Bagaimana melakukan Snapshot registri Windows untuk membandingkan dan melacak perubahan?
Anda dapat melacak perubahan registri dengan berbagai cara, secara manual atau menggunakan program khusus. Pada artikel ini saya akan memberi tahu Anda cara melakukan ini menggunakan program, yang menurut saya jauh lebih nyaman.
Seperti yang saya janjikan, dalam artikel “”, dengan publikasi ini kita memulai serangkaian artikel yang ditujukan untuk analisis malware. Dalam artikel ini saya akan membahas tentang alat yang memungkinkan Anda mempelajari virus dan perilakunya.
Artikel hari ini akan bermanfaat tidak hanya bagi para peneliti virus, tetapi juga bagi pengguna biasa yang ingin lebih mahir dalam menggunakan komputer. Saya akan memberi tahu Anda cara menggunakan program Regshot untuk mengambil snapshot dari registri Windows untuk membandingkan dan melacak perubahan.
Apa itu Registri Windows?
Registri adalah salah satu bagian utama dari sistem operasi Microsoft Windows. Meskipun demikian, sebagian besar pengguna menggunakan sistem operasi dan tidak menyadari keberadaan registri.
Pengguna yang tidak berpengalaman bahkan tidak menyadari bahwa ketika semua parameter diubah: menginstal program, mengubah Windows itu sendiri dan perangkat yang terhubung dengannya, semua perubahan dilakukan pada registri Windows.
Singkatnya, registri, dalam arti tertentu, adalah inti dari sistem operasi, tempat semua pengaturan dan perubahan disimpan.
Mengapa menganalisis registri dan melacak perubahan?
Katakanlah Anda bukan lagi sekadar pengguna komputer pasif dan ingin mengetahui apa yang terjadi di balik layar selama instalasi program baru atau menganalisis perilaku virus. Untuk mengetahui perubahan apa yang dilakukan semua perangkat lunak, Anda memerlukan program untuk melacak registri. Salah satu alat tersebut adalah RegShot.
Snapshot registri menggunakan RegShot
RegShot adalah program kecil bersumber terbuka dan gratis yang memungkinkan Anda mengambil cuplikan registri dan membandingkannya. Semua perubahan yang terjadi pada registri dapat disimpan dalam file teks atau file html.
Unduh RegShot
Anda dapat mendownload program RegShot secara gratis menggunakan link langsung.
Menginstal RegShot
Setelah program diunduh, unzip arsip dan buka folder dengan file. Akan ada beberapa file di folder tersebut.
Saat memilih file yang dapat dieksekusi, perhatikan bitness sistem operasi Anda.
Menyiapkan dan menggunakan RegShot
Setelah diluncurkan, jendela program kecil akan muncul di mana kami segera mengubah bahasa skin ke bahasa Rusia. Ada juga bahasa antarmuka Ukraina.
Sekarang mari kita mulai bekerja. Melacak perubahan registri dimulai dengan mengambil snapshot pertama dari registri. Klik pada tombol snapshot dan di jendela drop-down kita melihat 3 opsi:
- Jepretan - Jepretan saja
- Snapshot + Simpan - Snapshot dan cadangan registri
- Buka - Buka snapshot registri yang sudah diambil
Pilih opsi yang diperlukan. Dalam contoh kasus saya, tidak perlu membuat cadangan registri, jadi saya klik tombol “Snapshot”. Program akan hidup dan mulai membuat snapshot pertama dari registri. Di bagian bawah jendela Anda akan melihat bagaimana angkanya berubah.
Ketika angkanya berhenti dan program menjadi tenang, Anda dapat mulai bekerja dengan program pihak ketiga, instalasi, dan sebagainya.
Setelah selesai, klik tombol “Gambar Kedua” dan setelah beberapa detik Anda dapat mengklik tombol “Bandingkan”.
