Отслеживание изменений в реестре Windows

Как отследить изменения в реестре Windows

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.

↑ Как отследить изменения в реестре Windows

Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.

Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2. Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

chcp 1251

fc D:/1.reg D:/2.reg > D:/compare.log

Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог. Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

↑ Regshot

Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить». Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего). Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

↑ Registry Live Watch

Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом. Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

↑ CRegistry Comparison

Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его. Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.

Скачать утилиты можно по ссылкам:

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

Как использовать Regshot для мониторинга вашего реестра

Regshot — отличная утилита, которую вы можете использовать для сравнения количества записей в реестре, которые были изменены во время установки или изменения настроек вашей системы. В то время как большинству пользователей ПК это никогда не понадобится, это отличный инструмент для устранения неполадок и мониторинга реестра.

Проект Regshot

Regshot — это проект с открытым исходным кодом (LGPL), размещенный на SourceForge . Он был разработан и зарегистрирован в январе 2001 года М. Бюхером, XhmikosR и TiANWEi. С момента своего создания, он был изменен и обновлен бесчисленное количество раз для улучшения его функциональности.

Цель этого программного обеспечения — сравнить ваш реестр в двух отдельных точках, создавая снимок реестра перед любыми изменениями системы или при добавлении, удалении или изменении программ, а затем делая второй снимок после изменений и сравнивая их.

Загрузка и использование Regshot

Существует несколько зеркал для загрузки regshot, но для целей этой статьи мы будем загружать regshot со своей исходной страницы проекта Sourceforge .

После того, как вы скачали архив и распаковали его, откройте папку и найдите файлы внутри. Поскольку это отдельная программа, вам не нужно проходить процесс установки. В зависимости от того, используете ли вы 86- или 64-разрядную версию Windows , вы откроете соответствующее приложение Unicode.

Лучше всего открыть его как администратор, щелкнув правой кнопкой мыши по соответствующему файлу и выбрав опцию «Запуск от имени администратора».

Использование Regshot для отслеживания системных изменений

Теперь, когда вы установили regshot, вы готовы испытать его. После того, как вы открыли regshot, вам нужно будет сделать первый снимок, который будет служить снимком «до». Сделайте это, нажав кнопку «1-й снимок», а затем — «Снимок». Обратите внимание, что файл будет сохранен как TXT-файл в « C: \ Users \ ВАШЕ ИМЯ \ AppData \ Local \ Temp \ » каталог, но вы можете изменить это на любую папку, которую вы хотите.

Теперь, когда вы сделали свой первый снимок, давайте начнем вносить изменения, открыв Панель управления. В разделе «Внешний вид и персонализация» нажмите «Изменить фон рабочего стола».

Теперь мы просто выберем любое фоновое изображение и применим изменения, нажав «Сохранить изменения» в правом нижнем углу экрана.

Теперь, когда вы внесли изменения в систему, пришло время сделать второй снимок вашего реестра, чтобы увидеть, были ли внесены какие-либо изменения. Сделайте это, вернувшись к приложению regshot и нажав «2nd shot», а затем нажав «Shot».

После этого вы можете заметить, что цифры, показанные внизу экрана приложения, изменились. В этом случае «Ключи» и «Значения» изменились. Теперь мы нажмем кнопку «Сравнить», чтобы сравнить снимки до и после.

Откроется файл «Блокнот» с краткой информацией об изменениях.

Если вы продолжите прокручивать документ вниз, вы увидите, что в нем изложены несколько различных аспектов, включая следующие. Помните, что цифры будут различаться в зависимости от вашего компьютера.

1. Ключи добавлены: 8
2. Добавлено значений: 36
3. Значения изменены: 25
4. Всего изменений: 69 ​​(это отображается внизу документа)

Помимо перечисления изменений, он предоставляет подробные сведения о том, какие ключи были изменены при изменении фона рабочего стола. Это может быть полезно, если вы хотите манипулировать этими клавишами вручную.

Мониторинг изменений установки

В качестве второго примера мы можем установить программу, поэтому мы будем загружать Google Drive . Сделайте свой первый снимок перед установкой программы. Если вы еще не закрыли regshot, вам нужно очистить все снимки, чтобы начать все заново.

Теперь, когда вы сделали это, сделайте свой первый снимок и установите Google Drive.

После того, как вы успешно установили программу, сделайте второй снимок.

Теперь вы можете сравнить снимки до и после. Наши результаты показывают, что следующие изменения были внесены во время установки Google Drive:

1. Удалено ключей: 8
2. Ключи добавлены: 255
3. Удалено значений: 1060
4. Добавлено значений: 399
5. Значения изменены: 93
6. Всего изменений: 1815

Конечно, полученный текстовый файл также будет содержать список всех изменений, чтобы вы могли изучить их более внимательно.

