Kako to učiniti Snimke Windows registra uspoređivati i pratiti promjene?
Promjene registra možete pratiti na različite načine, ručno ili pomoću posebnih programa. U ovom članku ću vam reći kako to učiniti pomoću programa, što je po mom mišljenju mnogo prikladnije.
Kao što sam obećao, u članku “”, ovom publikacijom započinjemo niz članaka posvećenih analizi zlonamjernog softvera. U ovim ću člancima govoriti o alatima koji vam omogućuju proučavanje virusa i njihovog ponašanja.
Današnji članak bit će koristan ne samo istraživačima virusa, već i običnim korisnicima koji žele postati napredniji u korištenju računala. Reći ću vam kako koristiti program Regshot za snimanje snimki Windows registra za usporedbu i praćenje promjena.
Što je Windows registar?
Registar je jedan od glavnih dijelova operativnog sustava Microsoft Windows. Unatoč tome, većina korisnika koristi operativni sustav i ne zna za postojanje registra.
Neiskusni korisnik niti ne shvaća da se prilikom mijenjanja svih parametara: instaliranja programa, mijenjanja samog sustava Windows i uređaja koji su na njega povezani, sve promjene unose u registar sustava Windows.
Jednom riječju, registar je u neku ruku jezgra operativnog sustava u kojoj se spremaju sve postavke i promjene.
Zašto analizirati registar i pratiti promjene?
Recimo da više niste samo pasivni korisnik računala i želite saznati što se događa iza kulisa tijekom instalacije novog programa ili analizirati ponašanje virusa. Kako biste saznali koje sve promjene softver čini, potrebni su vam programi za praćenje registra. Jedan takav alat je RegShot.
Snimak registra pomoću RegShot-a
RegShot je mali besplatni program otvorenog koda koji vam omogućuje snimanje snimaka registra i njihovu usporedbu. Sve promjene koje su se dogodile u registru mogu se spremiti u tekstualnu ili html datoteku.
Preuzmite RegShot
Program RegShot možete besplatno preuzeti putem izravne veze.
Instaliranje RegShot-a
Nakon preuzimanja programa, raspakirajte arhivu i idite u mapu s datotekama. U mapi će biti nekoliko datoteka.
Prilikom odabira izvršne datoteke obratite pozornost na bitnost vašeg operativnog sustava.
Postavljanje i korištenje RegShot-a
Nakon pokretanja pojavit će se mali prozor programa u kojem odmah mijenjamo jezik kože na ruski. Tu je i ukrajinski jezik sučelja.
Sada idemo na posao. Praćenje promjena registra počinje snimanjem prve snimke registra. Kliknite gumb za snimku i u padajućem prozoru vidimo 3 opcije:
- Snimka - samo snimka
- Snapshot + Save - Snimak i sigurnosna kopija registra
- Otvori - otvorite već snimljenu snimku registra
Odaberite traženu opciju. U mom primjeru, nema potrebe za backupom registra, pa sam kliknuo na gumb "Snimak". Program će oživjeti i početi stvarati prvu snimku registra. Na dnu prozora vidjet ćete kako se brojevi mijenjaju.
Kada brojke prestanu i program se smiri, možete početi raditi s programima trećih strana, instalacijom i svim tim.
Nakon završetka, kliknite na gumb "Druga slika" i nakon nekoliko sekundi možete kliknuti na gumb "Usporedi".
Ako je polje "Tekst" označeno na početku, vidjet ćete prozor uređivača teksta Notepad koji će sadržavati cjelovito izvješće o promjenama registra.
Nisam instalirao nikakve programe, samo sam promijenio nekoliko postavki na upravljačkoj ploči sustava Windows. Kao što vidite, uslužni program Regshot zabilježio je sve promjene.
Tijekom instalacije softvera izvješće će naravno biti veće.
Ako trebate ponovno analizirati registar, kliknite na gumb "Izbriši" i počnite ispočetka.
Kao što vidite, vrlo je jednostavno napraviti snimku registra za praćenje promjena, pogotovo ako imate pravi program pri ruci. Ovo je vrlo zgodno ako trebate saznati koje promjene program čini u registru tijekom instalacije. Usput, na ovaj način možete saznati koji su elementi registra odgovorni za određenu postavku sustava Windows.
Koristeći Windows OS, bilo bi dobro da ga bolje upoznate. Možete započeti s člankom o mističnom fajlu za koji jednostavno morate znati!
