Як зробити знімки реєстру Windowsдля порівняння та відстеження змін?
Відстежити зміни реєстру можна різними способамивручну або за допомогою спеціальних програм. У цій статті я розповім, як це зробити за допомогою програм, що на мій погляд набагато зручніше.
Як я і обіцяв, у статті « », цією публікацією ми розпочинаємо цикл статей присвячених аналізу шкідливих програм. У цих статтях розповідатиму про інструменти, які дозволяють досліджувати віруси та їх поведінку.
Сьогоднішня стаття буде корисною не тільки дослідникам вірусів, але й просто звичайним користувачам, які хочуть стати більш сучасними у використанні комп'ютера. Я розповім, як за допомогою програми Regshot робити знімки реєстру Windows для порівняння та відстеження змін.
Що таке реєстр Windows?
Реєстр – це одна з основних частин операційної системи Microsoft Windows. Незважаючи на це, більшість користувачів використовують операційну систему та не підозрюють про існування реєстру.
Недосвідчений користувач навіть не здогадується, що при зміні всіх параметрів: установки програм, зміни самої Windows і пристроїв, що підключаються до неї, всі зміни вносяться до реєстру Windows.
Одним словом, реєстр — це в якомусь сенсі ядро операційної системи, в якій зберігаються всі налаштування та зміни.
Навіщо аналізувати реєстр та відслідковувати зміни?
Допустимо ви вже не просто пасивний користувач комп'ютера-чайник і хочете дізнатися, що там відбувається за лаштунками під час установки нової програмиабо аналізувати поведінку вірусу. Для того щоб дізнатися, які зміни робить весь софт, і потрібні програми для відстеження реєстру. Одним із таких інструментів є програма RegShot.
Знімок реєстру за допомогою RegShot
RegShot- невелика безкоштовна з відкритим вихідним кодомпрограма, яка дозволяє робити знімки реєстру та порівняти їх. Усі зміни, які відбулися в реєстрі, можна зберегти в текстовому файлі або файлі html.
Завантажити RegShot
Завантажити програму RegShot безкоштовно ви можете за прямим посиланням.
Встановлення RegShot
Після того, як програма завантажилася, розархівуйте архів і перейдіть до папки з файлами. У папці буде кілька файлів.
Вибираючи виконуваний файл, зверніть увагу на розрядність вашої операційної системи.
Налаштування та використання RegShot
Після запуску з'явиться невелике вікно програми, в якому одразу змінюємо мову шкурки на російську. Є також і українська мова інтерфейсу.
Тепер приступимо до роботи. Відстеження змін реєстру починається зі зняття першого знімка реєстру. Натискаємо на кнопку знімок і у вікні, що випадає, бачимо 3 опції:
- Знімок — Тільки знімок
- Знімок + Зберегти — Знімок та бекап реєстру
- Відкрити — Відкрити зроблений знімок реєстру.
Вибираємо потрібний варіант. У моєму випадку для прикладу немає необхідності робити бекап реєстру, тому я натискаю кнопку «Знімок». Програма пожвавиться та почне створювати перший знімок реєстру. Внизу вікна ви побачите, як змінюються цифри.
Коли цифри зупиняться, і програма заспокоїться, можна приступати до роботи зі сторонніми програмами, установка і таке інше.
Після закінчення натискаємо кнопку «Другий знімок» і за кілька секунд можна натискати на кнопку «Порівняти».
Якщо на початку було відзначено галочкою поле «Текст», ви побачите вікно текстового редактораБлокнот, в якому буде повний звіт змін реєстру.
Я не встановлював жодних програм, а лише змінив кілька параметрів на панелі керування Windows. Як ви бачите, утиліта Regshot зафіксувала всі зміни.
Під час встановлення софту звіт буде звичайно більшим.
Якщо потрібно зробити повторний аналіз реєстру, тиснемо на кнопку «Очистити» і починаємо по новій.
Як ви бачите зробити знімок реєстру для відстеження змін дуже просто, особливо коли під рукою правильна програма. Це дуже зручно, якщо вам необхідно дізнатися, які зміни в реєстр вносить програма під час інсталяції. До речі цим способом можна дізнатися які елементи реєстру відповідають за те чи інше налаштування Windows.
