Si të bëhet Fotot e regjistrit të Windows për të krahasuar dhe ndjekur ndryshimet?
Ju mund të gjurmoni ndryshimet e regjistrit në mënyra të ndryshme, me dorë ose duke përdorur programe speciale. Në këtë artikull do t'ju tregoj se si ta bëni këtë duke përdorur programe, të cilat për mendimin tim janë shumë më të përshtatshme.
Siç premtova, në artikullin "", me këtë botim ne fillojmë një seri artikujsh kushtuar analizës së malware. Në këto artikuj do të flas për mjetet që ju lejojnë të studioni viruset dhe sjelljen e tyre.
Artikulli i sotëm do të jetë i dobishëm jo vetëm për studiuesit e viruseve, por edhe për përdoruesit e zakonshëm që duan të bëhen më të avancuar në përdorimin e një kompjuteri. Unë do t'ju tregoj se si të përdorni programin Regshot për të marrë fotografi të regjistrit të Windows për të krahasuar dhe gjurmuar ndryshimet.
Çfarë është Regjistri i Windows?
Regjistri është një nga pjesët kryesore të sistemit operativ Microsoft Windows. Përkundër kësaj, shumica e përdoruesve përdorin sistemin operativ dhe nuk janë në dijeni të ekzistencës së regjistrit.
Një përdorues i papërvojë as nuk e kupton se kur ndryshoni të gjithë parametrat: instaloni programe, ndryshoni vetë Windows dhe pajisjet e lidhura me të, të gjitha ndryshimet bëhen në regjistrin e Windows.
Me një fjalë, regjistri është, në një farë kuptimi, thelbi i sistemit operativ, në të cilin ruhen të gjitha cilësimet dhe ndryshimet.
Pse të analizoni regjistrin dhe të gjurmoni ndryshimet?
Le të themi se nuk jeni më thjesht një përdorues pasiv i kompjuterit dhe dëshironi të zbuloni se çfarë po ndodh prapa skenave gjatë instalimit të një programi të ri ose të analizoni sjelljen e një virusi. Për të zbuluar se çfarë ndryshimesh bën i gjithë softueri, ju nevojiten programe për të gjurmuar regjistrin. Një mjet i tillë është RegShot.
Foto e regjistrit duke përdorur RegShot
RegShotështë një program i vogël falas dhe me burim të hapur që ju lejon të bëni fotografi të regjistrit dhe t'i krahasoni ato. Të gjitha ndryshimet që kanë ndodhur në regjistër mund të ruhen në një skedar teksti ose skedar html.
Shkarkoni RegShot
Ju mund ta shkarkoni falas programin RegShot duke përdorur një lidhje të drejtpërdrejtë.
Instalimi i RegShot
Pasi të jetë shkarkuar programi, hiqni arkivin dhe shkoni te dosja me skedarët. Do të ketë disa skedarë në dosje.
Kur zgjidhni një skedar të ekzekutueshëm, kushtojini vëmendje shkallës së sistemit tuaj operativ.
Konfigurimi dhe përdorimi i RegShot
Pas nisjes, do të shfaqet një dritare e vogël e programit në të cilën ne e ndryshojmë menjëherë gjuhën e lëkurës në Rusisht. Ekziston edhe një gjuhë e ndërfaqes ukrainase.
Tani le të shkojmë në punë. Ndjekja e ndryshimeve të regjistrit fillon me marrjen e fotografisë së parë të regjistrit. Klikoni në butonin e fotografisë dhe në dritaren rënëse shohim 3 opsione:
- Foto e çastit - Vetëm fotografi
- Snapshot + Save - Foto dhe kopje rezervë e regjistrit
- Hap - Hapni një fotografi të regjistrit të marrë tashmë
Zgjidhni opsionin e kërkuar. Në rastin tim të shembullit, nuk ka nevojë të bëni kopje rezervë të regjistrit, kështu që klikoj në butonin "Snapshot". Programi do të marrë jetë dhe do të fillojë të krijojë fotografinë e parë të regjistrit. Në fund të dritares do të shihni se si ndryshojnë numrat.
Kur numrat ndalojnë dhe programi qetësohet, mund të filloni të punoni me programe të palëve të treta, instalimin dhe gjithçka.