Jika bidang "Teks" dicentang di awal, maka Anda akan melihat jendela editor teks Notepad, yang berisi laporan lengkap tentang perubahan registri.
Saya tidak menginstal program apa pun, hanya mengubah beberapa pengaturan di Panel Kontrol Windows. Seperti yang Anda lihat, utilitas Regshot mencatat semua perubahan.
Pada saat instalasi software, laporannya tentu saja akan lebih besar.
Jika Anda perlu menganalisis ulang registri, klik tombol "Hapus" dan mulai lagi dari awal.
Seperti yang Anda lihat, mengambil snapshot registri untuk melacak perubahan sangatlah mudah, terutama bila Anda memiliki program yang tepat. Ini sangat berguna jika Anda perlu mengetahui perubahan apa yang dilakukan program pada registri selama instalasi. Omong-omong, dengan cara ini Anda bisa mengetahui elemen registri mana yang bertanggung jawab untuk pengaturan Windows tertentu.
Menggunakan OS Windows ada baiknya untuk mengenalnya lebih baik. Anda bisa memulai dengan artikel tentang file mistik yang wajib Anda ketahui!
Itu saja, teman. Kami akan mengeksplorasi alat lainnya di masa mendatang. Dan ya, saya tidak lupa bahwa saya berjanji untuk memberikan petunjuk rinci tentang cara membuat laboratorium terisolasi yang andal di mesin virtual untuk memeriksa perangkat lunak dan virus. Jadi, Anda dipersilakan untuk mengunjungi halaman publik kami
Cabang registri sistem operasi Windows menyimpan pengaturan dan parameter sistem itu sendiri, serta perangkat lunak lain yang diinstal pada komputer. Terkadang Anda perlu mencari tahu cabang registri mana yang dimodifikasi oleh program yang diluncurkan atau distribusi instalasinya. Untuk mengetahui apa yang telah diubah dalam registri, Anda perlu menggunakan program khusus untuk memantau status parameter registri sistem. Program RegFromApp memonitor secara real-time perubahan dalam registri sistem yang dibuat oleh program (proses) yang sedang berjalan dan mencerminkan cabang registri dan nilai-nilai yang diubah di dalamnya.
Lacak perubahan dalam registri
Untuk mengetahui perubahan program tertentu di registri, Anda perlu menjalankan RegFromApp dan memilih proses yang ingin Anda lacak dari daftar semua proses yang berjalan. Segera setelah program yang menarik bagi pengguna mengakses registri dan mengubah nilai cabangnya, RegFromApp akan segera mencerminkan cabang registri tempat perubahan terjadi dan menampilkan nilai yang diubah. Perubahan yang dilakukan pada registri dapat disimpan ke file registri (*.reg). Utilitas RegFromApp mendukung pengoperasian dari baris perintah dengan parameter.
Tangkapan layar program RegFromApp
Situs resmi: http://www.nirsoft.net
sistem operasi:
32.64 Windows XP/Vista/7/8
Bahasa yang didukung: Rusia
Versi: kapan: 1.32
Lisensi:perangkat lunak gratis (bebas)
Ukuran file 107 KB
Program yang lebih menarik:
- SmartPawnshop adalah program Rusia pertama yang memungkinkan Anda mengoptimalkan proses manajemen bisnis gadai
Registri Windows
mungkin merupakan komponen paling dinamis dari sistem operasi. Ini mencerminkan segala perubahan, bahkan perubahan terkecil sekalipun, yang dilakukan pada sistem oleh program standar dan pihak ketiga. Pengguna berpengalaman dapat melacak perubahan tersebut dengan menggunakan utilitas khusus untuk tujuan ini, salah satunya akan dibahas hari ini. Ini disebut. Utilitas portabel kecil ini dari Nirsoft
memungkinkan Anda memantau pengoperasian program yang diinstal di komputer Anda.