To je sve, prijatelji. U budućnosti ćemo istražiti druge alate. I da, nisam zaboravio da sam obećao dati detaljne upute o tome kako napraviti pouzdan izolirani laboratorij na virtualnom stroju za provjeru softvera i virusa. Stoga ste dobrodošli na naše javne stranice
Ogranci registra operacijskog sustava Windows pohranjuju postavke i parametre samog sustava, kao i drugog softvera instaliranog na računalu. Ponekad morate saznati koje su grane registra izmijenjene pokrenutim programom ili njegovom instalacijskom distribucijom. Da biste saznali što je promijenjeno u registru, morate koristiti poseban program za praćenje statusa parametara registra sustava. Program RegFromApp u stvarnom vremenu prati promjene u registru sustava koje je izvršio pokrenuti program (proces) i odražava granu registra i vrijednosti promijenjene u njemu.
Pratite promjene u registru
Da biste saznali što određeni program mijenja u registru, morate pokrenuti RegFromApp i s popisa svih pokrenutih procesa odabrati proces koji želite pratiti. Čim program od interesa za korisnika pristupi registru i promijeni vrijednosti svojih grana, RegFromApp će odmah prikazati granu registra u kojoj se promjene događaju i prikazati promijenjene vrijednosti. Promjene napravljene u registru mogu se spremiti u datoteku registra (*.reg). Uslužni program RegFromApp podržava pokretanje iz naredbenog retka s parametrima.
Snimke zaslona programa RegFromApp
Službena stranica: http://www.nirsoft.net
OS:
32.64 Windows XP/Vista/7/8
Podržani jezici: ruski
Verzija: 1.32
Licenca:besplatni softver (besplatno)
Veličina datoteke 107 KB
Još zanimljivih programa:
- SmartPawnshop je prvi ruski program koji vam omogućuje optimizaciju procesa upravljanja zalagaonicama
Windows registar
je možda najdinamičnija komponenta operativnog sustava. Odražava sve, čak i najsitnije promjene koje su u sustavu napravili standardni programi i programi trećih strana. Iskusni korisnici mogu pratiti takve promjene pomoću posebnih uslužnih programa za tu svrhu, od kojih će se danas raspravljati o jednom. To se zove. Ovaj mali prijenosni uslužni program iz Nirsoft
omogućuje praćenje rada programa instaliranih na vašem računalu.
Odnosno, bilježe sve promjene koje naprave u registru sustava tijekom svog rada, te po potrebi uspoređuju prethodno dobivene rezultate s kasnijima. Iznimke uključuju univerzalne Windows aplikacije koje se povezuju sa svojim procesima u najčešće zakaže.
Napomena: Za potrebe praćenja 32-bitni potrebno je koristiti programe 32-bitni verzija , čak i na 64-bitni sustav.
Korištenje uslužnog programa prilično je jednostavno. Nakon što ga pokrenete, od vas će se tražiti da odaberete proces za praćenje i kliknete u redu . Proces možete odabrati i ručno iz glavnog grafičkog izbornika programa. Nakon toga, praćenje će započeti u pozadini. Čim nadzirani program napravi bilo kakve promjene u registru, one će se odmah pojaviti u glavnom prozoru uslužnog programa. Podaci o promjenama mogu se kopirati u međuspremnik ili spremiti u datoteku REG.
Način prikaza u dva. Prema zadanim postavkama, uslužni program prikazuje samo zadnje promijenjene vrijednosti, ali također je moguće postaviti prikaz izvornih vrijednosti. U programu nema drugih značajnih postavki.
Ovaj vam članak pokazuje korake za preuzimanje vlasništva nad ključem registra i stjecanje potpunih prava kontrole te kako vratiti izvorna prava i vratiti izvornog vlasnika.
Neki odjeljci Windows registra nisu dostupni za uređivanje, čak i ako vaš račun pripada grupi "Administratori". To se obično događa jer grupa "Administratori" Ne postoje odgovarajuće dozvole (prava) za pisanje u ovaj ključ registra. Postoji nekoliko razloga zašto ne možete urediti ključ registra:
■ Skupina "Administratori" je vlasnik odjeljka, ali nema puna prava na njega. U ovom slučaju dovoljno je jednostavno izdati grupi "Administratori" puna prava.