Pas përfundimit, klikoni në butonin "Imazhi i dytë" dhe pas disa sekondash mund të klikoni në butonin "Krahaso".
Nëse fusha "Tekst" është kontrolluar në fillim, atëherë do të shihni një dritare të redaktuesit të tekstit të Notepad, e cila do të përmbajë një raport të plotë të ndryshimeve të regjistrit.
Unë nuk instalova asnjë program, thjesht ndryshova disa cilësime në panelin e kontrollit të Windows. Siç mund ta shihni, mjeti Regshot regjistroi të gjitha ndryshimet.
Gjatë instalimit të softuerit, raporti do të jetë sigurisht më i madh.
Nëse keni nevojë të ri-analizoni regjistrin, atëherë klikoni në butonin "Pastro" dhe filloni nga e para.
Siç mund ta shihni, marrja e një fotografie të regjistrit për të gjurmuar ndryshimet është shumë e lehtë, veçanërisht kur keni programin e duhur në dorë. Kjo është shumë e përshtatshme nëse duhet të zbuloni se çfarë ndryshimesh bën programi në regjistër gjatë instalimit. Nga rruga, në këtë mënyrë mund të zbuloni se cilët elementë të regjistrit janë përgjegjës për një cilësim të veçantë të Windows.
Duke përdorur Windows OS do të ishte një ide e mirë ta njihni më mirë. Mund të filloni me një artikull rreth një skedari mistik për të cilin thjesht duhet të dini!
Kjo është e gjitha, miq. Ne do të eksplorojmë mjete të tjera në të ardhmen. Dhe po, nuk harrova se premtova të jepja udhëzime të hollësishme se si të bëni një laborator të besueshëm të izoluar në një makinë virtuale për kontrollimin e softuerit dhe viruseve. Pra, jeni të mirëpritur në faqet tona publike
Degët e regjistrit të sistemit operativ Windows ruajnë cilësimet dhe parametrat e vetë sistemit, si dhe softuerët e tjerë të instaluar në kompjuter. Ndonjëherë ju duhet të zbuloni se cilat degë të regjistrit janë modifikuar nga një program i nisur ose shpërndarja e instalimit të tij. Për të zbuluar se çfarë ka ndryshuar në regjistër, duhet të përdorni një program të veçantë për të monitoruar statusin e parametrave të regjistrit të sistemit. Programi RegFromApp monitoron në kohë reale ndryshimet në regjistrin e sistemit të bëra nga një program (proces) që funksionon dhe pasqyron degën e regjistrit dhe vlerat e ndryshuara në të.
Ndiqni ndryshimet në regjistër
Për të zbuluar se çfarë ndryshon një program specifik në regjistër, duhet të ekzekutoni RegFromApp dhe të zgjidhni procesin që ju intereson të gjurmoni nga lista e të gjitha proceseve të ekzekutuara. Sapo programi me interes për përdoruesin të hyjë në regjistër dhe të ndryshojë vlerat e degëve të tij, RegFromApp do të pasqyrojë menjëherë degën e regjistrit në të cilën ndodhin ndryshimet dhe do të tregojë vlerat e ndryshuara. Ndryshimet e bëra në regjistër mund të ruhen në një skedar regjistri (*.reg). Shërbimi RegFromApp mbështet ekzekutimin nga linja e komandës me parametra.
Pamjet e ekranit të programit RegFromApp
Faqja zyrtare: http://www.nirsoft.net
OS:
32.64 Windows XP/Vista/7/8
Gjuhët e mbështetura: rusisht
Version: 1.32
Liçensë:pa pagesë (falas)
Madhësia e skedarit 107 KB
Programe më interesante:
- SmartPawnshop është programi i parë rus që ju lejon të optimizoni proceset e menaxhimit të biznesit të pengut
Regjistri i Windows
është ndoshta komponenti më dinamik i sistemit operativ. Ai pasqyron çdo ndryshim, madje edhe më të vogël, të bërë në sistem nga programet standarde dhe të palëve të treta. Përdoruesit me përvojë mund të gjurmojnë ndryshime të tilla duke përdorur shërbime speciale për këtë qëllim, njëra prej të cilave do të diskutohet sot. Quhet. Ky mjet i vogël portativ nga Nirsoft
ju lejon të monitoroni funksionimin e programeve të instaluara në kompjuterin tuaj.
