Como fazer Instantâneos do registro do Windows comparar e rastrear alterações?

Você pode acompanhar as alterações no registro de diferentes maneiras, manualmente ou usando programas especiais. Neste artigo contarei como fazer isso por meio de programas, o que na minha opinião é muito mais conveniente.

Como prometi, no artigo “”, com esta publicação iniciamos uma série de artigos dedicados à análise de malware. Nestes artigos falarei sobre ferramentas que permitem estudar os vírus e seu comportamento.

O artigo de hoje será útil não apenas para pesquisadores de vírus, mas também para usuários comuns que desejam se tornar mais avançados no uso de um computador. Vou lhe dizer como usar o programa Regshot para tirar instantâneos do registro do Windows para comparar e rastrear alterações.

O que é o Registro do Windows?

O registro é uma das partes principais do sistema operacional Microsoft Windows. Apesar disso, a maioria dos usuários utiliza o sistema operacional e desconhece a existência do registro.

Um usuário inexperiente nem percebe que ao alterar todos os parâmetros: instalar programas, alterar o próprio Windows e os dispositivos a ele conectados, todas as alterações são feitas no registro do Windows.

Em suma, o registro é, em certo sentido, o núcleo do sistema operacional, no qual todas as configurações e alterações são salvas.

Por que analisar o registro e acompanhar as alterações?

Digamos que você não seja mais apenas um usuário passivo de computador e queira descobrir o que está acontecendo nos bastidores durante a instalação de um novo programa ou analisar o comportamento de um vírus. Para descobrir quais alterações todo o software faz, você precisa de programas para rastrear o registro. Uma dessas ferramentas é o RegShot.

Instantâneo do registro usando RegShot

RegShoté um pequeno programa gratuito e de código aberto que permite tirar instantâneos do registro e compará-los. Todas as alterações ocorridas no registro podem ser salvas em um arquivo de texto ou html.

Baixar RegShot

Você pode baixar o programa RegShot gratuitamente usando um link direto.

Instalando o RegShot

Após o download do programa, descompacte o arquivo e vá para a pasta com os arquivos. Haverá vários arquivos na pasta.

Ao escolher um arquivo executável, preste atenção ao número de bits do seu sistema operacional.

Configurando e usando RegShot

Após o lançamento, aparecerá uma pequena janela do programa na qual alteramos imediatamente o idioma do skin para russo. Há também um idioma de interface ucraniano.

Agora vamos trabalhar. O rastreamento das alterações no registro começa com a obtenção do primeiro instantâneo do registro. Clique no botão instantâneo e na janela suspensa vemos 3 opções:

• Instantâneo - Somente instantâneo
• Snapshot + Save - Instantâneo e backup do registro
• Abrir - Abra um instantâneo já tirado do registro

Selecione a opção necessária. No meu caso de exemplo, não há necessidade de fazer backup do registro, então clico no botão “Instantâneo”. O programa ganhará vida e começará a criar o primeiro instantâneo do registro. Na parte inferior da janela você verá como os números mudam.

Quando os números param e o programa se acalma, você pode começar a trabalhar com programas de terceiros, instalação e tudo mais.

Após terminar, clique no botão “Segunda Imagem” e após alguns segundos você poderá clicar no botão “Comparar”.

Se o campo “Texto” foi marcado no início, você verá uma janela do editor de texto do Bloco de Notas, que conterá um relatório completo das alterações no registro.

Não instalei nenhum programa, apenas alterei algumas configurações no Painel de Controle do Windows. Como você pode ver, o utilitário Regshot registrou todas as alterações.

Durante a instalação do software, o relatório será obviamente maior.

Se precisar reanalisar o registro, clique no botão “Limpar” e recomece.

Como você pode ver, tirar um instantâneo do registro para rastrear alterações é muito fácil, especialmente quando você tem o programa certo em mãos. Isso é muito conveniente se você precisar descobrir quais alterações o programa faz no registro durante a instalação. A propósito, desta forma você pode descobrir quais elementos do registro são responsáveis ​​​​por uma determinada configuração do Windows.

Usando o sistema operacional Windows, seria uma boa ideia conhecê-lo melhor. Você pode começar com um artigo sobre um arquivo místico que você simplesmente precisa conhecer!

