Come fare Istantanee del registro di Windows confrontare e tenere traccia dei cambiamenti?
Puoi tenere traccia delle modifiche al registro in diversi modi, manualmente o utilizzando programmi speciali. In questo articolo ti dirò come farlo utilizzando dei programmi, che secondo me è molto più conveniente.
Come avevo promesso, nell'articolo “”, con questa pubblicazione iniziamo una serie di articoli dedicati all'analisi del malware. In questi articoli parlerò di strumenti che permettono di studiare i virus e il loro comportamento.
L'articolo di oggi sarà utile non solo ai ricercatori di virus, ma anche agli utenti ordinari che desiderano diventare più esperti nell'uso del computer. Ti dirò come utilizzare il programma Regshot per scattare istantanee del registro di Windows per confrontare e tenere traccia delle modifiche.
Cos'è il registro di Windows?
Il registro è una delle parti principali del sistema operativo Microsoft Windows. Nonostante ciò, la maggior parte degli utenti utilizza il sistema operativo e non è a conoscenza dell'esistenza del registro.
Un utente inesperto non si rende nemmeno conto che quando si modificano tutti i parametri: installazione di programmi, modifica di Windows stesso e dei dispositivi ad esso collegati, tutte le modifiche vengono apportate al registro di Windows.
In una parola, il registro è, in un certo senso, il nucleo del sistema operativo, in cui vengono salvate tutte le impostazioni e le modifiche.
Perché analizzare il registro e tenere traccia delle modifiche?
Diciamo che non sei più solo un utente passivo del computer e vuoi scoprire cosa succede dietro le quinte durante l'installazione di un nuovo programma o analizzare il comportamento di un virus. Per scoprire quali modifiche apporta tutto il software, sono necessari programmi per tenere traccia del registro. Uno di questi strumenti è RegShot.
Istantanea del registro utilizzando RegShot
RegShotè un piccolo programma gratuito e open source che permette di scattare istantanee del registro e confrontarle. Tutte le modifiche apportate al registro possono essere salvate in un file di testo o in un file html.
Scarica Regshot
Puoi scaricare gratuitamente il programma RegShot utilizzando un collegamento diretto.
Installazione di RegShot
Dopo aver scaricato il programma, decomprimi l'archivio e vai alla cartella con i file. Ci saranno diversi file nella cartella.
Quando scegli un file eseguibile, presta attenzione al bit del tuo sistema operativo.
Configurazione e utilizzo di RegShot
Dopo il lancio apparirà una piccola finestra del programma in cui cambieremo immediatamente la lingua della skin in russo. C'è anche una lingua di interfaccia ucraina.
Ora mettiamoci al lavoro. Il monitoraggio delle modifiche al registro inizia con l'acquisizione della prima istantanea del registro. Fare clic sul pulsante dell'istantanea e nella finestra a discesa vediamo 3 opzioni:
- Istantanea: solo istantanea
- Istantanea + Salva: istantanea e backup del registro
- Apri: apre uno snapshot già acquisito del registro
Seleziona l'opzione richiesta. Nel mio caso di esempio, non è necessario eseguire il backup del registro, quindi faccio clic sul pulsante "Istantanea". Il programma prenderà vita e inizierà a creare la prima istantanea del registro. Nella parte inferiore della finestra vedrai come cambiano i numeri.
Quando i numeri si fermano e il programma si calma, puoi iniziare a lavorare con programmi di terze parti, installazione e tutto il resto.
Al termine, fai clic sul pulsante “Seconda immagine” e dopo alcuni secondi puoi fare clic sul pulsante “Confronta”.
Se il campo "Testo" è stato selezionato all'inizio, vedrai una finestra dell'editor di testo del Blocco note, che conterrà un rapporto completo sulle modifiche del registro.
Non ho installato alcun programma, ho solo modificato alcune impostazioni nel Pannello di controllo di Windows. Come puoi vedere, l'utilità Regshot ha registrato tutte le modifiche.
Durante l'installazione del software, il rapporto sarà ovviamente più grande.
Se è necessario rianalizzare il registro, fare clic sul pulsante "Cancella" e ricominciare.
Come puoi vedere, scattare un'istantanea del registro per tenere traccia delle modifiche è molto semplice, soprattutto quando hai il programma giusto a portata di mano. Questo è molto comodo se hai bisogno di scoprire quali modifiche apporta il programma al registro durante l'installazione. A proposito, in questo modo puoi scoprire quali elementi del registro sono responsabili di una particolare impostazione di Windows.