Ose më mirë, regjistroni të gjitha ndryshimet që ata bëjnë në regjistrin e sistemit gjatë rrjedhës së punës së tyre dhe, nëse është e nevojshme, krahasoni rezultatet e marra më parë me ato të mëvonshme. Përjashtimet përfshijnë aplikacionet universale të Windows, që lidhen me proceset e tyre në më së shpeshti dështon.
Shënim: Për qëllime gjurmimi 32-bit duhet të përdoren programe 32-bit version , madje edhe në 64-bit sistemi.
Përdorimi i mjetit është mjaft i thjeshtë. Pas nisjes së tij, do t'ju kërkohet të zgjidhni një proces për të monitoruar dhe klikuar Ne rregull . Ju gjithashtu mund ta zgjidhni procesin manualisht nga menyja kryesore grafike e programit. Pas kësaj, monitorimi do të fillojë në sfond. Sapo programi i monitoruar të bëjë ndonjë ndryshim në regjistër, ato do të shfaqen menjëherë në dritaren kryesore të programit. Të dhënat e ndryshimit mund të kopjohen në kujtesën e fragmenteve ose të ruhen në një skedar REG.
Modaliteti i shfaqjes në dy. Si parazgjedhje, programi tregon vetëm vlerat e fundit të ndryshuara, por është gjithashtu e mundur të vendosni shfaqjen e vlerave origjinale. Nuk ka cilësime të tjera të rëndësishme në program.
Ky artikull ju tregon hapat për të marrë pronësinë e një çelësi regjistri dhe për të fituar të drejta të plota kontrolli, dhe si të ktheheni të drejtat origjinale dhe të rivendosni zotëruesin origjinal.
Disa seksione të regjistrit të Windows nuk janë të disponueshme për modifikim, edhe nëse llogaria juaj i përket grupit "Administrat". Kjo zakonisht ndodh sepse grupi "Administrat" Nuk ka leje (të drejta) të përshtatshme për të shkruar në këtë çelës regjistri. Ka disa arsye pse nuk mund të modifikoni një çelës regjistri:
■ Grupi "Administrat"është pronar i seksionit, por nuk ka të drejta të plota për të. Në këtë rast, mjafton që thjesht t'i lëshoni grupit "Administrat" të drejta të plota.
■ Pronari i ndarjes është një shërbim i sistemit TrustedInstaller. Në këtë rast, së pari duhet të bëheni pronar i seksionit, dhe më pas t'i jepni grupit tuaj të drejta të plota, vetëm një shembull i tillë do të konsiderohet në këtë artikull.
■ Pronari i ndarjes është llogaria e sistemit "Sistemi" TrustedInstaller.
Pjesa tjetër e artikullit do të përshkruajë se si të bëni ndryshime në regjistër nëse nuk keni lejet e duhura, si dhe si të rivendosni lejet origjinale dhe pse duhet ta bëni këtë. Para se të redaktoni regjistrin e sistemit, rekomandohet
Kur ndryshoni ndonjë parametër në regjistër, nëse nuk keni të drejta të mjaftueshme, do të merrni një mesazh gabimi.
Le të shqyrtojmë shembulli i parë kur grupi "Administrat"është pronar i seksionit, por nuk ka të drejta të plota për të:
1
Lejet...
2
. Zgjidhni një grup "Administrat":
Nëse kutia e zgjedhjes është e disponueshme Akses i plotë, instaloni dhe klikoni butonin Ne rregull. Kjo mund të jetë e mjaftueshme nëse grupi është pronari i seksionit.
Nëse kutia e kontrollit nuk është e disponueshme ose shihni një mesazh gabimi si në pamjen e mëposhtme të ekranit, atëherë kaloni te shembulli i dytë.
Në dritare Lejet e grupit klikoni butonin Për më tepër
Në dritaren tjetër, klikoni lidhjen Ndryshimi Futni emrin e llogarisë tuaj lokale ose adresën e emailit të llogarisë Microsoft, kontrolloni emrin dhe klikoni Ne rregull
Kontrolloni kutinë Zëvendësoni pronarin e nënkontejnerëve dhe objekteve në krye të dritares dhe klikoni butonin Ne rregull
Zgjidhni një grup "Administrat", kontrolloni kutinë Akses i plotë, Shtyp butonin Ne rregull
Tani keni akses të plotë në çelësin e regjistrit dhe mund të modifikoni të gjitha cilësimet e tij.