Використовуючи ОС Windows, не погано було б дізнатися її краще. Можна почати зі статті про містичний файл, про який ви просто повинні знати!
На цьому все, друзі. У майбутньому вивчатимемо й інші інструменти. І так, я не забув про те, що обіцяв зробити докладну інструкціюпро те, як зробити надійну ізольовану лабораторію на віртуальній машинідля перевірки софту та вірусів. Тож милості просимо до наших пабликів
У гілках реєстру операційної системи Windowsзберігаються налаштування та параметри самої системи, а також іншого встановленого на комп'ютері програмного забезпечення. Іноді потрібно дізнатися які гілки реєстру змінює програма, що запускається, або її настановний дистрибутив. Для того, щоб дізнатися, що було змінено у реєстрі – потрібно скористатися спеціальною програмоюдля моніторингу стану параметрів реєстру. Програма RegFromApp відстежує в режимі реального часу зміни у системному реєстрі, що виробляються запущеною програмою(процесом) і відображає гілку реєстру та значення, що змінюються в ній.
Відстежити зміни у реєстрі
Щоб дізнатися, що змінює в реєстрі конкретна програма, потрібно запустити RegFromApp і вибрати процес, що цікавить для відстеження, зі списку всіх запущених процесів. Як тільки програма, що цікавить користувача, звернеться до реєстру і змінить значення його гілок, RegFromApp відразу відобразить гілку реєстру, в якій відбуваються зміни і покаже змінювані значення. Внесені до реєстру зміни можна зберегти у файл реєстру (*.reg). Утиліта RegFromApp підтримує запуск із командного рядкаіз параметрами.
Скріншоти програми RegFromApp
Офіційний сайт: http://www.nirsoft.net
Операційні системи:
32,64 Windows XP/Vista/7/8
Підтримувані мови:російська
Версія: 1.32
Ліцензія:freeware (безкоштовна)
Розмір файлу 107 Кб
Ще цікаві програми:
- СмартЛомбард - перша російська програма, що дозволяє оптимізувати процеси управління ломбардним бізнесом
Р естр Windows
є, мабуть, найдинамічнішим компонентом операційної системи. У ньому відображаються будь-які, навіть незначні зміни, що вносяться в систему штатними і сторонніми програмами. Досвідчені користувачі можуть відстежувати подібні зміни, застосовуючи для цього спеціальні утиліти, про одну з яких сьогодні йтиметься. Називається вона. Ця невелика портативна утиліта від Nirsoft
дозволяє проводити спостереження за роботою встановлених на комп'ютері програм.
А вірніше фіксувати всі зміни, які вони в процесі своєї роботи вносять до системного реєстру, і при необхідності порівнювати отримані раніше результати з пізнішими. Винятки становлять універсальні програми Windows, підключення до їх процесів у найчастіше завершується помилкою.
Примітка: для відстеження роботи 32-бітних програм потрібно використовувати 32-розрядну версію , навіть на 64-бітної системі.
Користуватися утилітою досить просто. Після її запуску вам буде запропоновано вибрати процес для спостереження та натиснути ок . Також процес можна вибрати вручну із головного графічного меню програми. Після цього буде запущено спостереження у фоновому режимі. Як тільки програма, що відстежується, внесе до реєстру якісь зміни, вони відразу з'являться в головному вікні утиліти. Дані про зміни можна скопіювати в буфер обміну або зберегти файл REG.
Режиму відображення в два. За замовчуванням утиліта показує лише останні змінені значення, але також можна задати показ вихідних значень. Інших значних налаштувань у програмі немає.
У цій статті показані дії, за допомогою яких ви зможете стати власником розділу реєстру та отримати права повного доступу, а також повернути вихідні права та відновити вихідного власника.
Деякі розділи реєстру Windows недоступні для редагування, навіть якщо ваш обліковий запис належить до групи «Адміністратори». Це зазвичай відбувається через те, що у групи «Адміністратори»немає відповідних дозволів (прав) на запис до цього розділу реєстру. Є кілька причин, чому ви не можете редагувати розділ реєстру:
■ Група «Адміністратори»є власником розділу, але не має повних прав на нього. І тут досить просто видати групі «Адміністратори»повні права.
