Miten tehdä Windowsin rekisterin tilannekuvat vertailla ja seurata muutoksia?
Voit seurata rekisterin muutoksia eri tavoilla, manuaalisesti tai erikoisohjelmien avulla. Tässä artikkelissa kerron sinulle, kuinka tämä tehdään ohjelmilla, mikä on mielestäni paljon kätevämpää.
Kuten lupasin, artikkelissa "" aloitamme tällä julkaisulla artikkelisarjan, joka on omistettu haittaohjelmien analysoinnille. Näissä artikkeleissa puhun työkaluista, joiden avulla voit tutkia viruksia ja niiden käyttäytymistä.
Tämän päivän artikkeli ei ole hyödyllinen vain virustutkijoille, vaan myös tavallisille käyttäjille, jotka haluavat kehittyä tietokoneen käytössä. Kerron sinulle, kuinka Regshot-ohjelman avulla voit ottaa tilannekuvia Windowsin rekisteristä muutosten vertailua ja seurantaa varten.
Mikä on Windowsin rekisteri?
Rekisteri on yksi Microsoft Windows -käyttöjärjestelmän tärkeimmistä osista. Tästä huolimatta useimmat käyttäjät käyttävät käyttöjärjestelmää eivätkä ole tietoisia rekisterin olemassaolosta.
Kokematon käyttäjä ei edes ymmärrä, että kun muutetaan kaikkia parametreja: ohjelmia asennettaessa, Windowsia itseään ja siihen kytkettyjä laitteita vaihdettaessa, kaikki muutokset tehdään Windowsin rekisteriin.
Sanalla sanoen rekisteri on tietyssä mielessä käyttöjärjestelmän ydin, johon kaikki asetukset ja muutokset tallennetaan.
Miksi analysoida rekisteriä ja seurata muutoksia?
Oletetaan, että et ole enää vain passiivinen tietokoneen käyttäjä ja haluat selvittää, mitä kulissien takana tapahtuu uuden ohjelman asennuksen aikana tai analysoida viruksen käyttäytymistä. Jotta voit selvittää, mitä muutoksia kaikki ohjelmistot tekevät, tarvitset ohjelmia rekisterin seuraamiseen. Yksi tällainen työkalu on RegShot.
Rekisterin tilannekuva RegShotilla
RegShot on pieni ilmainen ja avoimen lähdekoodin ohjelma, jonka avulla voit ottaa tilannekuvia rekisteristä ja vertailla niitä. Kaikki rekisterissä tehdyt muutokset voidaan tallentaa tekstitiedostoon tai html-tiedostoon.
Lataa RegShot
Voit ladata RegShot-ohjelman ilmaiseksi suoran linkin kautta.
RegShotin asentaminen
Kun ohjelma on latautunut, pura arkisto ja siirry kansioon, jossa tiedostot ovat. Kansiossa on useita tiedostoja.
Kun valitset suoritettavaa tiedostoa, kiinnitä huomiota käyttöjärjestelmäsi bittimäärään.
RegShotin määrittäminen ja käyttö
Käynnistyksen jälkeen näkyviin tulee pieni ohjelmaikkuna, jossa vaihdamme välittömästi ihon kielen venäjäksi. On myös ukrainalainen käyttöliittymäkieli.
Nyt mennään töihin. Rekisterin muutosten seuranta alkaa ottamalla ensimmäinen tilannekuva rekisteristä. Napsauta tilannekuvapainiketta ja avattavassa ikkunassa näemme 3 vaihtoehtoa:
- Tilannekuva – vain tilannekuva
- Snapshot + Save - Rekisterin tilannekuva ja varmuuskopio
- Avaa - Avaa jo otettu tilannekuva rekisteristä
Valitse haluamasi vaihtoehto. Esimerkkitapauksessani ei tarvitse varmuuskopioida rekisteriä, joten napsautan "Snapshot" -painiketta. Ohjelma herää henkiin ja alkaa luoda ensimmäistä tilannekuvaa rekisteristä. Ikkunan alareunasta näet kuinka numerot muuttuvat.
Kun numerot pysähtyvät ja ohjelma rauhoittuu, voit aloittaa työskentelyn kolmannen osapuolen ohjelmien, asennuksen ja kaiken muun kanssa.