Atau lebih tepatnya, catat semua perubahan yang mereka buat dalam registri sistem selama mereka bekerja, dan, jika perlu, bandingkan hasil yang diperoleh sebelumnya dengan hasil berikutnya. Pengecualian mencakup aplikasi Windows universal, yang menghubungkan ke prosesnya di paling sering gagal.
Catatan: Untuk tujuan pelacakan 32-bit program perlu digunakan 32-bit Versi: kapan , bahkan pada 64-bit sistem.
Menggunakan utilitas ini cukup sederhana. Setelah meluncurkannya, Anda akan diminta memilih proses yang akan dipantau dan klik OKE . Anda juga dapat memilih proses secara manual dari menu grafis utama program. Setelah ini, pemantauan akan dimulai di latar belakang. Segera setelah program yang dipantau membuat perubahan apa pun pada registri, perubahan tersebut akan segera muncul di jendela utama utilitas. Perubahan data dapat disalin ke clipboard atau disimpan ke file REG.
Mode tampilan masuk dua. Secara default, utilitas hanya menampilkan nilai terakhir yang diubah, namun dimungkinkan juga untuk mengatur tampilan nilai asli. Tidak ada pengaturan penting lainnya dalam program ini.
Artikel ini menunjukkan kepada Anda langkah-langkah untuk mengambil kepemilikan kunci registri dan mendapatkan hak kontrol penuh, serta cara mengembalikan hak asli dan memulihkan pemilik aslinya.
Beberapa bagian registri Windows tidak tersedia untuk diedit, meskipun akun Anda termasuk dalam grup "Administrator". Hal ini biasanya terjadi karena kelompok "Administrator" Tidak ada izin (hak) yang sesuai untuk menulis ke kunci registri ini. Ada beberapa alasan mengapa Anda tidak dapat mengedit kunci registri:
■ Kelompok "Administrator" adalah pemilik bagian tersebut, tetapi tidak mempunyai hak penuh atas bagian tersebut. Dalam hal ini, cukup dengan mengeluarkannya ke grup saja "Administrator" hak penuh.
■ Pemilik partisi adalah layanan sistem Pemasang Tepercaya. Dalam hal ini, Anda harus terlebih dahulu menjadi pemilik bagian tersebut, dan kemudian memberikan hak penuh kepada grup Anda, contoh seperti itu akan dibahas dalam artikel ini.
■ Pemilik partisi adalah akun sistem "Sistem" Pemasang Tepercaya.
Artikel selanjutnya akan menjelaskan cara membuat perubahan pada registri jika Anda tidak memiliki izin yang sesuai, serta cara memulihkan izin asli dan mengapa Anda perlu melakukan ini. Sebelum mengedit registri sistem, disarankan
Saat Anda mengubah parameter apa pun di registri, jika Anda tidak memiliki hak yang memadai, Anda akan menerima pesan kesalahan.
Mari kita pertimbangkan contoh pertama ketika kelompok "Administrator" adalah pemilik bagian tersebut, tetapi tidak mempunyai hak penuh atasnya:
1
Izin...
2
. Pilih grup "Administrator":
Jika kotak centang tersedia Akses penuh, instal dan klik tombol OKE. Ini mungkin cukup jika grup tersebut adalah pemilik bagian tersebut.
Jika kotak centang tidak tersedia atau Anda melihat pesan kesalahan seperti pada gambar di bawah, lanjutkan ke contoh kedua.
Di jendela Izin Grup klik tombolnya Selain itu
Di jendela berikutnya, klik tautannya Mengubah Masukkan nama akun lokal Anda atau alamat email akun Microsoft, periksa namanya, dan klik OKE
Centang kotaknya Ganti pemilik subkontainer dan objek di bagian atas jendela dan klik tombol OKE
Pilih grup "Administrator", centang kotaknya Akses penuh, tekan tombolnya OKE
Anda sekarang memiliki akses penuh ke kunci registri dan dapat mengedit semua pengaturannya.