Utilizzando il sistema operativo Windows sarebbe una buona idea conoscerlo meglio. Puoi iniziare con un articolo su un file mistico che devi semplicemente conoscere!
Questo è tutto, amici. Esploreremo altri strumenti in futuro. E sì, non ho dimenticato di aver promesso di fornire istruzioni dettagliate su come creare un laboratorio isolato affidabile su una macchina virtuale per il controllo di software e virus. Siete quindi i benvenuti nelle nostre pagine pubbliche
I rami del registro del sistema operativo Windows memorizzano le impostazioni e i parametri del sistema stesso, nonché altri software installati sul computer. A volte è necessario scoprire quali rami del registro vengono modificati da un programma avviato o dalla sua distribuzione di installazione. Per scoprire cosa è stato modificato nel registro, è necessario utilizzare un programma speciale per monitorare lo stato dei parametri del registro di sistema. Il programma RegFromApp monitora in tempo reale le modifiche apportate al registro di sistema da un programma (processo) in esecuzione e riflette il ramo del registro e i valori modificati in esso.
Tieni traccia delle modifiche nel registro
Per scoprire cosa cambia un programma specifico nel registro, devi eseguire RegFromApp e selezionare il processo che ti interessa monitorare dall'elenco di tutti i processi in esecuzione. Non appena il programma di interesse per l'utente accede al registro e modifica i valori dei suoi rami, RegFromApp rifletterà immediatamente il ramo del registro in cui si verificano le modifiche e mostrerà i valori modificati. Le modifiche apportate al registro possono essere salvate in un file di registro (*.reg). L'utilità RegFromApp supporta l'esecuzione dalla riga di comando con parametri.
Schermate del programma RegFromApp
Sito ufficiale: http://www.nirsoft.net
Sistema operativo:
32.64Windows XP/Vista/7/8
Lingue supportate: russo
Versione: 1.32
Licenza:gratuito (gratuito)
Dimensione file 107KB
Programmi più interessanti:
- SmartPawnshop è il primo programma russo che ti consente di ottimizzare i processi di gestione del business dei pegni
Registro di sistema di Windows
è forse il componente più dinamico del sistema operativo. Riflette qualsiasi modifica, anche la più piccola, apportata al sistema da programmi standard e di terze parti. Gli utenti esperti possono tenere traccia di tali modifiche utilizzando utilità speciali a questo scopo, una delle quali verrà discussa oggi. È chiamato. Questa piccola utility portatile di Nirsoft
ti consente di monitorare il funzionamento dei programmi installati sul tuo computer.
O meglio, registrano tutte le modifiche che apportano nel registro di sistema nel corso del loro lavoro e, se necessario, confrontano i risultati ottenuti in precedenza con quelli successivi. Le eccezioni includono le applicazioni Windows universali, che si connettono ai relativi processi in molto spesso fallisce.
Nota: a scopo di monitoraggio 32 bit è necessario utilizzare i programmi 32 bit versione , persino su 64 bit sistema.
Usare l'utilità è abbastanza semplice. Dopo averlo avviato, ti verrà chiesto di selezionare un processo da monitorare e fare clic OK . Puoi anche selezionare il processo manualmente dal menu grafico principale del programma. Successivamente, il monitoraggio inizierà in background. Non appena il programma monitorato apporta modifiche al registro, queste verranno immediatamente visualizzate nella finestra principale dell'utilità. I dati di modifica possono essere copiati negli appunti o salvati in un file REG.
Modalità di visualizzazione in due. Per impostazione predefinita l'utility mostra solo gli ultimi valori modificati, ma è anche possibile impostare la visualizzazione dei valori originali. Non ci sono altre impostazioni significative nel programma.
Questo articolo illustra i passaggi per acquisire la proprietà di una chiave di registro e ottenere i diritti di controllo completi e come restituire i diritti originali e ripristinare il proprietario originale.
Alcune sezioni del registro di Windows non sono disponibili per la modifica, anche se il tuo account appartiene al gruppo "Amministratori". Questo di solito accade perché il gruppo "Amministratori" Non esistono autorizzazioni (diritti) appropriati per scrivere in questa chiave del Registro di sistema. Esistono diversi motivi per cui non è possibile modificare una chiave di registro:
■ Gruppo "Amministratori"è il proprietario della sezione, ma non ne ha tutti i diritti. In questo caso è sufficiente emettere semplicemente al gruppo "Amministratori" pieni diritti.