Kun olet valmis, napsauta "Toinen kuva" -painiketta ja muutaman sekunnin kuluttua voit klikata "Vertaa" -painiketta.
Jos "Teksti"-kenttä valittiin alussa, näet Muistio-tekstieditori-ikkunan, joka sisältää täydellisen raportin rekisterimuutoksista.
En asentanut ohjelmia, muutin vain muutamia asetuksia Windowsin Ohjauspaneelissa. Kuten näet, Regshot-apuohjelma tallensi kaikki muutokset.
Ohjelmiston asennuksen aikana raportti on tietysti suurempi.
Jos sinun on analysoitava rekisteri uudelleen, napsauta "Tyhjennä" -painiketta ja aloita alusta.
Kuten näet, tilannekuvan ottaminen rekisteristä muutosten seuraamiseksi on erittäin helppoa, varsinkin kun sinulla on oikea ohjelma käsillä. Tämä on erittäin kätevää, jos haluat selvittää, mitä muutoksia ohjelma tekee rekisteriin asennuksen aikana. Muuten, tällä tavalla voit selvittää, mitkä rekisterielementit ovat vastuussa tietystä Windows-asetuksesta.
Windows-käyttöjärjestelmää käytettäessä olisi hyvä idea tutustua siihen paremmin. Voit aloittaa artikkelilla mystistä tiedostoa, joka sinun on yksinkertaisesti tiedettävä!
Siinä kaikki, ystävät. Tulevaisuudessa tutkimme muita työkaluja. Ja kyllä, en unohda, että lupasin antaa yksityiskohtaiset ohjeet kuinka luoda luotettava eristetty laboratorio virtuaalikoneeseen ohjelmistojen ja virusten tarkistamista varten. Olet siis tervetullut julkisille sivuillemme
Windows-käyttöjärjestelmän rekisterihaaroihin tallennetaan itse järjestelmän asetukset ja parametrit sekä muut tietokoneeseen asennetut ohjelmistot. Joskus sinun on selvitettävä, mitä rekisterihaaroja käynnistetty ohjelma tai sen asennusjakelu muuttaa. Jotta voit selvittää, mitä rekisterissä on muutettu, sinun on käytettävä erityistä ohjelmaa järjestelmän rekisteriparametrien tilan seuraamiseen. RegFromApp-ohjelma seuraa reaaliaikaisesti käynnissä olevan ohjelman (prosessin) tekemiä muutoksia järjestelmärekisteriin ja heijastaa rekisterihaaraa ja siinä muuttuneita arvoja.
Seuraa muutoksia rekisterissä
Saadaksesi selville, mitä tietty ohjelma muuttaa rekisterissä, sinun on suoritettava RegFromApp ja valittava kaikkien käynnissä olevien prosessien luettelosta prosessi, jota haluat seurata. Heti kun käyttäjää kiinnostava ohjelma avaa rekisterin ja muuttaa haarojensa arvoja, RegFromApp heijastaa välittömästi rekisterihaaran, jossa muutokset tapahtuvat, ja näyttää muuttuneet arvot. Rekisteriin tehdyt muutokset voidaan tallentaa rekisteritiedostoon (*.reg). RegFromApp-apuohjelma tukee suorittamista komentoriviltä parametrien kanssa.
Kuvakaappauksia RegFromApp-ohjelmasta
Virallinen sivusto: http://www.nirsoft.net
Käyttöjärjestelmä:
32.64 Windows XP/Vista/7/8
Tuetut kielet: Venäjän kieli
Versio: 1.32
Lisenssi:freeware (vapaa)
Tiedoston koko 107 kt
Lisää mielenkiintoisia ohjelmia:
- SmartPawnshop on ensimmäinen venäläinen ohjelma, jonka avulla voit optimoida sotilasliiketoiminnan johtamisprosesseja
Windowsin rekisteri
on ehkä käyttöjärjestelmän dynaamisin komponentti. Se heijastaa kaikkia, jopa kaikkein vähäisimpiä, muutoksia, jotka tavalliset ja kolmannen osapuolen ohjelmat ovat tehneet järjestelmään. Kokeneet käyttäjät voivat seurata tällaisia muutoksia käyttämällä tähän tarkoitukseen erityisiä apuohjelmia, joista yksi käsitellään tänään. Sitä kutsutaan. Tämä pieni kannettava apuohjelma Nirsoft
voit seurata tietokoneellesi asennettujen ohjelmien toimintaa.
