Kako to učiniti Snimke Windows registra uspoređivati i pratiti promjene?
Možete pratiti promjene registra različiti putevi, ručno ili korištenjem posebni programi. U ovom članku ću vam reći kako to učiniti pomoću programa, što je po mom mišljenju mnogo prikladnije.
Kao što sam obećao, u članku “”, ovom publikacijom započinjemo niz članaka posvećenih analizi malware. U ovim ću člancima govoriti o alatima koji vam omogućuju proučavanje virusa i njihovog ponašanja.
Današnji članak bit će koristan ne samo istraživačima virusa, već i jednostavno obični korisnici koji žele postati napredniji u korištenju računala. Reći ću vam kako koristiti program Regshot za snimanje snimki Windows registra za usporedbu i praćenje promjena.
Što je Windows registar?
Registar je jedan od glavnih dijelova operacijski sustav Microsoft Windows. Unatoč tome, većina korisnika koristi operativni sustav i ne zna za postojanje registra.
Neiskusni korisnik niti ne shvaća da se prilikom mijenjanja svih parametara: instaliranja programa, mijenjanja samog sustava Windows i uređaja koji su na njega povezani, sve promjene unose u registar sustava Windows.
Jednom riječju, registar je u neku ruku jezgra operativnog sustava u kojoj se spremaju sve postavke i promjene.
Zašto analizirati registar i pratiti promjene?
Recimo da više niste samo pasivni korisnik računala i želite znati što se događa iza kulisa tijekom instalacije novi program ili analizirati ponašanje virusa. Kako biste saznali koje sve promjene softver čini, potrebni su vam programi za praćenje registra. Jedan takav alat je RegShot.
Snimak registra pomoću RegShot-a
RegShot- mala slobodna s otvorenim izvorni kod program koji vam omogućuje snimanje snimaka registra i njihovu usporedbu. Sve promjene koje su se dogodile u registru mogu se spremiti u tekstualnu ili html datoteku.
Preuzmite RegShot
Program RegShot možete besplatno preuzeti putem izravne veze.
Instaliranje RegShot-a
Nakon preuzimanja programa, raspakirajte arhivu i idite u mapu s datotekama. U mapi će biti nekoliko datoteka.
Prilikom odabira izvršne datoteke obratite pozornost na bitnost vašeg operativnog sustava.
Postavljanje i korištenje RegShot-a
Nakon pokretanja pojavit će se mali prozor programa u kojem odmah mijenjamo jezik kože na ruski. Tu je i ukrajinski jezik sučelja.
Sada idemo na posao. Praćenje promjena registra počinje snimanjem prve snimke registra. Kliknite gumb za snimku i u padajućem prozoru vidimo 3 opcije:
- Snimka - samo snimka
- Snapshot + Save - Snimak i sigurnosna kopija registra
- Otvori - otvorite već snimljenu snimku registra
Odaberite traženu opciju. U mom primjeru, nema potrebe za backupom registra, pa sam kliknuo na gumb "Snimak". Program će oživjeti i početi stvarati prvu snimku registra. Na dnu prozora vidjet ćete kako se brojevi mijenjaju.
Kada brojke prestanu i program se smiri, možete početi raditi s programima trećih strana, instalacijom i svim tim.
Nakon završetka, kliknite na gumb "Druga slika" i nakon nekoliko sekundi možete kliknuti na gumb "Usporedi".
Ako je polje "Tekst" označeno na početku, vidjet ćete prozor uređivač teksta Notepad, koji će pružiti cjelovito izvješće o promjenama registra.
Nisam instalirao nikakve programe, samo sam promijenio nekoliko parametara u panelu Upravljanje Windowsima. Kao što vidite, uslužni program Regshot zabilježio je sve promjene.
Tijekom instalacije softvera izvješće će naravno biti veće.
Ako trebate ponovno analizirati registar, kliknite na gumb "Izbriši" i počnite ispočetka.
