαστεί πλήρες εργαλείο ανάλυσης. Αυτό το βοηθητικό πρόγραμμα ταιριάζει καλύτερα όταν κάνετε μόνοι σας αλλαγές στο μητρώο και θέλετε να επαληθεύσετε ότι έχουν γίνει (αλλά δεν θέλετε να περιπλανηθείτε στους κλάδους του μητρώου στο regedit).
Επομένως, ας περάσουμε σε ένα άλλο βοηθητικό πρόγραμμα, το οποίο, δυστυχώς, δεν περιλαμβάνεται πλέον στις σύγχρονες εκδόσεις των Windows, αλλά μπορεί να προστεθεί. Λέγεται WinDiff. Μπορείτε να το προσθέσετε μέσω της εγκατάστασης πακέτων Microsoft Windows SDK. Δυστυχώς, μετά τα Windows 7, το WinDiff εξαιρέθηκε από αυτά τα πακέτα, αλλά μπορείτε να το κατεβάσετε ξεχωριστά, για παράδειγμα, .
Για να χρησιμοποιήσετε το βοηθητικό πρόγραμμα WinDiff από τη γραμμή εντολών των Windows, τοποθετήστε το στον κατάλογο %WINDIR%\System32. Τώρα για να συγκρίνουμε τα δύο αρχεία μητρώου από το παράδειγμα, πρέπει απλώς να εισάγουμε την εντολή
ανέμου C:\1.reg C:\2.reg
Θα ανοίξει η γραφική διεπαφή του βοηθητικού προγράμματος, η οποία φαίνεται στο παραπάνω στιγμιότυπο οθόνης. Ας μάθουμε πώς να διαβάζουμε την έξοδο του προγράμματος WinDiff.
- Οι γραμμές σε λευκό φόντο σημαίνουν ότι τα περιεχόμενα των αρχείων ταιριάζουν.
- Οι γραμμές με κόκκινο φόντο δείχνουν τα περιεχόμενα του πρώτου (αριστερού) αρχείου που δεν βρίσκονται στο δεύτερο (δεξιά).
- Οι γραμμές με κίτρινο φόντο δείχνουν τα περιεχόμενα του δεύτερου (δεξιά) αρχείου που δεν βρίσκονται στο πρώτο (αριστερά).
Έχουμε μια κίτρινη γραμμή με περιεχόμενο "Primer"="". Αυτό υποδηλώνει ότι η παράμετρος εμφανίστηκε στο δεύτερο αρχείο Αλφαβητάριμε κενή τιμή. Και είναι μέσα HKEY_LOCAL_MACHINE\SOFTWARE\Test. Δεδομένου ότι το δεύτερο αρχείο αποθηκεύτηκε αργότερα από το πρώτο, μπορούμε να συμπεράνουμε ότι αυτή η παράμετρος προστέθηκε και δεν αφαιρέθηκε.
Ας προχωρήσουμε σε βοηθητικά προγράμματα παρακολούθησης μητρώου τρίτων.
Μια δημοφιλής δωρεάν λύση είναι το πρόγραμμα Regshot. Το πρόγραμμα λειτουργεί επίσης με στιγμιότυπα μητρώου και τα φτιάχνει μόνο του, αντί να αναλύει προ-αποθηκευμένα αρχεία. Αυτό είναι το μείον του. Και το συν είναι ότι είναι πολύ απλό.
Πρώτα πρέπει να τραβήξετε το πρώτο στιγμιότυπο του μητρώου.
Μετά από αυτό μπορούν να συγκριθούν.
Αφού ολοκληρωθεί η διαδικασία σύγκρισης, το πρόγραμμα θα ανοίξει αυτόματα ένα αρχείο με τα αποτελέσματα της εργασίας. Ένα άλλο πλεονέκτημα του Regshot είναι ότι αυτό το αρχείο είναι εύκολο στην ανάγνωση. Ωστόσο, αξίζει να σημειωθεί ότι θα περιέχει ένα σωρό αλλαγές στο μητρώο, οι οποίες μπορεί να φαίνονται σαν ένα είδος κώδικα Μορς. Στην περίπτωσή μου, και οι δύο φωτογραφίες τραβήχτηκαν με διαφορά λιγότερο από ένα λεπτό. Η μόνη μου ενέργεια ήταν να αφαιρέσω την παράμετρο Primer. Όπως μπορείτε να δείτε, το πρόγραμμα το κατέγραψε αυτό. Και επίσης κατέγραψε πολλές άλλες αλλαγές. Πάντα κάτι συμβαίνει κάτω από την κουκούλα του λειτουργικού συστήματος και το μεγαλύτερο μέρος του είναι κρυμμένο από τα μάτια μας.
Περισσότερες περιττές φωτογραφίες μπορούν να διαγραφούν πατώντας το κουμπί Σαφήστη διεπαφή προγράμματος. Μπορείτε να κατεβάσετε το πρόγραμμα Regshot.
Το τελευταίο εργαλείο παρακολούθησης μητρώου των Windows που συζητείται σε αυτό το άρθρο θα είναι το πρόγραμμα Registry Live Watch. Ίσως, ήδη από το όνομα μπορείτε να καταλάβετε ότι αυτό το πρόγραμμα είναι σε θέση να παρακολουθεί τις αλλαγές μητρώου σε πραγματικό χρόνο.
Το πρόγραμμα είναι επίσης εξαιρετικά απλό και, στην πραγματικότητα, δεν έχει καν πολλές ρυθμίσεις. Απλώς καθορίστε τον κλάδο μητρώου που θέλετε να παρακολουθήσετε και ξεκινήστε την παρακολούθηση με το κουμπί Ξεκινήστε την οθόνη.
Ωστόσο, το πρόγραμμα έχει ένα σοβαρό μειονέκτημα, το οποίο, ως επί το πλείστον, εξουδετερώνει την ίδια την ιδέα της παρακολούθησης. Εμφανίζει μόνο μηνύματα σχετικά με αλλαγές στον κλάδο μητρώου που παρατηρήθηκε, αλλά δεν γράφει ακριβώς ποιες αλλαγές έγιναν. Το δεύτερο μειονέκτημα είναι ότι το Registry Live Watch δεν μπορεί να παρακολουθήσει ολόκληρο το μητρώο. Μπορείτε να κατεβάσετε το πρόγραμμα.
Στο τέλος του άρθρου, θα μιλήσουμε για το πώς να αυτοματοποιήσετε τη συλλογή πληροφοριών σχετικά με το μητρώο χωρίς να καταφύγετε σε λογισμικό τρίτων. Αυτό μπορεί να γίνει χρησιμοποιώντας ένα σενάριο που περιέχει την εντολή εξαγωγής reg, η σύνταξη της οποίας συζητείται. Εκτελώντας αυτό το σενάριο σε ένα χρονοδιάγραμμα, θα λάβετε μια σειρά από στιγμιότυπα μητρώου που μπορούν να συγκριθούν εάν είναι απαραίτητο.