Tai pikemminkin kirjaa kaikki muutokset, joita he tekevät työnsä aikana järjestelmärekisteriin, ja vertaa tarvittaessa aiemmin saatuja tuloksia myöhempiin. Poikkeuksia ovat yleiset Windows-sovellukset, jotka muodostavat yhteyden prosesseihinsa useimmiten epäonnistuu.
Huomautus: Seurantatarkoituksiin 32-bittinen ohjelmia pitää käyttää 32-bittinen versio , jopa päällä 64-bittinen järjestelmä.
Apuohjelman käyttö on melko yksinkertaista. Sen käynnistämisen jälkeen sinua pyydetään valitsemaan valvottava prosessi ja napsautettava sitä OK . Voit myös valita prosessin manuaalisesti ohjelman graafisesta päävalikosta. Tämän jälkeen valvonta alkaa taustalla. Heti kun valvottu ohjelma tekee muutoksia rekisteriin, ne näkyvät välittömästi apuohjelman pääikkunassa. Muutostiedot voidaan kopioida leikepöydälle tai tallentaa tiedostoon REG.
Näyttötila sisään kaksi. Oletusarvoisesti apuohjelma näyttää vain viimeksi muutetut arvot, mutta on myös mahdollista asettaa alkuperäisten arvojen näyttö. Ohjelmassa ei ole muita merkittäviä asetuksia.
Tässä artikkelissa kerrotaan, miten voit ottaa rekisteriavaimen omistukseen ja saada täydet hallintaoikeudet sekä palauttaa alkuperäiset oikeudet ja palauttaa alkuperäisen omistajan.
Joitakin Windowsin rekisterin osia ei voi muokata, vaikka tilisi kuuluisi ryhmään "Järjestelmänvalvojat". Tämä tapahtuu yleensä siksi, että ryhmä "Järjestelmänvalvojat" Ei ole asianmukaisia oikeuksia (oikeuksia) kirjoittaa tähän rekisteriavaimeen. On useita syitä, miksi et voi muokata rekisteriavainta:
■ Ryhmä "Järjestelmänvalvojat" on osion omistaja, mutta hänellä ei ole kaikkia oikeuksia siihen. Tässä tapauksessa riittää yksinkertaisesti jakaminen ryhmälle "Järjestelmänvalvojat" täydet oikeudet.
■ Osion omistaja on järjestelmäpalvelu Luotettu asennusohjelma. Tässä tapauksessa sinun on ensin tultava osion omistajaksi ja annettava sitten ryhmällesi täydet oikeudet, juuri tällaista esimerkkiä tarkastellaan tässä artikkelissa.
■ Osion omistaja on järjestelmätili "Järjestelmä" Luotettu asennusohjelma.
Artikkelin loppuosassa kuvataan, kuinka tehdä muutoksia rekisteriin, jos sinulla ei ole tarvittavia käyttöoikeuksia, sekä kuinka palauttaa alkuperäiset käyttöoikeudet ja miksi sinun on tehtävä tämä. Ennen kuin muokkaat järjestelmärekisteriä, on suositeltavaa
Kun muutat mitä tahansa parametria rekisterissä, jos sinulla ei ole tarpeeksi oikeuksia, saat virheilmoituksen.
Harkitsemme ensimmäinen esimerkki kun ryhmä "Järjestelmänvalvojat" on osion omistaja, mutta hänellä ei ole kaikkia oikeuksia siihen:
1
Käyttöoikeudet...
2
. Valitse ryhmä "Järjestelmänvalvojat":
Jos valintaruutu on käytettävissä Täysi pääsy, asenna se ja napsauta painiketta OK. Tämä saattaa riittää, jos ryhmä on osion omistaja.
Jos valintaruutu ei ole käytettävissä tai näet alla olevan kuvakaappauksen kaltaisen virheilmoituksen, siirry toiseen esimerkkiin.
Ikkunassa Ryhmän käyttöoikeudet napsauta painiketta Lisäksi
Napsauta seuraavassa ikkunassa linkkiä Muuttaa Kirjoita paikallinen tilisi nimi tai Microsoft-tilisi sähköpostiosoite, tarkista nimi ja napsauta OK
Valitse ruutu Vaihda alisäiliöiden ja esineiden omistaja ikkunan yläosassa ja napsauta painiketta OK
Valitse ryhmä "Järjestelmänvalvojat", Valitse ruutu Täysi pääsy, painaa nappia OK
Sinulla on nyt täydet käyttöoikeudet rekisteriavaimeen ja voit muokata kaikkia sen asetuksia.