Kao što vidite, vrlo je jednostavno napraviti snimku registra za praćenje promjena, pogotovo ako imate pravi program pri ruci. Ovo je vrlo zgodno ako trebate saznati koje promjene program čini u registru tijekom instalacije. Usput, na ovaj način možete saznati koji su elementi registra odgovorni za određenu postavku sustava Windows.
Koristeći Windows OS, bilo bi dobro da ga bolje upoznate. Možete započeti s člankom o mističnom fajlu za koji jednostavno morate znati!
To je sve, prijatelji. U budućnosti ćemo istražiti druge alate. I da, nisam zaboravio na ono što sam obećao učiniti detaljne upute o tome kako napraviti pouzdan izolirani laboratorij na virtualni stroj provjeriti softver i viruse. Stoga ste dobrodošli na naše javne stranice
Ovaj vam članak pokazuje korake za preuzimanje vlasništva nad ključem registra i stjecanje potpunih prava kontrole te kako vratiti izvorna prava i vratiti izvornog vlasnika.
Neki odjeljci Windows registra nisu dostupni za uređivanje, čak i ako vaš račun pripada grupi "Administratori". To se obično događa jer grupa "Administratori" Ne postoje odgovarajuće dozvole (prava) za pisanje u ovaj ključ registra. Postoji nekoliko razloga zašto ne možete urediti ključ registra:
■ Skupina "Administratori" je vlasnik odjeljka, ali nema puna prava na njega. U ovom slučaju dovoljno je jednostavno izdati grupi "Administratori" puna prava.
■ Vlasnik particije je servis sustava TrustedInstaller. U ovom slučaju prvo morate postati vlasnik odjeljka, a zatim svojoj grupi dati puna prava, upravo takav primjer bit će razmotren u ovom članku.
■ Vlasnik particije je sustav Račun "Sustav" TrustedInstaller.
U nastavku članka bit će opisano kako izvršiti izmjene u registru ako nemate odgovarajuća dopuštenja, kao i kako vratiti izvorna dopuštenja i zašto to trebate učiniti. Prije uređivanja registar sustava, preporučeno
Kada promijenite bilo koji parametar u registru, ako nemate dovoljno prava, dobit ćete poruku o pogrešci.
Razmotrimo prvi primjer kada grupa "Administratori" je vlasnik odjeljka, ali nema puna prava na njega:
1
Dozvole...
2
. Odaberite grupu "Administratori":
Ako je potvrdni okvir dostupan Puni pristup, instalirajte ga i kliknite gumb u redu. Ovo može biti dovoljno ako je grupa vlasnik odjeljka.
Ako potvrdni okvir nije dostupan ili vidite poruku o pogrešci kao na slici ispod, prijeđite na drugi primjer.
U prozoru Grupne dozvole kliknite gumb Dodatno
U sljedećem prozoru kliknite vezu Promijeniti unesite ime ili adresu svog lokalnog računa E-mail računovodstvo Microsoftovi zapisi, provjerite naziv i kliknite gumb u redu
Označite kućicu Zamijenite vlasnika potkontejnera i objekata na vrhu prozora i kliknite gumb u redu
Odaberite grupu "Administratori", potvrdite okvir Puni pristup, pritisni gumb u redu
Sada imate puni pristup ključu registra i možete uređivati sve njegove postavke.
Treći primjer kada je vlasnik particije račun sustava "Sustav". U ovom slučaju radnje će biti iste kao kod TrustedInstaller.
Vraćanje izvornih prava i vraćanje vlasništva
Iz sigurnosnih razloga sustava, nakon uređivanja traženi parametri ključ registra, trebate vratiti izvorna prava pristupa i vratiti sistemski račun kao vlasnik odjeljka TrustedInstaller.
1
. Klik desni klik mišem na ključ registra i odaberite s izbornika Dozvole...
2 . U prozoru Grupne dozvole kliknite gumb Dodatno
Pritisnite gumb u redu
5 . U prozoru Grupne dozvole odaberite grupu "Administratori", odznačite Puni pristup, pritisni gumb u redu
Izvorna prava i vlasnik ključa registra su vraćeni.