Мониторинг изменений удаления

Чтобы увидеть, как влияет реестр на удаление программы, мы можем очистить наш снимок от regshot. Сделайте первый снимок, а затем перейдите на панель управления и удалите Google Drive. После удаления Google Диска сделайте второй снимок, чтобы увидеть, какие изменения были внесены.

1. Удалено ключей: 141
2. Ключи добавлены: 9
3. Удалено значений: 477
4. Добавлено значений: 25
5. Значения изменены: 422
6. Всего изменений: 1074

Вы заметите, что установка изменила ключи и значения 1815, в то время как удаление изменило только 1074. Это потому, что не все ключи реестра всегда редактируются или удаляются.

3 инструмента для мониторинга и изучения реестра Windows

Реестр Windows — одна из самых плохо изученных частей операционной системы Windows. Понимание этого и использование соответствующих инструментов для управления может иметь значение при наличии хорошо работающего компьютера.

Какую бы версию Windows вы не использовали, реестр остается ключевым элементом того, как программное обеспечение «подключается» к ОС. В течение многих лет это было секретным оружием для многих ИТ-специалистов. Это место, где, если вы знаете, что делаете, вы можете повысить производительность своего ПК. , которые повышают производительность ПК. Конечно, если вы не знаете, что делаете, вы можете вообще не увидеть увеличения производительности. или вы действительно можете вызвать страшный синий экран смерти

Не беспокойтесь, вам не нужно быть гуру ПК, чтобы воспользоваться преимуществами настроек реестра. Несколько инструментов могут упростить реестр и помочь вам найти и устранить любые проблемы, которые могут вызывать проблемы на вашем компьютере.

Основы реестра Windows

Управление реестром Windows в Windows 7, Windows 8 или Windows 10 сводится к использованию встроенного средства Regedit. Запуск Regedit работает одинаково во всех версиях Windows. Вы можете выполнить его поиск (в этом случае версии Windows незначительно отличаются) или нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить», введите regedit , нажмите « ОК» или нажмите « Ввод» .

Изобразите реестр Windows как «Менеджер проектов» для Windows. Он управляет пользовательскими элементами всего программного обеспечения, установленного в системе, например, что пользователи могут или не могут делать при входе в приложение. Это особенно полезно, когда вы выясняете, почему сама Windows ведет себя неожиданно. Много раз, секрет лежит глубоко в реестре, где какой-то случайный ключ реестра был отредактирован — иногда вирусом — и это вызывает проблемы, которые вы видите.

Один из более подробных примеров использования реестра — со списком действительно крутых взломов реестра — недавняя статья Криса Хоффмана, объясняющая, как работает реестр Windows.

Вам нужно быть очень осторожным каждый раз, когда вы пытаетесь настроить реестр так, как это описал Крис, или использовать любой из инструментов, описанных ниже. Однако с помощью одного из приведенных ниже инструментов мониторинг или настройка реестра Windows становится немного проще, особенно для пользователей, которые не знакомы с настройкой параметров реестра.

Мониторинг изменений реестра с помощью Regshot

Самое замечательное в реестре Windows заключается в том, что это очень мощный способ повлиять на всю операционную систему. Это также его конечная слабость. Все, что для этого нужно — это небольшая «подстройка» к важной записи в реестре, и это может полностью изменить работу вашей операционной системы.

Вот почему Regshot , утилита сравнения реестра с открытым исходным кодом, попадает в топ этого списка инструментов реестра.

Regshot позволяет сделать снимок всего реестра, когда вы знаете, что ваш компьютер работает с максимальной эффективностью. Это может произойти сразу после того, как вы проверили , или когда вы обновили Windows с последними исправлениями Microsoft. . Он имеет дополнительный бонус — снимок важных каталогов (например, вашего основного каталога Windows), так что вы можете сравнить позже, чтобы увидеть, были ли там какие-либо изменения.

После сохранения файла «1-й снимок» в любой момент времени вы можете снова запустить утилиту, нажать кнопку «2-й снимок», а затем запустить функцию «Сравнить», чтобы увидеть любые изменения. Вы можете проверить это после установки нового программного обеспечения на свой компьютер. Эта утилита покажет вам все изменения реестра и каталога Windows, которые были сделаны.

Изучите реестр с помощью команды Reg

Одним из очень полезных инструментов командной строки, встроенным прямо в Windows, является команда «Reg». Запустите командное окно (через Поиск или Стандартные или нажмите клавишу Windows + R , введите cmd и нажмите Enter ), и вы можете использовать этот быстрый и эффективный инструмент для запроса значений ключей реестра, добавления или изменения значений ключей, или даже экспорт и импорт ключей.