Kolmas esimerkki kun osion omistaja on järjestelmätili "Järjestelmä". Tässä tapauksessa toiminnot ovat samat kuin kanssa Luotettu asennusohjelma.
Alkuperäisten oikeuksien palauttaminen ja omistusoikeuden palauttaminen
Järjestelmän turvallisuussyistä, kun olet muokannut tarvittavia rekisteriavaimen parametreja, sinun on palautettava alkuperäiset käyttöoikeudet ja palautettava järjestelmätili osion omistajaksi. Luotettu asennusohjelma.
1
. Napsauta hiiren kakkospainikkeella rekisteriavainta ja valitse valikosta Käyttöoikeudet...
2 . Ikkunassa Ryhmän käyttöoikeudet napsauta painiketta Lisäksi
Napsauta painiketta OK
5 . Ikkunassa Ryhmän käyttöoikeudet valitse ryhmä "Järjestelmänvalvojat", poista valinta Täysi pääsy, painaa nappia OK
Rekisteriavaimen alkuperäiset oikeudet ja omistaja on palautettu.
■ Jos osion omistaja oli tili Järjestelmä(englanninkielinen versio Järjestelmä), sitten sen sijaan
NT Service\TrustedInstaller tulla sisään Järjestelmä(englanninkielinen versio Järjestelmä).
Ajoittain käyttäjien ja järjestelmänvalvojien on ehkä tarkasteltava Windowsin rekisterin muutoksia tietyn ajanjakson aikana. Tämä voi johtua siitä, että haluat nähdä, mitä muutoksia tietty ohjelma tai käyttäjän toimet tekevät.
Voit tarkastella Windowsin rekisteriin tehtyjä muutoksia käyttöjärjestelmän sisäänrakennetuilla työkaluilla tai kolmannen osapuolen ohjelmistoilla. Aloitetaan ensimmäisistä.
Mainittakoon lisäksi, että kaikki riippuu kahdesta menetelmästä: kahden eri aikoina otetun rekisterin "snapshotsin" vertailusta tai muutosten seurannasta reaaliajassa.
Helpoin tapa nähdä, mitä muutoksia rekisteriin on tehty, on käyttää Windowsin sisäänrakennettua apuohjelmaa fc.exe. Tämän menetelmän etuna on, että lisäohjelmistoa ei tarvitse etsiä. Yleensä fc.exe-apuohjelmaa ei käytetä vain rekisterimuutosten tarkastelemiseen, vaan myös kahden tiedoston tai tiedostojoukon vertailuun yleensä. Näin ollen käy selväksi, että tarvitsemme kaksi "otosta" rekisteristä.
Viemme ensin koko rekisterin tai vain tarvitsemamme haaran. Oletetaan, että meillä on kaksi tiedostoa: 1.reg ja 2.reg, jotka laitamme C-asemaan. Sitten voimme vertailla niitä komennolla
fc c:\1.reg c:\2.reg > c:\log.txtTässä tapauksessa tulostamme komennon tuloksen tekstitiedostoon. Suosittelen kuitenkin käyttämään Notepadia edistyneempää muotoa ja/tai vahvempaa editoria ongelmien välttämiseksi.
Yllä käytin MS Word- ja .doc-muotoa.
Ongelma fc.exe:n käytössä on, että sen työn tulos on lukukelvoton. Yllä oleva kuvakaappaus viittaa siihen ketjussa parametri on lisätty Primer. Mutta on epätodennäköistä, että pystyt ymmärtämään tämän, jos et tiedä siitä etukäteen. fc.exe-tiedostoa ei voida kutsua täysimittaiseksi analyysityökaluksi. Tämä apuohjelma sopii parhaiten, kun teet muutoksia rekisteriin itse ja haluat varmistaa, että ne on tehty (mutta et halua vaeltaa rekisterin haaroissa regedit).