■ Ako je vlasnik odjeljka bio račun Sustav(u engleskoj verziji Sustav), zatim umjesto toga
NT usluga\TrustedInstaller Unesi Sustav(u engleskoj verziji Sustav).
S vremena na vrijeme korisnici i administratori sustava Možda će biti potrebno pogledati promjene u Windows registar na određeno razdoblje. To može biti zbog želje da vidite kakve se promjene rade određeni program ili korisničkih radnji.
Možete vidjeti promjene napravljene u registru sustava Windows pomoću alata ugrađenih u operativni sustav ili pomoću softvera treće strane. Krenimo od prvih.
Osim toga, spomenimo i to da se sve svodi na dvije metode: usporedbu dva “snimka” registra snimljena u različito vrijeme ili praćenje promjena u stvarnom vremenu.
Najviše pristupačan način vidjeti koje su promjene napravljene u registru, ovo se koristi ugrađenim Windows pomoćni programi fc.exe. Prednost ove metode je što nema potrebe tražiti dodatni softver. Općenito, uslužni program fc.exe ne koristi se samo za pregled promjena registra, već i za usporedbu dviju datoteka ili skupova datoteka općenito. Dakle, postaje jasno da su nam potrebne dvije "snimke" registra.
Prvo izvozimo cijeli registar ili samo granu koja nam je potrebna. Recimo da imamo dvije datoteke: 1.reg i 2.reg, koje smo stavili na pogon C. Zatim ih možemo koristiti naredbom da ih usporedimo
fc c:\1.reg c:\2.reg > c:\log.txtU u ovom slučaju Rezultat naredbe ispisujemo u tekstualnu datoteku. Ali preporučio bih korištenje naprednijeg formata i/ili jačeg uređivača od Notepada kako biste izbjegli probleme s .
Gore sam koristio MS Word i .doc format.
Problem s korištenjem fc.exe je taj što je rezultat njegovog rada nečitljiv. Gornji snimak zaslona to sugerira u temi parametar je dodan Primer. Ali malo je vjerojatno da ćete to moći razumjeti ako o tome ne znate unaprijed. fc.exe ne može se nazvati potpunim alatom za analizu. Ovaj uslužni program je najprikladniji kada sami napravite promjene u registru i želite provjeriti jesu li napravljene (ali ne želite lutati ograncima registra u regedit).
Stoga, prijeđimo na još jedan uslužni program, koji, nažalost, više nije dio modernog Windows verzije, ali se može dodati. To se zove WinDiff. Možete ga dodati kroz instalaciju Microsoft paketi Windows SDK. Nažalost, nakon Windows 7, WinDiff je isključen iz ovih paketa, ali možete ga preuzeti zasebno, na primjer, .
Za korištenje uslužnog programa WinDiff iz naredbenog retka Windows žice, stavi ga u imenik %WINDIR%\System32. Da bismo sada usporedili dvije datoteke registra iz primjera, samo trebamo unijeti naredbu
windiff C:\1.reg C:\2.reg
Otvorit će se GUI uslužni program, što se može vidjeti na gornjoj snimci zaslona. Razmislimo kako čitati izlaz programa WinDiff.
- Crte na bijeloj pozadini znače da se sadržaj datoteka podudara;
- Linije s crvenom pozadinom prikazuju sadržaj prve (lijeve) datoteke koji se ne nalazi u drugoj (desnoj);
- Linije sa žutom pozadinom prikazuju sadržaj druge (desne) datoteke koji se ne nalazi u prvoj (lijevo).
Imamo žutu liniju sa sadržajem "Primer"="". To znači da se parametar pojavio u drugoj datoteci Primer s praznom vrijednošću. I on je unutra HKEY_LOCAL_MACHINE\SOFTWARE\Test. Budući da je druga datoteka spremljena kasnije od prve, možemo zaključiti da je ovaj parametar dodan, a ne uklonjen.