■ Власником розділу є системна служба TrustedInstaller. У цьому випадку потрібно спочатку стати власником розділу, а потім видати своїй групі повні права, якраз у цій статті буде розглянуто такий приклад.
■ Власником розділу є системна обліковий запис "Система" TrustedInstaller.
Далі у статті буде описано, як внести зміни до реєстру за відсутності відповідних дозволів, а також як відновити вихідні дозволи, і для чого це потрібно робити. Перед тим, як редагувати системний реєстр, рекомендується
Якщо ви змінили будь-який параметр у реєстрі, якщо у вас недостатньо прав, ви отримаєте повідомлення про помилку.
Розглянемо перший приклад, коли група «Адміністратори»є власником розділу, але не має повних прав на нього:
1
Дозволи...
2
. Виділіть групу «Адміністратори»:
Якщо доступний прапорець Повний доступ, встановіть його та натисніть кнопку ОК. Цього може бути достатньо, якщо група є власником розділу.
Якщо прапорець недоступний або ви бачите повідомлення про помилку як на скріншоті нижче, переходимо до другого прикладу.
У вікні Дозволи для групинатисніть кнопку Додатково
У наступному вікні натисніть на посилання Змінитивведіть ім'я локального облікового запису або адресу електронної поштиобліковий записи Microsoft, перевірте ім'я та натисніть кнопку ОК
Встановіть прапорець Замінити власника підконтейнерів та об'єктівзверху вікна та натисніть кнопку ОК
Виділіть групу «Адміністратори», встановіть прапорець Повний доступ, натисніть кнопку OK
Тепер у вас є повний доступ до розділу реєстру, і ви можете редагувати всі його параметри.
Третій приклад, коли власником розділу є системний обліковий запис "Система". У цьому випадку дії будуть такими ж, як і з TrustedInstaller.
Повернення вихідних прав та відновлення власника
З метою безпеки системи, після редагування необхідних параметрів розділу реєстру, потрібно повернути вихідні права доступу та відновити як власника розділу системний обліковий запис TrustedInstaller.
1
. Клацніть правою кнопкоюмиші на розділі реєстру та виберіть з меню пункт Дозволи...
2 . У вікні Дозволи для групинатисніть кнопку Додатково
Натисніть кнопку OK
5 . У вікні Дозволи для групивиділіть групу «Адміністратори», зніміть прапорець Повний доступ, натисніть кнопку OK
Вихідні права та власник розділу реєстру відновлені.
■ Якщо власником розділу був обліковий запис Система(в англійському варіанті System), то замість
NT Service\TrustedInstallerвведіть Система(в англійському варіанті System).
Час від часу у користувачів та системних адміністраторівможе виникнути потреба переглянути зміни в реєстрі Windows за певний період. Це може бути спричинене бажанням подивитися, які зміни вносять певна програма чи дії користувачів.
Переглянути зміни, внесені до реєстру Windows, можна як вбудованими в операційну систему засобами, так і за допомогою стороннього програмного забезпечення. Почнемо з перших.
Крім того, згадаємо ще, що все зводиться до двох методів: порівняння двох «знімків» реєстру, зроблених у різний час, або моніторингу змін у режимі реального часу.
Найдоступніший спосіб подивитися, які до реєстру були внесені зміни, це використання вбудованої в Windows утиліти fc.exe. Плюсом цього є відсутність потреби шукати додаткове ПЗ. Загалом утиліта fc.exe використовується не тільки для перегляду змін реєстру, а для порівняння двох файлів або наборів файлів взагалі. Таким чином стає зрозуміло, що нам потрібні два «знімки» реєстру.
Експортуємо попередньо весь реєстр або лише потрібну нам гілку. Припустимо, у нас є два файли: 1.reg та 2.reg, які ми поклали на диск C. Тоді для їх порівняння можна використовувати команду
fc c:\1.reg c:\2.reg > c:\log.txtВ даному випадку ми вивели результат роботи команди у текстовий файл. Але я рекомендував би використовувати більш просунутий формат і (або) редактор сильніше Блокнота, щоб не було проблем з .
