Registry Monitor
Статус: Freeware.
Размер: 271 Кбайт.
Разработчик: http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx.
Программа не предназначена для внесения в реестр каких-либо изменений. Тем не менее целесообразность ее использования не вызывает сомнений, поскольку она предоставляет возможность отследить все обращения к реестру, независимо от текущего режима работы.
В этой программе можно применять следующие сочетания клавиш (табл. 5.7).
Функциональные возможности программы Registry Monitor позволяют решать следующие задачи:
• оперативное отслеживание всех обращений к системному реестру с возможностью дальнейшего анализа полученной информации;
• управление процессом слежения программы за обращениями к реестру;
• включение/выключение автоматического размещения на последней записи списка (то есть режима автоскроллинга);
• очистка списка обращений к реестру;
• использование механизма фильтрации (возможность отслеживания обращений к реестру отдельных программ, в том числе с применением маски);
• поиск требуемой позиции списка;
• оперативный переход в системный реестр с позиционированием на объекте реестра, который соответствует текущему элементу списка обращений.
При входе в программу на экране открывается окно, представленное на рис. 5.55.
Рис. 5.55. Рабочее окно Registry Monitor
В окне содержится перечень всех обращений к системному реестру, который постоянно пополняется. При этом по умолчанию включен режим автоматического перехода на последнюю запись списка. Для каждой позиции списка в соответствующих столбцах отображается аналитическая информация. Выбор требуемого режима работы программы осуществляется с помощью кнопок панели инструментов. Эти кнопки дублируются соответствующими командами главного меню программы. Далее мы рассмотрим все команды программы Registry Monitor (большинство из них вызываются нажатием соответствующих сочетаний клавиш).
• File → Save – предназначена для сохранения текущего списка в отдельном файле (с расширением LOG). Эту команду (активизируется также нажатием сочетания клавиш Ctrl+S) удобно использовать для последующего изучения текущего списка обращений к реестру.
• File → Capture Events – используется для временной приостановки и последующего включения слежения за обращениями к реестру. Данную команду (вызывается также нажатием сочетания клавиш Ctrl+E) рекомендуется применять, например, перед сохранением списка.
• File → Process Properties – при выполнении данной команды (вызывается также нажатием сочетания клавиш Ctrl+P) на экране отображается окно с расширенной информацией об элементе списка, на котором установлен указатель мыши. Аналогичная команда имеется в контекстном меню данного окна.
• Edit → Copy и Edit → Delete – предназначены для копирования текущей записи и удаления ее из списка соответственно. Этим командам соответствуют нажатия сочетания клавиш Ctrl+C и клавиши Delete.
• Edit → Find – включает режим поиска. При ее выполнении (команда выполняется также нажатием сочетания клавиш Ctrl+F) на экране отображается окно настройки параметров поиска (рис. 5.56).
Рис. 5.56. Настройка параметров поиска
В данном окне в поле Что вводится текст для поиска. Установив флажки Только слово целиком и С учетом регистра, вы включите дополнительные параметры поиска. Переключатель Направление определяет направление поиска: к началу списка (Вверх) или к концу (Вниз). Поиск запускается нажатием кнопки Найти далее.
• Edit → Regedit Jump – при выполнении команды (вызывается и нажатием сочетания клавиш Ctrl+J) на экране отображается окно стандартного Редактора реестра с позиционированием на том объекте, к которому произошло обращение из выделенной в списке позиции.
• Edit → Clear Display – предназначена для очистки списка обращений к реестру. При ее выполнении (активизируется также нажатием сочетания клавиш Ctrl+X) очищается список обращений к реестру. Следует учитывать, что данная операция при большом количестве обращений к реестру выполняется достаточно долго, в некоторых случаях возможно даже «зависание» компьютера.
• Options → Font – позволяет настроить параметры шрифта. При ее выполнении на экране отображается окно Regmon Font, в котором по обычным правилам Windows устанавливаются требуемые параметры шрифта.
• Options → Filter/Highlight – дает возможность установить/снять фильтры на отображаемые данные. При ее выполнении (вызывается также нажатием сочетания клавиш Ctrl+L) на экране отображается окно Regmon Filter, в котором настраиваются параметры фильтра. Возможности программы позволяют, например, отслеживать обращения к реестру только некоторых приложений. При этом в окне настройки параметров фильтра предусмотрена возможность использования маски. Для применения фильтра следует последовательно нажать кнопки Apply и OK; значения фильтра по умолчанию восстанавливаются при нажатии кнопки Defaults.
• Options → History Depth – при выполнении этой команды (можно также воспользоваться сочетанием клавиш Ctrl+H) на экране отображается окно Regmon History Depth, в котором задается количество отображаемых на экране строк. Если в окне установлено значение 0, то количество отображаемых строк не ограничено.
• Options → Auto Scroll – предназначена для включения/выключения режима автоматического размещения на последней позиции списка. Вызывается также нажатием сочетания клавиш Ctrl+A.
