تتبع التغييرات في سجل ويندوز

Question

هل هناك طريقة لتتبع التغيرات في نظام التشغيل Windows التسجيل ؟ أود أن أرى ما هي التغييرات في التسجيل يتم إجراؤها أثناء تركيب البرامج المختلفة.

Answer 1

يمكن التسجيل رصد التغييرات التي تم إجراؤها بواسطة برنامج معين.

http://www.nirsoft.net/utils/reg_file_from_application.html

تحديث:مجرد تحميل NirLauncher (التي تشمل جميع التطبيقات من NirSoft).وهو واحد من أفضل إضافات على ويندوز الخاص بك مربع الأدوات.http://launcher.nirsoft.net/

Answer 2

مراقبة عملية يسمح لك لمراقبة ملف التسجيل نشاط العمليات المختلفة.

Answer 3

فيما يتعلق WMI و التسجيل:

هناك ثلاثة أحداث WMI الطبقات بشأن التسجيل:

• RegistryTreeChangeEvent
• RegistryKeyChangeEvent
• RegistryValueChangeEvent

التسجيل فئات الأحداث

ولكن عليك أن تكون على بينة من هذه القيود:

• مع RegistryTreeChangeEvent و RegistryKeyChangeEvent لا توجد طريقة مباشرة تقول أي قيم أو مفاتيح تغير الواقع.للقيام بذلك, سوف تحتاج إلى حفظ السجل الدولة قبل الحدث ومقارنتها إلى الدولة بعد الحدث.

• لا يمكنك استخدام هذه الفئات مع HKEY_CLASSES_ROOT أو HKEY_CURRENT_USER خلايا النحل.يمكنك التغلب على هذا عن طريق إنشاء فئة WMI تمثل مفتاح التسجيل إلى رصد:

تحديد فئة التسجيل مع التصفيات

واستخدامها مع __InstanceOperationEvent الفئات المشتقة.

وذلك باستخدام WMI لرصد التسجيل هو ممكن ، ولكن أقل من الكمال.ميزة هو أنه من الممكن رصد التغييرات في "الوقت الحقيقي".ميزة أخرى يمكن WMI دائم الحدث الاشتراك:

تلقي الأحداث في جميع الأوقات

طريقة لرصد التسجيل 'في جميع الأوقات' ، أي.الحدث إذا كان التطبيق الخاص بك لا يعمل.

Answer 4

طريقة مباشرة أن تفعل هذا مع أي أدوات إضافية لتصدير التسجيل إلى ملف نصي قبل تثبيته ، ثم تصديره إلى ملف آخر بعد.ثم قارن بين الملفين.

أما وقد قلت ذلك ، Sysinternals أدوات كبيرة لهذا.

Answer 5

Regshot يستحق الذكر هنا.فإنه بفحص يأخذ لقطة من جميع إعدادات التسجيل ، ثم تشغيله مرة أخرى في وقت لاحق للمقارنة مع الأصلي لقطة و يظهر لك جميع المفاتيح و القيم التي تم تغييرها.

Answer 6

هناك بيثون-hids يسمى سوبك ( http://code.google.com/p/sobek-hids/ ) قادرة على رصد بعض أجزاء من ذلك.انها تعمل بشكل جيد بالنسبة لي في رصد ملف التغييرات ، على الرغم من أن الطبيب الأجهزة الرقابية أنها قادرة على رصد التغييرات على التسجيل لا يعمل بالنسبة لي.

قطعة جيدة من البرامج بسهولة deplay الثعبان على أساس hids.

Answer 7

هناك عدد قليل من الطرق المختلفة.إذا كنت تريد أن تفعل ذلك بنفسك على الطاير WMI ربما هو الطريق للذهاب. RegistryKeyChangeEvent و الأقارب هم أن ننظر إلى.قد تكون هناك طريقة رصد ذلك من خلال __InstanceCreationEvent, __InstanceDeletionEvent و __InstanceModificationEvent فصول أيضا.

http://msdn.microsoft.com/en-us/library/aa393040(مقابل.85).aspx

Answer 8

أنا أتفق مع Franci كل Sysinternals المرافق تستحق إلقاء نظرة (اوتورونس يجب أيضا) ، مراقبة العملية, التي تحل محل القديمة الجيدة Filemon و Regmon ثمين.

بجانب الاستخدام تريد ، فمن المفيد جدا أن نرى لماذا فشل عملية (مثل محاولة الوصول إلى ملف أو مفتاح التسجيل هذا غير موجود) ، الخ.

Answer 9

PhiLho وقد ذكر اوتورونس في تمرير ، ولكن أعتقد أنه يستحق التفصيل.

لا مسح السجل بالكامل, فقط الأجزاء التي تحتوي على إشارات إلى الأشياء التي تحصل على تحميلها تلقائيا (EXEs ، DLLs السائقين.... الخ) وهو ربما ما كنت مهتما في.أنها لا تتبع التغييرات ولكن يمكن تصدير إلى ملف نصي ، حتى تتمكن من تشغيله قبل و بعد التثبيت و القيام مهرجان دبي السينمائي الدولي.

Answer 10

عند استخدام VM, يمكنني استخدام هذه الخطوات لفحص التغييرات على التسجيل:

1. باستخدام 7-Zip فتح vdi/vhd/ملف vmdk و استخراج المجلد C:\Windows\System32\config
2. تشغيل OfflineRegistryView لتحويل التسجيل عادي
   • تعيين 'Config في مجلد إلى مجلد قمت باستخراج
   • تعيين 'القاعدة الرئيسية إلى HKLM\SYSTEM أو HKLM\SOFTWARE
   • تعيين 'الفرعي العمق' إلى 'غير محدود'
   • اضغط على زر 'العودة'

الآن استخدام المفضلة مهرجان دبي السينمائي الدولي برنامج لمقارنة 'قبل' و 'بعد' لقطات.