Windowsレジストリの変更の追跡

StackOverflow https://stackoverflow.com/questions/144468

  •  02-07-2019
  •  | 
  •  

質問

Windowsレジストリの変更を追跡する方法はありますか?さまざまなプログラムのインストール中にレジストリにどのような変更が加えられるかを確認したいと思います。

役に立ちましたか?

解決

特定のプログラムによるレジストリの変更を監視できます。

http://www.nirsoft.net/utils/reg_file_from_application.html

更新:NirLauncher(NirSoftのすべてのアプリケーションを含む)をダウンロードするだけです。これは、Windowsツールボックスへの最高の追加の1つです。 http://launcher.nirsoft.net/

他のヒント

プロセスモニターにより、さまざまなプロセスのファイルおよびレジストリアクティビティを監視できます。

WMIとレジストリについて:

レジストリに関する3つのWMIイベントクラスがあります。

  • RegistryTreeChangeEvent
  • RegistryKeyChangeEvent
  • RegistryValueChangeEvent

レジストリイベントクラス

ただし、これらの制限に注意する必要があります:

  • RegistryTreeChangeEventおよびRegistryKeyChangeEventを使用すると、どの値またはキーが実際に変更されたかを直接知る方法はありません。これを行うには、イベント前のレジストリ状態を保存し、イベント後の状態と比較する必要があります。

  • これらのクラスをHKEY_CLASSES_ROOTまたはHKEY_CURRENT_USERハイブで使用することはできません。これを克服するには、監視するレジストリキーを表すWMIクラスを作成します。

修飾子を使用したレジストリクラスの定義

および__InstanceOperationEvent派生クラスで使用します。

したがって、WMIを使用してレジストリを監視することは可能ですが、完全ではありません。利点は、「リアルタイム」で変更を監視できることです。もう1つの利点は、WMIの永続的なイベントサブスクリプションです。

常にイベントを受信する

「常時」レジストリを監視する方法。アプリケーションが実行されていない場合のイベント。

追加のツールを使用せずにこれを行う簡単な方法は、インストール前にレジストリをテキストファイルにエクスポートし、その後別のファイルにエクスポートすることです。次に、2つのファイルを比較します。

とはいえ、Sysinternalsツールはこれに最適です。

Regshot はここで言及するに値します。すべてのレジストリ設定のスナップショットをスキャンして取得し、後で再度実行して元のスナップショットと比較し、変更されたすべてのキーと値を表示します。

sobek( http://code.google.com/と呼ばれるpython-hidsがあります。 p / sobek-hids / )SOの一部を監視できます。私はファイルの変更を監視するためにうまく機能していますが、ドキュメントの変更ではレジストリの変更を監視できると言っていますが、私には機能しません。

Pythonベースの隠しファイルを簡単に再生できる優れたソフトウェア。

いくつかの異なる方法があります。その場で自分でやりたい場合は、WMIを使用することをお勧めします。 RegistryKeyChangeEvent とその親類は、注目すべきものです。 __ InstanceCreationEvent __ InstanceDeletionEvent 、および __ InstanceModificationEvent クラスでも監視する方法があるかもしれません。

http://msdn.microsoft.com/ en-us / library / aa393040(VS.85).aspx

Franciに同意します。すべてのSysinternalsユーティリティは一見の価値があり(Autorunsも必須です)、古き良きFilemonとRegmonを置き換えるProcess Monitorは貴重です。

使用したい用途に加えて、プロセスが失敗する理由(存在しないファイルやレジストリキーにアクセスしようとしたなど)を確認することは非常に役立ちます。

PhiLhoは AutoRuns に言及していますが、詳細に値する。

レジストリ全体をスキャンするのではなく、自動的にロードされるもの(EXE、DLL、ドライバーなど)への参照を含む部分のみをスキャンします。インストールする前後に実行し、 diff を実行できます。

VMを使用する場合、以下の手順を使用してレジストリの変更を検査します。

  1. 7-Zipを使用して、vdi / vhd / vmdkファイルを開き、フォルダーC:\ Windows \ System32 \ configを抽出します
  2. OfflineRegistryView を実行して、レジストリをプレーンテキストに変換します
    • 「Config Folder」を抽出したフォルダーに設定します
    • 「ベースキー」を HKLM \ SYSTEM または HKLM \ SOFTWARE
      • に設定します
    • 「サブキーの深さ」を「無制限」に設定します
    • 「実行」ボタンを押す

お気に入りの差分プログラムを使用して、「前」と「後」のスナップショットを比較します。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top