■ Vlasnik particije je servis sustava TrustedInstaller. U ovom slučaju prvo morate postati vlasnik odjeljka, a zatim svojoj grupi dati puna prava, upravo takav primjer bit će razmotren u ovom članku.
■ Vlasnik particije je sistemski račun "Sustav" TrustedInstaller.
U nastavku članka bit će opisano kako napraviti promjene u registru ako nemate odgovarajuća dopuštenja, kao i kako vratiti izvorna dopuštenja i zašto to trebate učiniti. Prije uređivanja registra sustava, preporučuje se
Kada promijenite bilo koji parametar u registru, ako nemate dovoljno prava, dobit ćete poruku o pogrešci.
Razmotrimo prvi primjer kada grupa "Administratori" je vlasnik odjeljka, ali nema puna prava na njega:
1
Dozvole...
2
. Odaberite grupu "Administratori":
Ako je potvrdni okvir dostupan Puni pristup, instalirajte ga i kliknite gumb u redu. Ovo može biti dovoljno ako je grupa vlasnik odjeljka.
Ako potvrdni okvir nije dostupan ili vidite poruku o pogrešci kao na slici ispod, prijeđite na drugi primjer.
U prozoru Grupne dozvole kliknite gumb Dodatno
U sljedećem prozoru kliknite vezu Promijeniti Unesite naziv lokalnog računa ili adresu e-pošte Microsoft računa, provjerite naziv i kliknite u redu
Označite kućicu Zamijenite vlasnika potkontejnera i objekata na vrhu prozora i kliknite gumb u redu
Odaberite grupu "Administratori", potvrdite okvir Puni pristup, pritisni gumb u redu
Sada imate puni pristup ključu registra i možete uređivati sve njegove postavke.
Treći primjer kada je vlasnik particije račun sustava "Sustav". U ovom slučaju radnje će biti iste kao kod TrustedInstaller.
Vraćanje izvornih prava i vraćanje vlasništva
U svrhu sigurnosti sustava, nakon uređivanja potrebnih parametara ključa registra, morate vratiti izvorna prava pristupa i vratiti račun sustava kao vlasnika odjeljka. TrustedInstaller.
1
. Desnom tipkom miša kliknite ključ registra i odaberite s izbornika Dozvole...
2 . U prozoru Grupne dozvole kliknite gumb Dodatno
Pritisnite gumb u redu
5 . U prozoru Grupne dozvole odaberite grupu "Administratori", odznačite Puni pristup, pritisni gumb u redu
Izvorna prava i vlasnik ključa registra su vraćeni.
■ Ako je vlasnik odjeljka bio račun Sustav(u engleskoj verziji Sustav), zatim umjesto toga
NT usluga\TrustedInstaller Unesi Sustav(u engleskoj verziji Sustav).
S vremena na vrijeme korisnici i administratori sustava možda će morati pregledati promjene u registru sustava Windows tijekom određenog razdoblja. To može biti zato što želite vidjeti kakve promjene čini određeni program ili radnje korisnika.
Možete vidjeti promjene napravljene u registru sustava Windows pomoću alata ugrađenih u operativni sustav ili pomoću softvera treće strane. Krenimo od prvih.
Osim toga, spomenimo i to da se sve svodi na dvije metode: usporedbu dva “snimka” registra snimljena u različito vrijeme ili praćenje promjena u stvarnom vremenu.
Najpristupačniji način da vidite koje su promjene napravljene u registru je korištenje uslužnog programa ugrađenog u Windows fc.exe. Prednost ove metode je što nema potrebe tražiti dodatni softver. Općenito, uslužni program fc.exe ne koristi se samo za pregled promjena registra, već i za usporedbu dviju datoteka ili skupova datoteka općenito. Dakle, postaje jasno da su nam potrebne dvije "snimke" registra.
Prvo izvozimo cijeli registar ili samo granu koja nam je potrebna. Recimo da imamo dvije datoteke: 1.reg i 2.reg, koje smo stavili na pogon C. Zatim ih možemo koristiti naredbom da ih usporedimo
fc c:\1.reg c:\2.reg > c:\log.txtU ovom slučaju ispisujemo rezultat naredbe u tekstualnu datoteku. Ali preporučio bih korištenje naprednijeg formata i/ili jačeg uređivača od Notepada kako biste izbjegli probleme s .
Gore sam koristio MS Word i .doc format.
