Ako na to Snímky databázy Registry systému Windows porovnávať a sledovať zmeny?
Môžete sledovať zmeny v registri rôzne cesty, ručne alebo pomocou špeciálne programy. V tomto článku vám poviem, ako to urobiť pomocou programov, ktoré sú podľa môjho názoru oveľa pohodlnejšie.
Ako som sľúbil, v článku „“, touto publikáciou začíname sériu článkov venovaných analýze malvér. V týchto článkoch budem hovoriť o nástrojoch, ktoré vám umožňujú študovať vírusy a ich správanie.
Dnešný článok bude užitočný nielen pre výskumníkov vírusov, ale aj jednoducho bežných používateľov ktorí chcú byť pokročilejší v používaní počítača. Poviem vám, ako používať program Regshot na vytváranie snímok registra systému Windows na porovnanie a sledovanie zmien.
Čo je register systému Windows?
Register je jednou z hlavných častí operačný systém Microsoft Windows. Napriek tomu väčšina používateľov používa operačný systém a o existencii registra nevie.
Neskúsený používateľ si ani neuvedomuje, že pri zmene všetkých parametrov: inštalácii programov, zmene samotného systému Windows a zariadení, ktoré sú k nemu pripojené, sa všetky zmeny vykonajú v registri systému Windows.
Jedným slovom, register je v istom zmysle jadrom operačného systému, v ktorom sú uložené všetky nastavenia a zmeny.
Prečo analyzovať register a sledovať zmeny?
Povedzme, že už nie ste len pasívny používateľ počítača a chcete vedieť, čo sa deje v zákulisí počas inštalácie nový program alebo na analýzu správania vírusu. Aby ste zistili, aké zmeny robí všetok softvér, potrebujete programy na sledovanie registra. Jedným z takýchto nástrojov je RegShot.
Snímka registra pomocou nástroja RegShot
RegShot- malý voľný s otvoreným zdrojový kód program, ktorý vám umožňuje robiť snímky registra a porovnávať ich. Všetky zmeny, ktoré sa vyskytli v registri, je možné uložiť do textového súboru alebo súboru html.
Stiahnite si RegShot
Program RegShot si môžete stiahnuť zadarmo pomocou priameho odkazu.
Inštalácia programu RegShot
Po stiahnutí programu rozbaľte archív a prejdite do priečinka so súbormi. V priečinku bude niekoľko súborov.
Pri výbere spustiteľného súboru dávajte pozor na bitovosť vášho operačného systému.
Nastavenie a používanie RegShot
Po spustení sa objaví malé okno programu, v ktorom okamžite zmeníme jazyk skinu na ruštinu. K dispozícii je tiež ukrajinský jazyk rozhrania.
Teraz poďme do práce. Sledovanie zmien registra začína vytvorením prvej snímky registra. Kliknite na tlačidlo snímky a v rozbaľovacom okne vidíme 3 možnosti:
- Snímka – iba snímka
- Snímka + Uložiť - Snímka a záloha registra
- Otvoriť – otvorí už nasnímanú snímku registra
Vyberte požadovanú možnosť. V mojom príklade nie je potrebné zálohovať register, takže kliknem na tlačidlo „Snímka“. Program ožije a začne vytvárať prvú snímku registra. V spodnej časti okna uvidíte, ako sa čísla menia.
Keď sa čísla zastavia a program sa upokojí, môžete začať pracovať s programami tretích strán, s inštaláciou a tak ďalej.
Po dokončení kliknite na tlačidlo „Druhý obrázok“ a po niekoľkých sekundách môžete kliknúť na tlačidlo „Porovnať“.
Ak bolo na začiatku začiarknuté pole „Text“, zobrazí sa okno textový editor Poznámkový blok, ktorý poskytne úplnú správu o zmenách registra.
Neinštaloval som žiadne programy, len som zmenil pár parametrov v paneli Správa systému Windows. Ako vidíte, nástroj Regshot zaznamenal všetky zmeny.
Počas inštalácie softvéru bude prehľad samozrejme väčší.
Ak potrebujete znova analyzovať register, kliknite na tlačidlo „Vymazať“ a začnite odznova.
