Das Verfolgen von Änderungen in Windows-Registrierung

StackOverflow https://stackoverflow.com/questions/144468

  •  02-07-2019
  •  | 
  •  

Frage

Gibt es eine Möglichkeit Änderungen in Windows-Registrierung zu verfolgen? Ich würde gerne sehen, was in der Registrierung ändert sich während der Installation verschiedener Programme gemacht werden.

War es hilfreich?

Lösung

Können Registrierungsänderungen vorgenommen durch spezifisches Programm überwachen.

http://www.nirsoft.net/utils/reg_file_from_application.html

UPDATE: Einfach herunterladen NirLauncher (die alle Anwendungen von NirSoft enthält). Es ist eine der besten Ergänzungen zu Ihrer Windows-Toolbox. http://launcher.nirsoft.net/

Andere Tipps

Process Monitor kann Ihnen Datei- und Registry-Aktivität verschiedenen Prozesse überwachen.

In Bezug auf WMI und Registry:

Es gibt drei WMI-Ereignisklassen über Registrierung:

  • RegistryTreeChangeEvent
  • RegistryKeyChangeEvent
  • RegistryValueChangeEvent

Registry Ereignisklassen

Aber Sie müssen sich bewusst sein dieser Einschränkungen:

  • Mit RegistryTreeChangeEvent und RegistryKeyChangeEvent gibt es keine Möglichkeit, direkt zu sagen, welche Werte oder Schlüssel tatsächlich verändert. Um dies zu tun, müssten Sie den Registrierungszustand vor dem Ereignis speichern und sie in den Zustand nach dem Ereignis vergleichen.

  • Sie können diese Klassen mit HKEY_CLASSES_ROOT oder HKEY_CURRENT_USER verwenden. Sie können dies vermeiden, indem eine WMI-Klasse erstellen Sie den Registrierungsschlüssel darstellen zu überwachen:

Definieren einer Registrierungsklasse Mit Qualifiers

und es mit __InstanceOperationEvent abgeleiteten Klassen verwenden.

So WMI mit der Registry zu überwachen ist möglich, aber weniger als perfekt. Der Vorteil besteht darin, dass es möglich ist, die Änderungen in ‚Echtzeit‘ zu überwachen. Ein weiterer Vorteil könnte WMI permanent Ereignisabonnement sein:

Empfangen von Events an allen Zeiten

ein Verfahren der Registry ‚jederzeit‘, dh zu überwachen. Ereignis, wenn die Anwendung nicht ausgeführt wird.

Eine einfache Möglichkeit, dies ohne zusätzliche Werkzeuge zu tun, ist die Registrierung in eine Textdatei vor dem installieren zu exportieren, dann nach auf eine andere Datei exportieren. Dann vergleichen Sie die beiden Dateien.

Having said that, die Sysinternals-Tools sind für diese.

Regshot eine Erwähnung verdient hier. Es scannt und nimmt einen Schnappschuss aller Registry-Einstellungen, dann sind Sie es wieder zu einem späteren Zeitpunkt ausgeführt werden mit dem ursprünglichen Snapshot zu vergleichen, und es zeigt Ihnen alle Schlüssel und Werte, die sich geändert haben.

Es ist ein Python-hids genannt sobek ( http://code.google.com/ p / sobek-hids / ) die in der Lage ist, einige Teile der SO zu überwachen. Es funktioniert gut für meinen für Dateiänderungen überwachen, und obwohl die doc sais, die es in der Lage Registry zu überwachen ändert es nicht für mich arbeiten.

Gutes Stück Software für leicht deplay eine Python-basierte hids.

Es gibt ein paar verschiedene Möglichkeiten. Wenn Sie es selbst im Fluge WMI tun möchte, ist wahrscheinlich der Weg zu gehen. RegistryKeyChangeEvent und seine Verwandten sind diejenigen zu betrachten. Es könnte ein Weg sein, um sie zu überwachen durch __InstanceCreationEvent, __InstanceDeletionEvent und __InstanceModificationEvent Klassen zu.

http://msdn.microsoft.com/ en-us / library / aa393040 (VS.85) aspx

ich mit Franci übereinstimmen, alle Sysinternals-Dienstprogramme sind es wert, einen Blick (Autoruns ist ein Muss auch), und Process Monitor, der die guten alten Filemon und Regmon ersetzt ist kostbar.

Neben der Nutzung Sie wollen, ist es sehr nützlich, um zu sehen, warum ein Vorgang fehlschlägt (wie der Versuch, eine Datei oder einen Registrierungsschlüssel zuzugreifen, die nicht existiert), etc.

PhiLho erwähnt AutoRuns nebenbei, aber ich denke, es verdient Ausarbeitung.

Es scannt nicht die gesamte Registrierung, nur die Teile Verweise auf Dinge enthalten, die automatisch geladen werden (EXE-Dateien, DLLs, Treiber etc.), die wahrscheinlich ist, was Sie interessiert sind. Dabei spielt es keine Änderungen verfolgen, sondern kann exportieren so dass Sie es in einer Textdatei, kann vor und nach der Installation ausgeführt und eine diff .

Wenn Sie eine VM verwenden, verwende ich diese Schritte Änderungen an der Registrierung zu überprüfen:

  1. Verwenden von 7-Zip, öffnen Sie die vdi / VHD / VMDK-Datei und extrahieren Sie den Ordner C: \ Windows \ System32 \ config
  2. Ausführen OfflineRegistryView die Registrierung konvertieren auf Plaintext
    • Stellen Sie den ‚Config-Ordner‘ auf den Ordner, den Sie extrahiert
    • der 'Basisschlüssel' Set HKLM\SYSTEM oder HKLM\SOFTWARE
    • Stellen Sie die 'Subkey Tiefe' auf 'unbegrenzt'
    • Drücken Sie die 'Go' Taste

Jetzt ist Ihr bevorzugtes diff-Programm verwenden die ‚vor‘ und ‚nach‘ Snapshots zu vergleichen.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top