Siksi siirrytään toiseen apuohjelmaan, jota valitettavasti ei enää sisälly nykyaikaisiin Windows-versioihin, mutta joka voidaan lisätä. Sitä kutsutaan WinDiff. Voit lisätä sen asentamalla Microsoft Windows SDK -paketteja. Valitettavasti Windows 7:n jälkeen WinDiff poistettiin näistä paketeista, mutta voit ladata sen erikseen, esimerkiksi .
Jos haluat käyttää WinDiff-apuohjelmaa Windowsin komentoriviltä, aseta se hakemistoon %WINDIR%\System32. Nyt vertaillaksemme kahta esimerkin rekisteritiedostoa, meidän on vain annettava komento
windiff C:\1.reg C:\2.reg
Apuohjelman graafinen käyttöliittymä avautuu, mikä näkyy yllä olevassa kuvakaappauksessa. Selvitetään kuinka lukea WinDiff-ohjelman tulos.
- Viivat valkoisella taustalla tarkoittavat, että tiedostojen sisältö täsmää;
- Punaisella taustalla olevat rivit näyttävät ensimmäisen (vasemman) tiedoston sisällön, joka ei ole toisessa (oikealla);
- Keltaista taustaa olevat rivit osoittavat toisen (oikean) tiedoston sisällön, joka ei ole ensimmäisessä (vasemmalla).
Meillä on keltainen viiva sisällön kanssa "Primer"="". Tämä osoittaa, että parametri esiintyi toisessa tiedostossa Primer tyhjällä arvolla. Ja hän on mukana HKEY_LOCAL_MACHINE\SOFTWARE\Test. Koska toinen tiedosto tallennettiin myöhemmin kuin ensimmäinen, voimme päätellä, että tämä parametri lisättiin eikä poistettu.
Siirrytään kolmannen osapuolen rekisterinvalvontaapuohjelmiin.
Suosittu ilmainen ratkaisu on ohjelma Regshot. Ohjelma toimii myös rekisterin tilannekuvien kanssa ja tekee ne itse sen sijaan, että analysoidaan valmiita tiedostoja. Tämä on sen miinus. Ja plussa on, että se on hyvin yksinkertainen.
Ensin sinun on otettava ensimmäinen tilannekuva rekisteristä.
Sen jälkeen niitä voi verrata.
Kun vertailu on suoritettu, ohjelma avaa automaattisesti tiedoston työn tuloksista. Toinen Regshotin etu on, että tätä tiedostoa on helppo lukea. On kuitenkin syytä huomata, että se sisältää joukon rekisterimuutoksia, jotka voivat tuntua eräänlaiselta morsekoodilta. Minun tapauksessani molemmat kuvat otettiin alle minuutin välein. Ainoa toimintani oli poistaa Primer-parametri. Kuten näet, ohjelma tallensi tämän. Ja myös monia muita muutoksia. Käyttöjärjestelmän konepellin alla tapahtuu aina jotain, ja suurin osa siitä on piilossa silmiltämme.
Lisää tarpeettomia kuvia voi poistaa painamalla -painiketta Asia selvä ohjelman käyttöliittymässä. Voit ladata Regshot-ohjelman.
Viimeinen tässä artikkelissa käsitelty Windowsin rekisterin valvontatyökalu on ohjelma Registry Live Watch. Ehkä jo nimestä voi ymmärtää, että tämä ohjelma pystyy seuraamaan rekisterimuutoksia reaaliajassa.
Ohjelma on myös erittäin yksinkertainen, eikä siinä itse asiassa ole edes paljon asetuksia. Määrität vain valvottavan rekisterihaan ja aloitat seuranta -painikkeella Käynnistä näyttö.
Ohjelmalla on kuitenkin vakava haittapuoli, joka suurimmaksi osaksi neutraloi seurannan idean. Se näyttää vain viestejä havaitun rekisterihaaran muutoksista, mutta ei kirjoita tarkalleen, mitä muutoksia on tehty. Toinen haittapuoli on, että Registry Live Watch ei voi valvoa koko rekisteriä. Voit ladata ohjelman.
Artikkelin lopussa puhumme siitä, kuinka automatisoida rekisteritietojen kerääminen turvautumatta kolmannen osapuolen ohjelmistoihin. Tämä voidaan tehdä käyttämällä komentosarjaa, joka sisältää reg export -komennon, jonka syntaksia käsitellään. Suorittamalla tämän skriptin aikataulussa, saat useita rekisteriotoksia, joita voidaan tarvittaessa verrata.