• Options → Clock Time – позволяет переключить формат отображения времени, которое показывается во втором столбце таблицы (Time). Возможные варианты – системное время, в которое произошло обращение к реестру, и время в секундах, прошедшее с момента запуска программы Registry Monitor. Для переключения формата отображения можно воспользоваться и сочетанием клавиш Ctrl+T.
Примечание
В некоторых случаях переключение формата отображения времени срабатывает только при включенном режиме автоскроллинга.
• Options → Show Milliseconds – позволяет включить во временной формат отображение миллисекунд. Данная команда доступна, если только включено отображение системного времени, в которое произошло обращение к реестру.
Regshot
Программа Regshot представляет собой небольшую утилиту для работы с системным реестром. Она позволяет создавать и сравнивать снимки реестра. Использовать Regshot удобно, например, когда необходимо знать, какие изменения в реестр вносит при инсталляции та или иная программа.
Задачи, решаемые с помощью программы Regshot, можно сформулировать следующим образом:
• создание и сравнение в любой момент времени снимков системного реестра;
• сравнение содержимого папок, хранящихся на компьютере;
• добавление к отчету произвольного комментария;
• выбор языка интерфейса и построения отчета;
• формирование отчета в текстовом либо HTML-формате.
При запуске программы Regshot на экране появляется окно, представленное на рис. 5.57.
Рис. 5.57. Настройка параметров сравнения
Данное окно содержит перечисленные ниже элементы.
• Сохранить файл отчета как – положение переключателя определяет формат сохранения отчета по итогам сравнения. Возможные варианты – Текст либо Документ HTML.
• Учет папок – при установленном флажке появляется поле для указания папок, содержимое которых требуется сравнить. Заполнение данного поля возможно как с клавиатуры (при этом следует учитывать, что пути к соответствующим папкам должны разделяться точкой с запятой), так и с помощью расположенной справа от поля кнопки выбора. При нажатии этой кнопки на экране отображается окно Обзор папок, в котором по обычным правилам Windows указывается требуемый путь.
• Путь для сохранения – в данном поле указывается путь, по которому будет сохранен файл отчета. Возможно заполнение поля как с клавиатуры, так и с помощью расположенной справа от него кнопки выбора.
• Добавить комментарий к отчету – в этом поле при необходимости можно ввести произвольный комментарий к отчету, сформированному по итогам сравнения. Этот комментарий будет содержаться в верхней части отчета в строке Комментарий; кроме того, в соответствии с комментарием будет называться файл отчета.
• 1й снимок – при нажатии этой кнопки открывается подменю, содержащее команды Снимок, Снимок+сохранить и Открыть. С помощью команды Снимок запускается процесс создания снимка. Команда Снимок+сохранить, помимо создания снимка, позволяет сохранить его по указанному пути в файле с расширением HIV (окно Сохранить как, в котором по обычным правилам Windows указывается требуемый путь, открывается сразу после создания снимка). Команда Открыть используется, когда для сравнения требуется взять не заново созданный снимок, а сохраненный ранее. При выполнении команды на экране отображается окно Открыть, в котором указывается путь к открываемому HIV-файлу с сохраненным ранее снимком.
• 2й снимок – данная кнопка работает аналогичным образом, с той разницей, что предназначена для создания второго снимка. В процессе создания снимков в нижней части окна отображается информация о количестве просканированных разделов реестра, параметров и прошедшем с начала сканирования времени.
• Сравнить – при нажатии этой кнопки запускается процесс сравнения снимков с формированием отчета в соответствии с заданными настройками.
Примечание
Кнопки 1й снимок, 2й снимок и Сравнить становятся доступными последовательно: сначала доступна кнопка 1й снимок, после создания снимка – кнопка 2й снимок, а после создания второго снимка – кнопка Сравнить. При открытии доступа к последующей кнопке предыдущая вновь становится недоступной.
• Очистить – при нажатии этой кнопки удаляется старая информация.
К несомненным достоинствам данной программы можно отнести то, что она является многоязычной. Выбрать требуемый язык можно в раскрывающемся списке, который расположен в правом нижнем углу окна настройки параметров сравнения. На рис. 5.57 в качестве языка интерфейса и построения отчета выбран русский (значение Russian).
Пример сформированного отчета о сравнении снимков в текстовом формате приведен на рис. 5.58.
Рис. 5.58. Отчет о сравнении снимков реестра
Кратко проанализируем содержимое данного отчета.
Первая строка отчета содержит информацию о названии и версии программы Regshot.
Далее в строке Комментарий отображается комментарий к отчету (в этом случае – Отчет) в соответствии со значением, введенным в поле Добавить комментарий к отчету в окне настройки параметров отчета. Надо отметить, что в соответствии с заданным значением называется и файл отчета (см. рис. 5.58).
В строке Текущая дата указывается дата и время создания каждого снимка (через разделитель).