Prijeđimo na uslužne programe za praćenje registra trećih strana.
Popularno besplatno rješenje je program Regshot. Program također radi sa snimkama registra i sam ih izrađuje, umjesto da analizira unaprijed spremljene datoteke. Ovo je njegov minus. A plus je što je vrlo jednostavan.
Prvo morate napraviti prvu snimku registra.
Nakon čega se mogu usporediti.
Nakon završetka procesa usporedbe, program će automatski otvoriti datoteku s rezultatima rada. Još jedna prednost Regshota je ta što se ova datoteka lako čita. Ipak, vrijedi napomenuti da će sadržavati hrpu promjena registra, što se može činiti kao svojevrsna Morseova azbuka. U mom slučaju, obje su slike snimljene u razmaku manjem od minute. Moja jedina radnja bila je ukloniti parametar Primera. Kao što vidite, program je to zabilježio. I također zabilježio mnoge druge promjene. Uvijek se nešto događa ispod haube operativnog sustava, a većina toga je skrivena od naših očiju.
Više nepotrebnih slika možete izbrisati pritiskom na tipku Čisto u programskom sučelju. Program Regshot možete preuzeti.
Posljednji alat za praćenje registra sustava Windows o kojem se govori u ovom članku bit će program Registry Live Watch. Možda to već iz naziva možete shvatiti ovaj program može pratiti promjene registra u stvarnom vremenu.
Program je također iznimno jednostavan i, zapravo, nema čak ni puno postavki. Vi samo navedete granu registra koju želite nadzirati i počnete nadgledati pomoću gumba Pokrenite Monitor.
Međutim, program ima ozbiljan nedostatak, koji uglavnom neutralizira samu ideju praćenja. Prikazuje samo poruke o promjenama u promatranoj grani registra, ali ne piše koje su točno promjene napravljene. Drugi nedostatak je taj što Registry Live Watch ne može pratiti cijeli registar. Program možete preuzeti.
Na kraju članka govorit ćemo o tome kako automatizirati prikupljanje podataka o registru bez pribjegavanja softveru treće strane. To se može učiniti pomoću skripte koja sadrži naredbu reg export, o čijoj se sintaksi raspravlja. Pokretanjem ove skripte prema rasporedu, primit ćete niz snimaka registra koji se mogu usporediti ako je potrebno.
Nekim odjeljcima registra Windows promjeneČak ga i administrator koji radi u uređivaču registra, koji radi s punim pravima, ne može dodati. To se događa jer grupa administratora nema pristup pisanju za ovaj ključ registra. Za to mogu postojati dva razloga:
- Grupa Administratori je vlasnik odjeljka, ali nema puna prava na njega. U ovom slučaju dovoljno je jednostavno dati grupi Administratori puna prava.
- Vlasnik particije je sistemski račun Sustav ili TrustedInstaller(Drugi služi kao dio kompleksa za jačanje sigurnosti operativnog sustava, ali za one koji vole "čeprkati" po registru, predstavlja dosadnu prepreku na putu do cilja). U tom slučaju prvo možete postati vlasnik odjeljka, a zatim svojoj grupi dati puna prava. Ali postoje zanimljivije alternative - uslužni programi za pokretanje izvršne datoteke u ime ovih računa.
Na ovoj stranici
U sustavu Windows 8 malo Promijenilo se grafičko sučelje za promjenu vlasnika, što je za brojne čitatelje, sudeći prema komentarima, postalo nepremostiva prepreka. Mrzim kada se gotovo identične upute dupliraju na jednoj stranici, ali druge opcije su još gore. Stoga odaberite upute za svoj OS. Pretpostavljam da već imate otvoren potrebni ključ registra u uređivaču registra.
Stjecanje potpunih prava i promjena vlasništva
Dok budete išli dalje, vidjet ćete tko posjeduje ključ registra. Ako ovo Sustav ili TrustedInstaller, možete koristiti odgovarajući uslužni program ↓
Windows 8 i noviji
- Desnom tipkom miša kliknite ključ registra i odaberite s izbornika Dozvole.