Вище я використав MS Word та формат.doc.
Проблема використання fc.exe полягає в тому, що результат її роботи є малочитаним. Скріншот вище говорить про те, що у гілку був доданий параметр Primer. Але навряд чи вдасться це зрозуміти, якщо не знати про це наперед. Повноцінним інструментом аналізу fc.exe не назвеш. Ця утиліта більше підходить, коли ви самі вносите зміни до реєстру, і хочете переконатися, що вони були внесені (але не хочете блукати гілками реєстру в regedit).
Тому перейдемо до іншої утиліти, яка, на жаль, уже не входить до складу сучасних версій Windows, але можна додати. Називається вона WinDiff. Додати її можна через установку пакетів Microsoft Windows SDK. На жаль, після Windows 7 WinDiff виключили і з цих пакетів, але завантажити її можна окремо, наприклад, .
Щоб використовувати утиліту WinDiff із командної рядки Windows, помістіть її в каталог %WINDIR%\System32. Тепер для порівняння двох файлів реєстру з прикладу нам достатньо запровадити команду
windiff C:\1.reg C:\2.reg
Відкриється графічний інтерфейс утиліти, який можна побачити на скріншоті вище. Розберемося, як читати висновок програми WinDiff.
- Рядки на білому тлі означають збіг вмісту файлів;
- Рядки на червоному тлі показують вміст першого (лівого) файлу, якого немає у другому (правому);
- Рядки на жовтому фоні показують вміст другого (правого) файлу, якого немає у першому (лівому).
У нас є жовтий рядок із вмістом "Primer"="". Це говорить про те, що у другому файлі з'явився параметр Primerіз порожнім значенням. І знаходиться він у HKEY_LOCAL_MACHINE\SOFTWARE\Test. Так як другий файл був збережений пізніше першого, можна зробити висновок, що цей параметр було додано, а не видалено.
Перейдемо до сторонніх утиліт моніторингу реєстру.
Популярним безкоштовним рішенням є програма Regshot. Програма також працює зі знімками реєстру, причому робить їх сама, а не аналізує заздалегідь збережені файли. У цьому її мінус. А плюс у тому, що вона дуже проста.
Спочатку потрібно зробити перший знімок реєстру.
Після чого їх можна порівняти.
Після закінчення процесу порівняння програма автоматично відкриє файл із результатами роботи. Ще одним плюсом Regshot і те, що цей файл легко читається. Правда, варто відзначити, що в ньому буде купа змін реєстру, які можуть здатися своєрідною абеткою Морзе. У моєму випадку обидва знімки були зроблені з різницею менше хвилини. Мої дії були лише в тому, що я видалив параметр Primer. Як бачите, програма це зафіксувала. А також зафіксувала багато інших змін. «Під капотом» операційної системи постійно щось відбувається, і більшість із цього прихована від наших очей.
Можна видалити більш непотрібні знімки, натиснувши кнопку Очиститиінтерфейс програми. Завантажити програму Regshot можна.
Останнім засобом моніторингу реєстру Windows, що розглядається в цій статті, буде програма Registry Live Watch. Мабуть, вже з назви можна зрозуміти, що дана програмаздатна стежити за зміною реєстру у реальному часі.
Програма теж дуже проста і, по суті, навіть не має до ладу налаштувань. Ви лише вказуєте гілку реєстру, за якою потрібно стежити, та запускаєте моніторинг кнопкою Start Monitor.
Однак програма має серйозний недолік, який здебільшого нівелює саму ідею моніторингу. Вона видає лише повідомлення про зміну гілки реєстру, що спостерігається, але не пише, які саме зміни були внесені. Другим недоліком є те, що Registry Live Watch не вміє моніторити весь реєстр. Завантажити програму можна.
Під кінець статті поговоримо про те, як автоматизувати збір інформації про реєстр не вдаючись до стороннього програмного забезпечення. Зробити це можна за допомогою скрипта, що містить команду reg export, синтаксису якої присвячена. Запускаючи цей скрипт за розкладом, ви отримаєте ряд знімків реєстру, які можна буде за необхідності порівняти.