Isso é tudo, amigos. Exploraremos outras ferramentas no futuro. E sim, não esqueci que prometi fornecer instruções detalhadas sobre como criar um laboratório isolado confiável em uma máquina virtual para verificação de software e vírus. Então você é bem-vindo às nossas páginas públicas

As ramificações do registro do sistema operacional Windows armazenam configurações e parâmetros do próprio sistema, bem como de outros softwares instalados no computador. Às vezes você precisa descobrir quais ramificações do registro são modificadas por um programa em execução ou por sua distribuição de instalação. Para descobrir o que foi alterado no registro, você precisa usar um programa especial para monitorar o status dos parâmetros do registro do sistema. O programa RegFromApp monitora em tempo real as alterações no registro do sistema feitas por um programa (processo) em execução e reflete a ramificação do registro e os valores alterados nele.

Rastreie alterações no registro

Para descobrir o que um programa específico altera no registro, você precisa executar o RegFromApp e selecionar o processo que deseja rastrear na lista de todos os processos em execução. Assim que o programa de interesse do usuário acessar o registro e alterar os valores de suas ramificações, o RegFromApp refletirá imediatamente a ramificação do registro em que ocorrem as alterações e mostrará os valores alterados. As alterações feitas no registro podem ser salvas em um arquivo de registro (*.reg). O utilitário RegFromApp oferece suporte à execução a partir da linha de comando com parâmetros.

Capturas de tela do programa RegFromApp

Site oficial: http://www.nirsoft.net
SO: 32.64 Windows XP/Vista/7/8
Idiomas suportados: russo
Versão: 1.32
Licença:freeware (livre)

Tamanho do arquivo 107 KB

Programas mais interessantes:

• SmartPawnshop é o primeiro programa russo que permite otimizar os processos de gerenciamento de negócios de penhores

Registro do Windows é talvez o componente mais dinâmico do sistema operacional. Ele reflete quaisquer alterações, mesmo as menores, feitas no sistema por programas padrão e de terceiros. Usuários experientes podem acompanhar essas alterações usando utilitários especiais para essa finalidade, um dos quais será discutido hoje. É chamado. Este pequeno utilitário portátil da Nirsoft permite monitorar o funcionamento dos programas instalados no seu computador.

Ou melhor, registre todas as alterações que fizerem no registro do sistema no decorrer do trabalho e, se necessário, compare os resultados obtidos anteriormente com os posteriores. As exceções incluem aplicativos universais do Windows, conectando-se aos seus processos em na maioria das vezes ele falha.

Nota: Para fins de rastreamento 32 bits programas precisam ser usados 32 bits versão , mesmo em 64 bits sistema.

Usar o utilitário é bastante simples. Após iniciá-lo, você será solicitado a selecionar um processo para monitorar e clicar OK . Você também pode selecionar o processo manualmente no menu gráfico principal do programa. Depois disso, o monitoramento começará em segundo plano. Assim que o programa monitorado fizer alguma alteração no registro, ela aparecerá imediatamente na janela principal do utilitário. Os dados alterados podem ser copiados para a área de transferência ou salvos em um arquivo REGISTRO.

Modo de exibição em dois. Por padrão, o utilitário mostra apenas os últimos valores alterados, mas também é possível definir a exibição dos valores originais. Não há outras configurações significativas no programa.

Este artigo mostra as etapas para obter a propriedade de uma chave de registro e obter direitos de controle total, além de como devolver os direitos originais e restaurar o proprietário original.

Algumas seções do registro do Windows não estão disponíveis para edição, mesmo que sua conta pertença ao grupo "Administradores". Isso geralmente acontece porque o grupo "Administradores" Não há permissões (direitos) apropriadas para gravar nesta chave de registro. Existem vários motivos pelos quais você não pode editar uma chave de registro:
■ Grupo "Administradores"é o proprietário da seção, mas não tem todos os direitos sobre ela. Neste caso, basta simplesmente emitir para o grupo "Administradores" plenos direitos.
■ O proprietário da partição é um serviço do sistema Instalador confiável. Nesse caso, você deve primeiro se tornar o proprietário da seção e, em seguida, conceder todos os direitos ao seu grupo; esse exemplo será considerado neste artigo.