Contoh ketiga ketika pemilik partisi adalah akun sistem "Sistem". Dalam hal ini, tindakannya akan sama dengan Pemasang Tepercaya.
Mengembalikan hak asal dan mengembalikan kepemilikan
Untuk tujuan keamanan sistem, setelah mengedit parameter yang diperlukan dari kunci registri, Anda perlu mengembalikan hak akses asli dan memulihkan akun sistem sebagai pemilik bagian tersebut. Pemasang Tepercaya.
1
. Klik kanan pada kunci registri dan pilih dari menu Izin...
2 . Di jendela Izin Grup klik tombolnya Selain itu
Klik tombolnya OKE
5 . Di jendela Izin Grup pilih grup "Administrator", hapus centang Akses penuh, tekan tombolnya OKE
Hak asli dan pemilik kunci registri telah dipulihkan.
■ Jika pemilik bagian tersebut adalah sebuah akun Sistem(dalam versi bahasa Inggris Sistem), lalu sebagai gantinya
Layanan NT\Pemasang Tepercaya memasuki Sistem(dalam versi bahasa Inggris Sistem).
Dari waktu ke waktu, pengguna dan administrator sistem mungkin perlu melihat perubahan pada registri Windows selama jangka waktu tertentu. Ini mungkin karena Anda ingin melihat perubahan apa yang dilakukan oleh program atau tindakan pengguna tertentu.
Anda dapat melihat perubahan yang dilakukan pada registri Windows menggunakan alat yang ada di dalam sistem operasi atau menggunakan perangkat lunak pihak ketiga. Mari kita mulai dengan yang pertama.
Selain itu, izinkan kami juga menyebutkan bahwa semuanya bergantung pada dua metode: membandingkan dua “snapshot” registri yang diambil pada waktu berbeda, atau memantau perubahan secara real time.
Cara paling mudah untuk melihat perubahan apa yang telah dilakukan pada registri adalah dengan menggunakan utilitas bawaan Windows fc.exe. Kelebihan cara ini adalah tidak perlu mencari software tambahan. Secara umum, utilitas fc.exe digunakan tidak hanya untuk melihat perubahan registri, tetapi untuk membandingkan dua file atau kumpulan file secara umum. Dengan demikian, menjadi jelas bahwa kita memerlukan dua "snapshot" dari registri.
Kami mengekspor terlebih dahulu seluruh registri atau hanya cabang yang kami butuhkan. Katakanlah kita memiliki dua file: 1.reg dan 2.reg, yang kita letakkan di drive C. Kemudian kita dapat menggunakan perintah untuk membandingkannya
fc c:\1.reg c:\2.reg > c:\log.txtDalam hal ini, kami menampilkan hasil perintah ke file teks. Namun saya akan merekomendasikan menggunakan format yang lebih canggih dan/atau editor yang lebih kuat daripada Notepad untuk menghindari masalah dengan .
Di atas saya menggunakan format MS Word dan .doc.
Kendala penggunaan fc.exe adalah hasil kerjanya tidak terbaca. Tangkapan layar di atas menunjukkan hal itu di thread parameter telah ditambahkan Dasar. Namun kecil kemungkinan Anda akan dapat memahami hal ini jika Anda tidak mengetahuinya sebelumnya. fc.exe tidak dapat disebut sebagai alat analisis yang lengkap. Utilitas ini paling cocok ketika Anda membuat sendiri perubahan pada registri dan ingin memverifikasi bahwa perubahan tersebut telah dibuat (tetapi tidak ingin menelusuri cabang registri di regedit).
Oleh karena itu, mari beralih ke utilitas lain, yang sayangnya tidak lagi disertakan dalam versi Windows modern, tetapi dapat ditambahkan. Ini disebut AnginDiff. Anda dapat menambahkannya melalui instalasi paket Microsoft Windows SDK. Sayangnya, setelah Windows 7, WinDiff dikecualikan dari paket ini, tetapi Anda dapat mengunduhnya secara terpisah, misalnya .