■ Il proprietario della partizione è un servizio di sistema TrustedInstaller. In questo caso, devi prima diventare il proprietario della sezione, quindi concedere tutti i diritti al tuo gruppo, proprio un esempio del genere verrà considerato in questo articolo.
■ Il proprietario della partizione è l'account di sistema "Sistema" TrustedInstaller.
Il resto dell'articolo descriverà come apportare modifiche al registro se non si dispone delle autorizzazioni appropriate, nonché come ripristinare le autorizzazioni originali e il motivo per cui è necessario farlo. Prima di modificare il registro di sistema, si consiglia
Quando modifichi qualsiasi parametro nel registro, se non disponi di diritti sufficienti, riceverai un messaggio di errore.
Consideriamo primo esempio quando il gruppo "Amministratori"è il proprietario della sezione, ma non ne ha tutti i diritti:
1
Autorizzazioni...
2
. Seleziona un gruppo "Amministratori":
Se la casella di controllo è disponibile Accesso completo, installarlo e fare clic sul pulsante OK. Ciò potrebbe essere sufficiente se il gruppo è il proprietario della sezione.
Se la casella di controllo non è disponibile o viene visualizzato un messaggio di errore come nello screenshot seguente, passa al secondo esempio.
Nella finestra Autorizzazioni di gruppo fare clic sul pulsante Inoltre
Nella finestra successiva, fare clic sul collegamento Modifica Inserisci il nome del tuo account locale o l'indirizzo e-mail dell'account Microsoft, controlla il nome e fai clic OK
Selezionare la casella Sostituisci il proprietario di sottocontenitori e oggetti nella parte superiore della finestra e fare clic sul pulsante OK
Seleziona un gruppo "Amministratori", selezionare la casella Accesso completo, premi il bottone OK
Ora hai pieno accesso alla chiave di registro e puoi modificare tutte le sue impostazioni.
Terzo esempio quando il proprietario della partizione è l'account di sistema "Sistema". In questo caso, le azioni saranno le stesse di con TrustedInstaller.
Restituzione dei diritti originari e ripristino della proprietà
Per motivi di sicurezza del sistema, dopo aver modificato i parametri necessari della chiave di registro, è necessario restituire i diritti di accesso originali e ripristinare l'account di sistema come proprietario della sezione. TrustedInstaller.
1
. Fare clic con il tasto destro sulla chiave di registro e selezionare dal menu Autorizzazioni...
2 . Nella finestra Autorizzazioni di gruppo fare clic sul pulsante Inoltre
Fare clic sul pulsante OK
5 . Nella finestra Autorizzazioni di gruppo seleziona un gruppo "Amministratori", deseleziona Accesso completo, premi il bottone OK
I diritti originali e il proprietario della chiave di registro sono stati ripristinati.
■ Se il proprietario della sezione era un account Sistema(nella versione inglese Sistema), poi invece
Servizio NT\TrustedInstaller accedere Sistema(nella versione inglese Sistema).
Di tanto in tanto, gli utenti e gli amministratori di sistema potrebbero dover visualizzare le modifiche nel registro di Windows in un determinato periodo. Ciò potrebbe essere dovuto al fatto che desideri vedere quali modifiche apporta un particolare programma o azioni dell'utente.
È possibile visualizzare le modifiche apportate al registro di Windows utilizzando gli strumenti integrati nel sistema operativo o utilizzando software di terze parti. Cominciamo con i primi.
Inoltre, ricordiamo anche che tutto si riduce a due metodi: confrontare due “istantanee” del registro scattate in momenti diversi o monitorare i cambiamenti in tempo reale.
Il modo più accessibile per vedere quali modifiche sono state apportate al registro è utilizzare l'utilità integrata in Windows fc.exe. Il vantaggio di questo metodo è che non è necessario cercare software aggiuntivo. In generale, l'utilità fc.exe viene utilizzata non solo per visualizzare le modifiche del registro, ma per confrontare due file o set di file in generale. Diventa quindi chiaro che abbiamo bisogno di due “istantanee” del registro.
Per prima cosa esportiamo l'intero registro o solo il ramo di cui abbiamo bisogno. Diciamo di avere due file: 1.reg e 2.reg, che mettiamo sul disco C. Quindi possiamo usare il comando per confrontarli
fc c:\1.reg c:\2.reg > c:\log.txtIn questo caso, mostriamo il risultato del comando in un file di testo. Ma consiglierei di utilizzare un formato più avanzato e/o un editor più potente di Blocco note per evitare problemi con i file .