■ O proprietário da partição é a conta do sistema "Sistema" Instalador confiável.

O restante do artigo descreverá como fazer alterações no registro se você não tiver as permissões apropriadas, bem como restaurar as permissões originais e por que você precisa fazer isso. Antes de editar o registro do sistema, é recomendado

Ao alterar qualquer parâmetro no registro, se você não tiver direitos suficientes, receberá uma mensagem de erro.

Vamos considerar primeiro exemplo quando o grupo "Administradores"é o proprietário da seção, mas não tem todos os direitos sobre ela:
 1 Permissões...
 2 . Selecione um grupo "Administradores":

Se a caixa de seleção estiver disponível Acesso total, instale-o e clique no botão OK. Isto pode ser suficiente se o grupo for o proprietário da seção.

Se a caixa de seleção não estiver disponível ou você vir uma mensagem de erro como na captura de tela abaixo, passe para o segundo exemplo.

  Segundo exemplo quando o proprietário da partição é um serviço do sistema Instalador confiável

Na janela Permissões de grupo Clique no botão Adicionalmente

Na próxima janela, clique no link Mudar Insira o nome da sua conta local ou endereço de e-mail da conta da Microsoft, verifique o nome e clique em OK

Verifica a caixa Substituir proprietário de subcontêineres e objetos na parte superior da janela e clique no botão OK

Selecione um grupo "Administradores", Verifica a caixa Acesso total, aperte o botão OK

Agora você tem acesso total à chave de registro e pode editar todas as suas configurações.

  Terceiro exemplo quando o proprietário da partição é a conta do sistema "Sistema". Neste caso, as ações serão as mesmas que com Instalador confiável.

Devolvendo os direitos originais e restaurando a propriedade

Para fins de segurança do sistema, após editar os parâmetros necessários da chave de registro, você precisa devolver os direitos de acesso originais e restaurar a conta do sistema como proprietária da partição. Instalador confiável.
 1 . Clique com o botão direito na chave de registro e selecione no menu Permissões...

 2 . Na janela Permissões de grupo Clique no botão Adicionalmente

 3 . Na próxima janela Opções adicionais de segurança clique no link Mudar na parte superior da janela e na caixa de diálogo que aparece Selecione: "Usuário" ou "Grupo" insira o nome da conta:

Clique no botão OK

 5 . Na janela Permissões de grupo selecione um grupo "Administradores", desmarque Acesso total, aperte o botão OK

Os direitos originais e o proprietário da chave de registro foram restaurados.

■ Se o proprietário da seção fosse uma conta Sistema(na versão em inglês Sistema), então em vez disso
 Serviço NT\TrustedInstaller digitar Sistema(na versão em inglês Sistema).

De vez em quando, usuários e administradores de sistema podem precisar visualizar alterações no registro do Windows durante um determinado período. Isso pode ocorrer porque você deseja ver quais alterações um determinado programa ou ações do usuário fazem.

Você pode visualizar as alterações feitas no registro do Windows usando ferramentas integradas ao sistema operacional ou software de terceiros. Vamos começar com os primeiros.

Além disso, mencionemos também que tudo se resume a dois métodos: comparar dois “instantâneos” do registro tirados em momentos diferentes ou monitorar as alterações em tempo real.

A maneira mais acessível de ver quais alterações foram feitas no registro é usar o utilitário integrado ao Windows fc.exe. A vantagem deste método é que não há necessidade de procurar software adicional. Em geral, o utilitário fc.exe é usado não apenas para visualizar alterações no registro, mas para comparar dois arquivos ou conjuntos de arquivos em geral. Assim, fica claro que precisamos de dois “instantâneos” do registro.

Primeiro exportamos todo o registro ou apenas a filial que precisamos. Digamos que temos dois arquivos: 1.reg e 2.reg, que colocamos na unidade C. Então podemos usar o comando para compará-los

fc c:\1.reg c:\2.reg > c:\log.txt

Neste caso, enviamos o resultado do comando para um arquivo de texto. Mas eu recomendaria usar um formato mais avançado e/ou um editor mais poderoso que o Bloco de Notas para evitar problemas com arquivos .

Acima usei MS Word e formato .doc.