Untuk menggunakan utilitas WinDiff dari baris perintah Windows, letakkan di direktori %WINDIR%\System32. Nah untuk membandingkan kedua file registry dari contoh tersebut, kita tinggal memasukkan perintahnya saja
angin C:\1.reg C:\2.reg
Antarmuka grafis utilitas akan terbuka, yang dapat dilihat pada gambar di atas. Mari kita cari tahu cara membaca output dari program WinDiff.
- Garis pada latar belakang putih berarti isi file cocok;
- Garis dengan latar belakang merah menunjukkan isi file pertama (kiri) yang tidak ada di file kedua (kanan);
- Garis berlatar belakang kuning menunjukkan isi file kedua (kanan) yang tidak ada di file pertama (kiri).
Kami memiliki garis kuning dengan konten "Primer"="". Ini menunjukkan bahwa parameter tersebut muncul di file kedua Dasar dengan nilai kosong. Dan dia ada di dalam HKEY_LOCAL_MACHINE\SOFTWARE\Tes. Karena file kedua disimpan lebih lambat dari yang pertama, kita dapat menyimpulkan bahwa parameter ini telah ditambahkan dan tidak dihapus.
Mari beralih ke utilitas pemantauan registri pihak ketiga.
Solusi gratis yang populer adalah programnya Foto ulang. Program ini juga bekerja dengan snapshot registri, dan membuatnya sendiri, daripada menganalisis file yang disimpan sebelumnya. Ini adalah kekurangannya. Dan kelebihannya adalah sangat sederhana.
Pertama, Anda perlu mengambil snapshot pertama dari registri.
Setelah itu bisa dibandingkan.
Setelah proses perbandingan selesai, program akan secara otomatis membuka file hasil pekerjaannya. Kelebihan lain dari Regshot adalah file ini mudah dibaca. Namun, perlu dicatat bahwa ini akan berisi banyak perubahan registri, yang mungkin tampak seperti kode Morse. Dalam kasus saya, kedua gambar diambil dengan selang waktu kurang dari satu menit. Satu-satunya tindakan saya adalah menghapus parameter Primer. Seperti yang Anda lihat, program ini mencatat hal ini. Dan juga tercatat masih banyak perubahan lainnya. Selalu ada sesuatu yang terjadi di balik sistem operasi, dan sebagian besar tersembunyi dari pandangan kita.
Lebih banyak gambar yang tidak perlu dapat dihapus dengan menekan tombol Jernih di antarmuka program. Anda dapat mengunduh program Regshot.
Alat pemantauan registri Windows terakhir yang dibahas dalam artikel ini adalah programnya Tontonan Langsung Registri. Mungkin dari namanya saja Anda sudah bisa memahami bahwa program ini mampu memantau perubahan registry secara real time.
Program ini juga sangat sederhana dan bahkan tidak memiliki banyak pengaturan. Anda cukup menentukan cabang registri yang ingin Anda pantau dan mulai memantau dengan tombol Mulai Memantau.
Namun, program ini memiliki kelemahan serius, yang sebagian besar menetralisir gagasan pemantauan. Ini hanya menampilkan pesan tentang perubahan di cabang registri yang diamati, tetapi tidak menulis secara pasti perubahan apa yang telah dilakukan. Kekurangan yang kedua adalah Registry Live Watch tidak bisa memantau keseluruhan registry. Anda dapat mengunduh programnya.
Di akhir artikel, kita akan membahas tentang cara mengotomatiskan pengumpulan informasi tentang registri tanpa menggunakan perangkat lunak pihak ketiga. Ini dapat dilakukan dengan menggunakan skrip yang berisi perintah reg ekspor, yang sintaksisnya telah dibahas. Dengan menjalankan skrip ini sesuai jadwal, Anda akan menerima sejumlah snapshot registri yang dapat dibandingkan jika diperlukan.