Shembulli i tretë kur pronari i ndarjes është llogaria e sistemit "Sistemi". Në këtë rast, veprimet do të jenë të njëjta si me TrustedInstaller.
Kthimi i të drejtave origjinale dhe rivendosja e pronësisë
Për qëllime të sigurisë së sistemit, pasi të keni modifikuar parametrat e nevojshëm të çelësit të regjistrit, duhet të ktheni të drejtat origjinale të hyrjes dhe të rivendosni llogarinë e sistemit si pronar i seksionit. TrustedInstaller.
1
. Klikoni me të djathtën në çelësin e regjistrit dhe zgjidhni nga menyja Lejet...
2 . Në dritare Lejet e grupit klikoni butonin Për më tepër
Klikoni butonin Ne rregull
5 . Në dritare Lejet e grupit zgjidhni një grup "Administrat", hiqni zgjedhjen Akses i plotë, Shtyp butonin Ne rregull
Të drejtat origjinale dhe zotëruesi i çelësit të regjistrit janë rivendosur.
■ Nëse pronari i seksionit ishte një llogari Sistemi(në versionin anglisht Sistemi), pastaj në vend të kësaj
Shërbimi NT\TrustedInstaller hyjnë Sistemi(në versionin anglisht Sistemi).
Herë pas here, përdoruesit dhe administratorët e sistemit mund të kenë nevojë të shikojnë ndryshimet në regjistrin e Windows gjatë një periudhe të caktuar. Kjo mund të jetë për shkak se ju dëshironi të shihni se çfarë ndryshimesh bën një program ose veprime të veçanta të përdoruesit.
Ju mund të shikoni ndryshimet e bëra në regjistrin e Windows duke përdorur mjete të integruara në sistemin operativ ose duke përdorur softuer të palëve të treta. Le të fillojmë me të parët.
Për më tepër, le të përmendim gjithashtu se gjithçka varet nga dy metoda: krahasimi i dy "fotografive" të regjistrit të marra në kohë të ndryshme ose monitorimi i ndryshimeve në kohë reale.
Mënyra më e arritshme për të parë se çfarë ndryshimesh janë bërë në regjistër është të përdorni programin e integruar në Windows fc.exe. Avantazhi i kësaj metode është se nuk ka nevojë të kërkoni softuer shtesë. Në përgjithësi, mjeti fc.exe përdoret jo vetëm për të parë ndryshimet e regjistrit, por për të krahasuar dy skedarë ose grupe skedarësh në përgjithësi. Kështu, bëhet e qartë se na duhen dy "fotografi" të regjistrit.
Ne fillimisht eksportojmë të gjithë regjistrin ose vetëm degën që na nevojitet. Le të themi se kemi dy skedarë: 1.reg dhe 2.reg, të cilët i vendosim në diskun C. Më pas mund të përdorim komandën për t'i krahasuar ato
fc c:\1.reg c:\2.reg > c:\log.txtNë këtë rast, ne nxjerrim rezultatin e komandës në një skedar teksti. Por unë do të rekomandoja përdorimin e një formati më të avancuar dhe/ose një redaktues më të fortë se Notepad për të shmangur problemet me .
Më sipër kam përdorur formatin MS Word dhe .doc.
Problemi me përdorimin e fc.exe është se rezultati i punës së tij është i palexueshëm. Pamja e mësipërme e ekranit sugjeron që në fill është shtuar parametri Abetare. Por nuk ka gjasa që ju të jeni në gjendje ta kuptoni këtë nëse nuk e dini paraprakisht. fc.exe nuk mund të quhet një mjet analize i plotë. Ky mjet është më i përshtatshëm kur bëni ndryshime në regjistër vetë dhe dëshironi të siguroheni që ato janë bërë (por nuk dëshironi të endeni nëpër degët e regjistrit në regedit).
Prandaj, le të kalojmë në një mjet tjetër, i cili, për fat të keq, nuk përfshihet më në versionet moderne të Windows, por mund të shtohet. Quhet WinDiff. Mund ta shtoni përmes instalimit të paketave Microsoft Windows SDK. Fatkeqësisht, pas Windows 7, WinDiff u përjashtua nga këto paketa, por ju mund ta shkarkoni veçmas, për shembull, .