Ako vidíte, vytvorenie snímky registra na sledovanie zmien je veľmi jednoduché, najmä ak máte po ruke správny program. To je veľmi výhodné, ak potrebujete zistiť, aké zmeny program robí v registri počas inštalácie. Mimochodom, týmto spôsobom môžete zistiť, ktoré prvky databázy Registry sú zodpovedné za konkrétne nastavenie systému Windows.
Pomocou operačného systému Windows by bolo dobré ho lepšie spoznať. Môžete začať článkom o mystickom súbore, o ktorom jednoducho musíte vedieť!
To je všetko, priatelia. V budúcnosti preskúmame ďalšie nástroje. A áno, nezabudol som na to, čo som sľúbil urobiť podrobné pokyny o tom, ako vytvoriť spoľahlivé izolované laboratórium virtuálny prístroj na kontrolu softvéru a vírusov. Takže ste vítaní na našich verejných stránkach
Tento článok vám ukáže kroky na prevzatie vlastníctva kľúča databázy Registry a získanie úplných kontrolných práv a ako vrátiť pôvodné práva a obnoviť pôvodného vlastníka.
Niektoré časti databázy Registry systému Windows nie sú k dispozícii na úpravu, aj keď váš účet patrí do skupiny "správcovia". To sa zvyčajne stáva, pretože skupina "správcovia" Neexistujú žiadne príslušné povolenia (práva) na zápis do tohto kľúča databázy Registry. Existuje niekoľko dôvodov, prečo nemôžete upraviť kľúč databázy Registry:
■ Skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva. V tomto prípade stačí jednoducho vydať do skupiny "správcovia" plné práva.
■ Vlastníkom oddielu je systémová služba TrustedInstaller. V takom prípade sa musíte najprv stať vlastníkom sekcie a potom dať svojej skupine plné práva, práve takýto príklad bude uvedený v tomto článku.
■ Vlastníkom oddielu je systém účtu "systém" TrustedInstaller.
Zvyšok článku popisuje, ako vykonať zmeny v registri, ak nemáte príslušné povolenia, ako aj to, ako obnoviť pôvodné povolenia a prečo je to potrebné. Pred úpravou systémový register, odporúčané
Ak zmeníte akýkoľvek parameter v registri, ak nemáte dostatočné práva, zobrazí sa chybové hlásenie.
Uvažujme prvý príklad keď skupina "správcovia" je vlastníkom sekcie, ale nemá na ňu plné práva:
1
Povolenia...
2
. Vyberte skupinu "správcovia":
Ak je začiarkavacie políčko dostupné Úplný prístup, nainštalujte ho a kliknite na tlačidlo OK. To môže stačiť, ak je vlastníkom sekcie skupina.
Ak začiarkavacie políčko nie je dostupné alebo sa vám zobrazuje chybové hlásenie ako na obrázku nižšie, prejdite na druhý príklad.
V okne Skupinové povolenia kliknite na tlačidlo Okrem toho
V ďalšom okne kliknite na odkaz Zmeniť zadajte názov alebo adresu miestneho účtu Emailúčtovníctvo Microsoft zaznamenáva, skontrolujte názov a kliknite na tlačidlo OK
Začiarknite políčko Nahradiť vlastníka subkontajnerov a objektov v hornej časti okna a kliknite na tlačidlo OK
Vyberte skupinu "správcovia", začiarknite políčko Úplný prístup, stlač tlačidlo OK
Teraz máte úplný prístup ku kľúču databázy Registry a môžete upravovať všetky jeho nastavenia.
Tretí príklad keď je vlastníkom oddielu systémový účet "systém". V tomto prípade budú akcie rovnaké ako pri TrustedInstaller.
Vrátenie pôvodných práv a obnovenie vlastníctva
Z bezpečnostných dôvodov systému po úprave požadované parametre kľúč registra, musíte vrátiť pôvodné prístupové práva a obnoviť systémové konto ako vlastník sekcie TrustedInstaller.
1
. Kliknite kliknite pravým tlačidlom myši myšou na kľúč databázy Registry a vyberte z ponuky Povolenia...
2 . V okne Skupinové povolenia kliknite na tlačidlo Okrem toho
Kliknite na tlačidlo OK
5 . V okne Skupinové povolenia vyberte skupinu "správcovia", zrušte začiarknutie Úplný prístup, stlač tlačidlo OK
Pôvodné práva a vlastník kľúča databázy Registry boli obnovené.