Единственный недостаток использования этого инструмента заключается в том, что вам понадобится список ключей, которые вы хотите отслеживать или изменять перед выполнением команд. Например, если вы хотите отслеживать каталог общих файлов, который в настоящее время использует операционная система Windows, вы можете проверить этот ключ, введя:

Reg запрос HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion / v CommonFilesDir

Полученное значение ключа отображается при нажатии клавиши ввода.

Если вы хотите регулярно отслеживать важные параметры реестра, чтобы увидеть, не будут ли какие-либо из них изменены в результате вирусов или другого вредоносного программного обеспечения. , вы можете создать пакетное задание, которое запрашивает все эти ключи и выводит их в файл данных, например:

запрос reg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion / v CommonFilesDir >> c: \ temp \ registryinfo.txt
запрос reg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion / v ProgramFilesDir >> c: \ temp \ registryinfo.txt
запрос reg HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion / v ProgramFilesPath >> c: \ temp \ registryinfo.txt
reg запрос HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion / v SM_GamesName >> c: \ temp \ registryinfo.txt

Полученный выходной файл будет выглядеть ниже.

Используя команду «reg», вы также можете добавить новые значения, набрав:

reg add HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ TestKey

Очевидно, что в добавлении значения «TestKey» в этом домене реестра нет особого смысла, но он показывает, как можно быстро добавить ключ в любом месте реестра с помощью всего одной командной строки.

С помощью команды «reg» вы также можете использовать функцию «export», чтобы сделать снимок важных разделов реестра. Это так же просто, как набрать «reg export», а затем путь к ключу или папке домена. Например, чтобы сделать снимок всего домена реестра CurrentVersion, введите:

reg export HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion c: \ temp \ CurrentVersionExport.txt

Как только вы сохранили эти файлы снимков, вы можете импортировать их позже, используя команду «reg import [Filename]». Это удобный способ исправить важные разделы реестра после того, как какое-либо обновление программного обеспечения или вирусная инфекция повредили его. Это, очевидно, более «ручной» подход к управлению и защите реестра, но для тех, кто предпочитает подход с использованием командной строки или пакетных заданий по сравнению с использованием готовых приложений — это идеальное решение.

Управляйте своим реестром лучше с регистратором

Учитывая важность вашего реестра, возможно, его следует «управлять», а не просто периодически проверять на наличие проблем. Явно предназначенный для более опытных пользователей ПК, бесплатный инструмент под названием Registrar, предлагаемый Resplendence — создателем ряда высококачественных инструментов Windows — является фантастическим решением. Он обеспечивает более функциональный доступ к вашему реестру, чем утилита regedit Windows.

На первый взгляд, похоже, что вы используете regedit, но есть панель инструментов, заполненная функциями.

Когда вы начнете изучать реестр с помощью этого инструмента, вы обнаружите, что он обеспечивает гораздо большую гибкость и управление реестром по сравнению с regedit. Выполняйте простые операции поиска и замены, добавляйте в закладки важные разделы реестра для постоянного мониторинга и, что лучше всего, описания разделов и значений реестра (и возможность добавлять свои собственные).

Вы можете увидеть, насколько полезны эти описания, если дважды щелкнуть клавишу. В отличие от regedit, который просто показывает вам имя ключа и значение при редактировании, Регистратор показывает вам ключ и значение, а также, к какой категории относится этот ключ, и подробное описание, если оно доступно.

Закладка важных клавиш для простого мониторинга так же проста, как щелчок правой кнопкой мыши на кнопке или папке и выбор опции «Закладка»

Это особенно полезно для тех критических ключей ОС Windows, которые, как вы знаете, особенно предназначены для вирусов, таких как ключи запуска и планировщика. Вы можете найти полный список наиболее часто используемых ключей реестра на веб-сайте Symantec .

Вы храните резервную копию вашего реестра?

Как видите, есть несколько довольно полезных инструментов и утилит для мониторинга вашего реестра и проверки его чистоты. Это хорошая идея, по крайней мере, сделать снимок, чтобы, если ваш реестр был взломан, вы могли выяснить, что заставило вещи пойти на юг. У вас также будет способ вернуть вещи в прежнее состояние. Учитывая, насколько незначительные изменения в реестре могут повлиять на производительность и работу вашего компьютера, создание снимка и мониторинг реестра — это очень хороший страховой полис.

Вы следите за реестром вашего компьютера? Какие инструменты вы используете для этого? Поделитесь своими хитростями и советами в разделе комментариев ниже.

Кредиты изображений: 3d куб Via Shutterstock