Për të përdorur mjetin WinDiff nga linja e komandës Windows, vendoseni atë në drejtori %WINDIR%\System32. Tani për të krahasuar dy skedarët e regjistrit nga shembulli, thjesht duhet të futim komandën
era C:\1.reg C:\2.reg
Ndërfaqja grafike e programit do të hapet, e cila mund të shihet në pamjen e mësipërme. Le të kuptojmë se si të lexojmë daljen e programit WinDiff.
- Vijat në sfond të bardhë nënkuptojnë se përmbajtja e skedarëve përputhet;
- Rreshtat me sfond të kuq tregojnë përmbajtjen e skedarit të parë (majtas) që nuk janë në të dytin (djathtas);
- Rreshtat me sfond të verdhë tregojnë përmbajtjen e skedarit të dytë (djathtas) që nuk janë në të parën (majtas).
Ne kemi një vijë të verdhë me përmbajtje "Abetare"="". Kjo tregon që parametri u shfaq në skedarin e dytë Abetare me një vlerë boshe. Dhe ai është brenda HKEY_LOCAL_MACHINE\SOFTWARE\Test. Meqenëse skedari i dytë u ruajt më vonë se i pari, mund të konkludojmë se ky parametër u shtua dhe nuk u hoq.
Le të kalojmë te shërbimet e monitorimit të regjistrit të palëve të treta.
Një zgjidhje popullore falas është programi Regshot. Programi gjithashtu punon me fotografi të regjistrit dhe i bën ato vetë, në vend që të analizojë skedarët e ruajtur paraprakisht. Ky është minusi i tij. Dhe plusi është se është shumë e thjeshtë.
Së pari ju duhet të bëni fotografinë e parë të regjistrit.
Pas së cilës ato mund të krahasohen.
Pas përfundimit të procesit të krahasimit, programi automatikisht do të hapë një skedar me rezultatet e punës. Një avantazh tjetër i Regshot është se ky skedar është i lehtë për t'u lexuar. Megjithatë, vlen të përmendet se ai do të përmbajë një mori ndryshimesh në regjistër, të cilat mund të duken si një lloj kodi Morse. Në rastin tim, të dyja fotografitë janë bërë me më pak se një minutë larg njëri-tjetrit. Veprimi im i vetëm ishte heqja e parametrit Primer. Siç mund ta shihni, programi e regjistroi këtë. Dhe gjithashtu regjistroi shumë ndryshime të tjera. Gjithmonë diçka po ndodh nën kapakun e sistemit operativ dhe shumica e saj fshihet nga sytë tanë.
Më shumë foto të panevojshme mund të fshihen duke shtypur butonin Qartë në ndërfaqen e programit. Ju mund të shkarkoni programin Regshot.
Mjeti i fundit i monitorimit të regjistrit të Windows i diskutuar në këtë artikull do të jetë programi Regjistrohu Live Watch. Ndoshta, tashmë nga emri mund të kuptoni se ky program është i aftë të monitorojë ndryshimet e regjistrit në kohë reale.
Programi është gjithashtu jashtëzakonisht i thjeshtë dhe, në fakt, nuk ka as shumë cilësime. Thjesht specifikoni degën e regjistrit që dëshironi të monitoroni dhe filloni monitorimin me butonin Filloni Monitorin.
Sidoqoftë, programi ka një pengesë serioze, e cila, në pjesën më të madhe, neutralizon vetë idenë e monitorimit. Ai shfaq vetëm mesazhe për ndryshimet në degën e regjistrit të vëzhguar, por nuk shkruan saktësisht se çfarë ndryshimesh janë bërë. Disavantazhi i dytë është se Registry Live Watch nuk mund të monitorojë të gjithë regjistrin. Ju mund ta shkarkoni programin.
Në fund të artikullit, ne do të flasim se si të automatizojmë mbledhjen e informacionit në lidhje me regjistrin pa përdorur softuer të palëve të treta. Kjo mund të bëhet duke përdorur një skript që përmban komandën e eksportit reg, sintaksa e së cilës diskutohet. Duke ekzekutuar këtë skript sipas një plani, do të merrni një numër fotografish të regjistrit që mund të krahasohen nëse është e nevojshme.