■ Ak vlastníkom sekcie bol účet systém(v anglickej verzii systém), potom namiesto toho
Služba NT\TrustedInstaller vstúpiť systém(v anglickej verzii systém).
Z času na čas užívatelia a správcov systému Možno bude potrebné pozrieť sa na zmeny v Registry systému Windows na určité obdobie. Môže to byť spôsobené túžbou vidieť, aké zmeny sa robia konkrétny program alebo akcie používateľa.
Zmeny vykonané v registri systému Windows môžete zobraziť pomocou nástrojov zabudovaných do operačného systému alebo pomocou softvéru tretích strán. Začnime tými prvými.
Okrem toho spomeňme aj to, že všetko ide o dve metódy: porovnanie dvoch „snímok“ registra urobených v rôznych časoch alebo sledovanie zmien v reálnom čase.
Väčšina cenovo dostupným spôsobom Pozrite sa, aké zmeny boli vykonané v registri, používa sa vstavaný Pomôcky systému Windows fc.exe. Výhodou tejto metódy je, že nie je potrebné hľadať ďalší softvér. Vo všeobecnosti sa nástroj fc.exe používa nielen na zobrazenie zmien v registri, ale aj na porovnanie dvoch súborov alebo sád súborov vo všeobecnosti. Je teda jasné, že potrebujeme dva „snímky“ registra.
Najprv exportujeme celý register alebo len pobočku, ktorú potrebujeme. Povedzme, že máme dva súbory: 1.reg a 2.reg, ktoré dáme na disk C. Potom ich môžeme pomocou príkazu porovnať
fc c:\1.reg c:\2.reg > c:\log.txtIN v tomto prípade Výsledok príkazu vypíšeme do textového súboru. Odporúčam však použiť pokročilejší formát a/alebo silnejší editor ako Poznámkový blok, aby ste sa vyhli problémom s .
Vyššie som použil formát MS Word a .doc.
Problém s použitím fc.exe je, že výsledok jeho práce je nečitateľný. Snímka obrazovky vyššie naznačuje, že vo vlákne bol pridaný parameter Primer. Ale je nepravdepodobné, že to pochopíte, ak o tom nebudete vedieť vopred. fc.exe nemožno nazvať plnohodnotným analytickým nástrojom. Tento nástroj je najvhodnejší, keď sami vykonávate zmeny v registri a chcete si overiť, či boli vykonané (ale nechcete blúdiť po vetvách registra v regedit).
Prejdime preto k ďalšej utilite, ktorá už, žiaľ, nie je súčasťou modernej Verzie systému Windows, ale možno pridať. Volá sa WindDiff. Môžete ho pridať pomocou inštalácie balíky Microsoft Windows SDK. Žiaľ, po Windowse 7 bol WinDiff z týchto balíkov vylúčený, ale môžete si ho stiahnuť samostatne, napríklad .
Použitie pomôcky WinDiff z príkazového riadku Reťazce systému Windows, vložte ho do adresára %WINDIR%\System32. Teraz, aby sme porovnali dva súbory registra z príkladu, stačí zadať príkaz
vietor C:\1.reg C:\2.reg
Otvorí GUI nástroj, ktorý môžete vidieť na obrázku vyššie. Poďme zistiť, ako čítať výstup programu WinDiff.
- Čiary na bielom pozadí znamenajú zhodu obsahu súborov;
- Riadky s červeným pozadím zobrazujú obsah prvého (ľavého) súboru, ktorý nie je v druhom (vpravo);
- Riadky so žltým pozadím zobrazujú obsah druhého (pravého) súboru, ktorý nie je v prvom (ľavom).
Máme žltú čiaru s obsahom "Primer"="". To znamená, že parameter sa objavil v druhom súbore Primer s prázdnou hodnotou. A je v tom HKEY_LOCAL_MACHINE\SOFTWARE\Test. Keďže druhý súbor bol uložený neskôr ako prvý, môžeme konštatovať, že tento parameter bol pridaný a nie odstránený.
Prejdime k nástrojom na monitorovanie registrov tretích strán.
Populárnym bezplatným riešením je program Regshot. Program tiež pracuje so snímkami registra a vytvára ich sám, namiesto toho, aby analyzoval vopred uložené súbory. Toto je jeho mínus. A plus je, že je to veľmi jednoduché.