- Odaberite grupu "Administratori":
Windows 7
Sada ništa ne sprječava pisanje u ovaj ključ registra. Međutim, preporučujem vraćanje prava kada završite s uređivanjem odjeljka.
Vraćanje izvornih prava i vraćanje vlasništva
Nakon izmjena u registru, savjetujem vam da vratite izvorna prava i vratite vlasnika kako ne biste smanjili sigurnost sustava. Osim toga, ljudi su se više puta obratili forumu za pomoć kada je ispravan rad sustava poremećen nakon sustava računa TrustedInstaller posjed je oduzet.
Windows 8 i noviji
Windows 7
Izvorna prava i vlasnik ključa registra su vraćeni.
Izmjene u registru u ime računa "Sustav".
Ako je vlasnik ključa registra poseban račun "Sustav", postoji način za izmjene ključa bez mijenjanja vlasnika i dopuštenja. Da biste to učinili, upotrijebite uslužni program PsExec, koji je dio skupa uslužnih programa PsTools Marka Russinovicha. Bit metode je pokretanje uređivača registra u ime sustava.
- Preuzmite paket PsTools i izdvojite uslužni program PsExec mapa Windows, kako ne biste odredili put do njega u naredbeni redak.
- Otvorite naredbeni redak kao administrator i pokrenite naredbu: psexec -i -s regedit
Uređivač registra će se pokrenuti, au ime sustava, što je navedeno parametrom -s(parametar -i omogućuje interaktivno pokretanje aplikacije).
Ponekad ćete možda htjeti pratiti promjene koje su napravili programi ili postavke u registru sustava Windows. Na primjer, da naknadno poništite te promjene ili da saznate kako su određeni parametri (na primjer, postavke dizajna, ažuriranja OS-a) upisani u registar.
U ovoj recenziji - popularno besplatni programi, koji vam omogućuju jednostavan pregled promjena u registru sustava Windows 10, 8 ili Windows 7 i nekih dodatnih informacija.
Besplatni Registry Live Watch radi na malo drugačijem principu: ne uspoređujući dva uzorka Windows registra, već praćenjem promjena u stvarnom vremenu. Međutim, program ne prikazuje same promjene, već samo javlja da je do takve promjene došlo.
Program možete preuzeti sa službene web stranice programera http://leelusoft.altervista.org/registry-live-watch.html
Što se promijenilo
Još jedan program koji vam omogućuje da saznate što se promijenilo u registru sustava Windows 10, 8 ili Windows 7 je WhatChanged. Njegova uporaba vrlo je slična onoj u prvom programu ove recenzije.
Program nema svoju službenu web stranicu, ali se lako pronalazi na internetu i ne zahtijeva instalaciju na vaše računalo (za svaki slučaj, prije pokretanja provjerite program na virustotal.com i imajte na umu da izvorna datoteka postoji jedna lažna detekcija).
Još jedan način za usporedbu dvije opcije registra sustava Windows bez programa
Windows ima ugrađen alat za usporedbu sadržaja datoteka - fc.exe (File Compare), koji između ostalog služi za usporedbu dvije varijante grana registra.
Da biste to učinili, pomoću uređivača registra sustava Windows izvezite potrebnu granu registra (desni klik na odjeljak - izvoz) prije i poslije promjena s različitim nazivima datoteka, na primjer, 1.reg i 2.reg.
Zatim upotrijebite naredbu poput:
Fc c:\1.reg c:\2.reg > c:\log.txt
Gdje su prvo naznačeni putovi do dvije datoteke registra, a zatim put do tekstualna datoteka rezultati usporedbe.
Nažalost, metoda nije prikladna za praćenje značajnih promjena (jer nećete moći ništa vizualno razaznati u izvješću), već samo za neki mali odjeljak registra s par parametara gdje se očekuje promjena, odnosno za praćenje činjenice same promjene.