Sopra ho usato MS Word e il formato .doc.
Il problema con l'utilizzo di fc.exe è che il risultato del suo lavoro è illeggibile. Lo screenshot sopra suggerisce che nel thread è stato aggiunto il parametro Primer. Ma è improbabile che tu possa capirlo se non lo sai in anticipo. fc.exe non può essere definito uno strumento di analisi completo. Questa utility è più adatta quando si apportano modifiche al registro da soli e si desidera assicurarsi che siano state apportate (ma non si vuole vagare tra i rami del registro in regedit).
Passiamo quindi a un'altra utilità, che purtroppo non è più inclusa nelle versioni moderne di Windows, ma può essere aggiunta. È chiamato WinDiff. Puoi aggiungerlo tramite l'installazione dei pacchetti Microsoft Windows SDK. Sfortunatamente, dopo Windows 7, WinDiff è stato escluso da questi pacchetti, ma è possibile scaricarlo separatamente, ad esempio .
Per utilizzare l'utilità WinDiff dalla riga di comando di Windows, inserirla nella directory %WINDIR%\System32. Ora per confrontare i due file di registro dell'esempio, dobbiamo solo inserire il comando
windiff C:\1.reg C:\2.reg
Si aprirà l'interfaccia grafica dell'utilità, che può essere vista nello screenshot qui sopra. Scopriamo come leggere l'output del programma WinDiff.
- Le linee su sfondo bianco indicano che il contenuto dei file corrisponde;
- Le linee con sfondo rosso mostrano il contenuto del primo file (a sinistra) che non si trova nel secondo (a destra);
- Le linee con sfondo giallo mostrano il contenuto del secondo file (a destra) che non si trova nel primo (a sinistra).
Abbiamo una linea gialla con il contenuto "Primo"="". Ciò indica che il parametro è apparso nel secondo file Primer con un valore vuoto. E lui è dentro HKEY_LOCAL_MACHINE\SOFTWARE\Test. Poiché il secondo file è stato salvato più tardi del primo, possiamo concludere che questo parametro è stato aggiunto e non rimosso.
Passiamo alle utilità di monitoraggio del registro di terze parti.
Una soluzione gratuita popolare è il programma Regshot. Il programma funziona anche con le istantanee del registro e le crea da solo, anziché analizzare i file pre-salvati. Questo è il suo aspetto negativo. E il vantaggio è che è molto semplice.
Per prima cosa devi scattare la prima istantanea del registro.
Dopo di che possono essere confrontati.
Una volta completato il processo di confronto, il programma aprirà automaticamente un file con i risultati del lavoro. Un altro vantaggio di Regshot è che questo file è facile da leggere. Tuttavia, vale la pena notare che conterrà una serie di modifiche al registro, che potrebbero sembrare una sorta di codice Morse. Nel mio caso, entrambe le foto sono state scattate a meno di un minuto di distanza. La mia unica azione è stata rimuovere il parametro Primer. Come puoi vedere, il programma ha registrato questo. E registrò anche molti altri cambiamenti. C'è sempre qualcosa da fare sotto il cofano del sistema operativo, e la maggior parte di esso è nascosto ai nostri occhi.
È possibile eliminare altre immagini non necessarie premendo il pulsante Chiaro nell'interfaccia del programma. Puoi scaricare il programma Regshot.
L'ultimo strumento di monitoraggio del registro di Windows discusso in questo articolo sarà il programma Orologio dal vivo del registro. Forse già dal nome si capisce che questo programma è in grado di monitorare le modifiche del registro in tempo reale.
Il programma è anche estremamente semplice e, infatti, non ha nemmeno molte impostazioni. Basta specificare il ramo del registro che si desidera monitorare e avviare il monitoraggio con il pulsante Avvia Monitoraggio.
Tuttavia, il programma presenta un grave inconveniente che, nella maggior parte dei casi, neutralizza l’idea stessa di monitoraggio. Visualizza solo i messaggi sulle modifiche nel ramo del registro osservato, ma non scrive esattamente quali modifiche sono state apportate. Il secondo svantaggio è che Registry Live Watch non può monitorare l'intero registro. Puoi scaricare il programma.
Alla fine dell'articolo parleremo di come automatizzare la raccolta delle informazioni sul registro senza ricorrere a software di terze parti. Questo può essere fatto utilizzando uno script contenente il comando reg export, la cui sintassi viene discussa. Eseguendo questo script in base a una pianificazione, riceverai una serie di istantanee del registro che possono essere confrontate se necessario.