Problem s korištenjem fc.exe je taj što je rezultat njegovog rada nečitljiv. Gornji snimak zaslona to sugerira u temi parametar je dodan Primer. Ali malo je vjerojatno da ćete to moći razumjeti ako o tome ne znate unaprijed. fc.exe ne može se nazvati potpunim alatom za analizu. Ovaj uslužni program je najprikladniji kada sami napravite promjene u registru i želite provjeriti jesu li napravljene (ali ne želite lutati ograncima registra u regedit).
Stoga prijeđimo na drugi uslužni program koji, nažalost, više nije uključen u moderne verzije sustava Windows, ali se može dodati. To se zove WinDiff. Možete ga dodati kroz instalaciju Microsoft Windows SDK paketa. Nažalost, nakon Windows 7, WinDiff je isključen iz ovih paketa, ali možete ga preuzeti zasebno, na primjer, .
Za korištenje uslužnog programa WinDiff iz Windows naredbenog retka, smjestite ga u direktorij %WINDIR%\System32. Da bismo sada usporedili dvije datoteke registra iz primjera, samo trebamo unijeti naredbu
windiff C:\1.reg C:\2.reg
Otvorit će se grafičko sučelje uslužnog programa, što se može vidjeti na gornjoj snimci zaslona. Razmislimo kako čitati izlaz programa WinDiff.
- Crte na bijeloj pozadini znače da se sadržaj datoteka podudara;
- Linije s crvenom pozadinom prikazuju sadržaj prve (lijeve) datoteke koji se ne nalazi u drugoj (desnoj);
- Linije sa žutom pozadinom prikazuju sadržaj druge (desne) datoteke koji se ne nalazi u prvoj (lijevo).
Imamo žutu liniju sa sadržajem "Primer"="". To znači da se parametar pojavio u drugoj datoteci Primer s praznom vrijednošću. I on je unutra HKEY_LOCAL_MACHINE\SOFTWARE\Test. Budući da je druga datoteka spremljena kasnije od prve, možemo zaključiti da je ovaj parametar dodan, a ne uklonjen.
Prijeđimo na uslužne programe za praćenje registra trećih strana.
Popularno besplatno rješenje je program Regshot. Program također radi sa snimkama registra i sam ih izrađuje, umjesto da analizira unaprijed spremljene datoteke. Ovo je njegov minus. A plus je što je vrlo jednostavan.
Prvo morate napraviti prvu snimku registra.
Nakon čega se mogu usporediti.
Nakon završetka procesa usporedbe, program će automatski otvoriti datoteku s rezultatima rada. Još jedna prednost Regshota je ta što se ova datoteka lako čita. Ipak, vrijedi napomenuti da će sadržavati hrpu promjena registra, što se može činiti kao svojevrsna Morseova azbuka. U mom slučaju, obje su slike snimljene u razmaku manjem od minute. Moja jedina radnja bila je ukloniti parametar Primera. Kao što vidite, program je to zabilježio. I također zabilježio mnoge druge promjene. Uvijek se nešto događa ispod haube operativnog sustava, a većina toga je skrivena od naših očiju.
Više nepotrebnih slika možete izbrisati pritiskom na tipku Čisto u programskom sučelju. Program Regshot možete preuzeti.
Posljednji alat za praćenje registra sustava Windows o kojem se govori u ovom članku bit će program Registry Live Watch. Možda već iz naziva možete shvatiti da je ovaj program sposoban pratiti promjene registra u stvarnom vremenu.
Program je također iznimno jednostavan i, zapravo, nema čak ni puno postavki. Vi samo navedete granu registra koju želite nadzirati i počnete nadgledati pomoću gumba Pokrenite Monitor.
Međutim, program ima ozbiljan nedostatak, koji uglavnom neutralizira samu ideju praćenja. Prikazuje samo poruke o promjenama u promatranoj grani registra, ali ne piše koje su točno promjene napravljene. Drugi nedostatak je taj što Registry Live Watch ne može pratiti cijeli registar. Program možete preuzeti.
Na kraju članka govorit ćemo o tome kako automatizirati prikupljanje podataka o registru bez pribjegavanja softveru treće strane. To se može učiniti pomoću skripte koja sadrži naredbu reg export, o čijoj se sintaksi raspravlja. Pokretanjem ove skripte prema rasporedu, primit ćete niz snimaka registra koji se mogu usporediti ako je potrebno.