O problema de usar fc.exe é que o resultado de seu trabalho é ilegível. A captura de tela acima sugere que no tópico parâmetro foi adicionado Cartilha. Mas é improvável que você consiga entender isso se não souber com antecedência. fc.exe não pode ser chamado de ferramenta de análise completa. Este utilitário é mais adequado quando você mesmo faz alterações no registro e deseja verificar se elas foram feitas (mas não deseja vagar pelas ramificações do registro em regedit).

Portanto, vamos passar para outro utilitário, que, infelizmente, não está mais incluído nas versões modernas do Windows, mas pode ser adicionado. É chamado WinDiff. Você pode adicioná-lo por meio da instalação de pacotes SDK do Microsoft Windows. Infelizmente, após o Windows 7, o WinDiff foi excluído desses pacotes, mas você pode baixá-lo separadamente, por exemplo, .

Para usar o utilitário WinDiff na linha de comando do Windows, coloque-o no diretório %WINDIR%\System32. Agora, para comparar os dois arquivos de registro do exemplo, só precisamos inserir o comando

windiff C:\1.reg C:\2.reg

Será aberta a interface gráfica do utilitário, que pode ser vista na imagem acima. Vamos descobrir como ler a saída do programa WinDiff.

• Linhas em fundo branco significam que o conteúdo dos arquivos corresponde;
• As linhas com fundo vermelho mostram o conteúdo do primeiro arquivo (esquerda) que não está no segundo (direita);
• As linhas com fundo amarelo mostram o conteúdo do segundo arquivo (direita) que não está no primeiro (esquerda).

Temos uma linha amarela com conteúdo "Primário"="". Isso indica que o parâmetro apareceu no segundo arquivo Cartilha com um valor vazio. E ele está em HKEY_LOCAL_MACHINE\SOFTWARE\Teste. Como o segundo arquivo foi salvo posteriormente ao primeiro, podemos concluir que este parâmetro foi adicionado e não removido.

Vamos passar para utilitários de monitoramento de registro de terceiros.

Uma solução gratuita popular é o programa Registo. O programa também funciona com instantâneos de registro e os cria sozinho, em vez de analisar arquivos pré-salvos. Este é o seu sinal negativo. E a vantagem é que é muito simples.

Primeiro você precisa tirar o primeiro instantâneo do registro.

Depois disso, eles podem ser comparados.

Após a conclusão do processo de comparação, o programa abrirá automaticamente um arquivo com o resultado do trabalho. Outra vantagem do Regshot é que este arquivo é fácil de ler. No entanto, é importante notar que ele conterá várias alterações no registro, o que pode parecer uma espécie de código Morse. No meu caso, as duas fotos foram tiradas com menos de um minuto de diferença. Minha única ação foi remover o parâmetro Primer. Como você pode ver, o programa gravou isso. E também registrou muitas outras mudanças. Sempre há algo acontecendo nos bastidores do sistema operacional, e a maior parte disso está escondida de nossos olhos.

Mais fotos desnecessárias podem ser excluídas pressionando o botão Claro na interface do programa. Você pode baixar o programa Regshot.

A última ferramenta de monitoramento do registro do Windows discutida neste artigo será o programa Registro ao vivo. Talvez já pelo nome você possa entender que este programa é capaz de monitorar alterações no registro em tempo real.

O programa também é extremamente simples e, na verdade, nem possui muitas configurações. Basta especificar a ramificação do registro que deseja monitorar e iniciar o monitoramento com o botão Iniciar monitoramento.

Porém, o programa tem uma séria desvantagem que, em grande parte, neutraliza a própria ideia de monitoramento. Ele exibe apenas mensagens sobre alterações na ramificação do registro observada, mas não escreve exatamente quais alterações foram feitas. A segunda desvantagem é que o Registry Live Watch não pode monitorar todo o registro. Você pode baixar o programa.

Ao final do artigo falaremos sobre como automatizar a coleta de informações sobre o cadastro sem recorrer a softwares de terceiros. Isso pode ser feito usando um script contendo o comando reg export, cuja sintaxe é discutida. Ao executar esse script de acordo com uma programação, você receberá vários instantâneos de registro que podem ser comparados, se necessário.