В строке Имя компьютера отображается имя компьютера, на котором был сделан каждый снимок (через разделитель).
Строка Имя пользователя указывает имя пользователя, создавшего каждый снимок (через разделитель).
Примечание
В рассматриваемом примере имя компьютера для каждого снимка идентично; это же касается и имени пользователя.
Далее в отчете следует информация, подробно характеризующая обнаруженные изменения. Все элементы списка сгруппированы в зависимости от изменений и функционального назначения. В частности, отдельно собраны новые разделы реестра, измененные разделы, удаленные разделы, новые параметры, измененные параметры, удаленные параметры и т. д. Если включен режим учета папок (для этого в окне настройки параметров сравнения (см. рис. 5.57) должен быть установлен флажок Учет папок), то отдельно показываются изменения в папках (приводится перечень новых, измененных и удаленных файлов). При этом для каждой группы показывается количество содержащихся в ней элементов списка.
Последняя строка отчета содержит информацию об общем количестве выявленных изменений.
RegWorks
Теперь рассмотрим, какие возможности по мониторингу реестра предоставляет рассмотренный ранее редактор реестра RegWorks. Чтобы запустить мониторинг реестра, необходимо воспользоваться командой Монитор → Запустить монитор.
Если вы запускаете монитор реестра в первый раз, то после открытия вкладки Монитор программа предложит вам создать фильтр (рис. 5.59). К этому же действию приводит выбор команды Монитор → Мастер создания фильтров. В противном случае будет использоваться фильтр, созданный ранее.
Рис. 5.59. Окно создания фильтра
Создание фильтра заключается в выборе имени и типа фильтра, а также дополнительных параметров, которые зависят от типа фильтра. Тип определяется в раскрывающемся списке Вам нужно, который содержит следующие пункты.
• Отслеживать активность некоторых или всех процессов – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать операции чтения некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, кроме их изменения (мониторинг использования функций RegOpenKey, RegEnumKey, RegCloseKey, RegQueryInfoKey, RegEnumValue, RegQueryValue).
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать операции записи некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, которые приводят к их изменению (мониторинг использования функций RegSetValue, RegLoadKey, RegCreateKey, RegDeleteKey, RegDeleteValue, RegFlushKey, RegUnloadKey).
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать доступ к разделу – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться, а также шаблон ветви реестра, доступ к которой будет отслеживаться.
После того как фильтр создан, будет запущен мониторинг реестра (рис. 5.60). Чтобы остановить мониторинг реестра, достаточно воспользоваться командой Монитор → Остановить монитор. После этого вы можете сохранить результаты мониторинга с помощью команды Монитор → Сохранить. Результаты сохраняются в формате XML.
Рис. 5.60. Мониторинг реестра запущен
Помимо сохранения результатов работ мониторинга, вы можете отобразить их в окне браузера. Для этого достаточно воспользоваться командой Монитор → Открыть журнал в браузере.
Напоследок рассмотрим еще один способ создания/изменения фильтра, который более полезен, чем использование мастера. Это применение команды Монитор → Редактировать фильтры, после выбора которой перед вами отобразится окно Фильтры.
С помощью данного окна можно добавлять, удалять и изменять существующие фильтры. Нажав кнопку Изменить данного окна, вы сможете открыть окно Редактирование фильтра. С его помощью можно внутри одного фильтра создать несколько правил (несколько фильтров для мониторинга разных процессов), а также удалить или изменить уже существующие в контексте данного фильтра правила. Для этого достаточно воспользоваться кнопками Изменить, Добавить, Удалить. Попробуйте для примера изменить фильтр, который мы создали с помощью окна Мастер создания фильтров (рис. 5.61).
Рис. 5.61. Редактирование правил фильтра
Reg Organizer
Вы уже знаете, что в поставку данной программы входит редактор реестра, имеющий несколько полезных возможностей. Однако, помимо способности редактирования реестра, данная программа содержит еще одну очень интересную функцию – создания и сравнения снимков реестра, файловой системы и содержимого системных INI-файлов.
Чтобы воспользоваться данной функцией, нужно применить команду Команды → Установить приложение (рис. 5.62).
Рис. 5.62. Мастер для установки нового приложения
Работа механизма сравнения снимков реестра реализована в виде мастера, на первом шаге которого вам предлагается либо выбрать созданный ранее снимок, либо создать новый.
После того как вы выберете/создадите снимок, программа предложит вам выполнить действия, результат которых нужно определить. Например, установить приложение. Как только все действия будут выполнены, нажмите кнопку Далее мастера. Это приведет к созданию второго снимка реестра.
И самый последний шаг мастера – собственно, сравнение двух снимков реестра (рис. 5.63). Для выполнения сравнения достаточно нажать кнопку Результаты.
Рис. 5.63. Результат сравнения двух снимков реестра
На этом закончим рассмотрение различных программ для редактирования реестра. Перед тем как подвести итоги, опишу некоторые ситуации, возникающие при работе с реестром.