Najprv musíte urobiť prvú snímku registra.
Potom sa môžu porovnávať.
Po dokončení procesu porovnávania program automaticky otvorí súbor s výsledkami práce. Ďalšou výhodou Regshot je, že tento súbor je ľahko čitateľný. Za zmienku však stojí, že bude obsahovať kopu zmien registrov, ktoré sa môžu zdať ako druh morzeovky. V mojom prípade boli oba obrázky odfotené menej ako minútu od seba. Mojou jedinou akciou bolo odstránenie parametra Primer. Ako vidíte, program to zaznamenal. A tiež zaznamenal mnoho ďalších zmien. Pod kapotou operačného systému sa neustále niečo deje a väčšina z toho je našim očiam skrytá.
Viac nepotrebných obrázkov je možné vymazať stlačením tlačidla jasný v rozhraní programu. Môžete si stiahnuť program Regshot.
Posledným nástrojom na monitorovanie registrov systému Windows, o ktorom sa hovorí v tomto článku, bude program Registrovať Live Watch. Možno to pochopíte už z názvu tento program je schopný sledovať zmeny registra v reálnom čase.
Program je tiež veľmi jednoduchý a v skutočnosti nemá ani veľa nastavení. Stačí zadať pobočku registra, ktorú chcete sledovať a tlačidlom spustiť sledovanie Spustite aplikáciu Monitor.
Program má však vážnu nevýhodu, ktorá z väčšej časti neutralizuje samotnú myšlienku monitorovania. Zobrazuje len hlásenia o zmenách v sledovanej vetve registra, ale nepíše presne, aké zmeny boli vykonané. Druhou nevýhodou je, že Registry Live Watch nedokáže sledovať celý register. Program si môžete stiahnuť.
Na konci článku budeme hovoriť o tom, ako automatizovať zhromažďovanie informácií o registri bez použitia softvéru tretích strán. Dá sa to urobiť pomocou skriptu obsahujúceho príkaz reg export, ktorého syntax je diskutovaná. Spustením tohto skriptu podľa plánu získate množstvo snímok registra, ktoré možno v prípade potreby porovnať.
Do niektorých sekcií registra Zmeny systému Windows Nemôže ho pridať ani administrátor pracujúci v editore registra, ktorý beží s plnými právami. K tomu dochádza, pretože skupina Administrators nemá prístup k zápisu do tohto kľúča databázy Registry. Môžu to mať dva dôvody:
- Skupina Administrators je vlastníkom sekcie, ale nemá na ňu plné práva. V tomto prípade stačí jednoducho udeliť skupine Administrators plné práva.
- Vlastníkom oddielu je systémový účet systém alebo TrustedInstaller(Druhá slúži ako súčasť komplexu na posilnenie bezpečnosti operačného systému, no pre tých, ktorí radi „vyberú“ register, predstavuje nepríjemnú prekážku na ceste k cieľu). V takom prípade sa môžete najskôr stať vlastníkom sekcie a potom dať svojej skupine plné práva. Existujú však zaujímavejšie alternatívy - nástroje na spustenie spustiteľné súbory v mene týchto účtov.
Na tejto stránke
V systéme Windows 8 mierne Zmenilo sa grafické rozhranie pre zmenu majiteľa, čo sa stalo pre množstvo čitateľov, súdiac podľa komentárov, neprekonateľnou prekážkou. Neznášam, keď sú na jednej stránke duplikované takmer identické návody, no ostatné možnosti sú ešte horšie. Preto si vyberte pokyny pre váš OS. Predpokladám, že požadovaný kľúč databázy Registry už máte otvorený v Editore databázy Registry.
Získanie úplných práv a zmena vlastníctva
Postupom času uvidíte, kto vlastní kľúč databázy Registry. Ak toto systém alebo TrustedInstaller, môžete použiť príslušný nástroj ↓
Windows 8 a novší
- Kliknite pravým tlačidlom myši na kľúč databázy Registry a vyberte z ponuky Povolenia.
- Vyberte skupinu „Správcovia“:
Windows 7
Teraz už nič nebráni zápisu do tohto kľúča databázy Registry. Po dokončení úprav sekcie však odporúčam práva obnoviť.
Vrátenie pôvodných práv a obnovenie vlastníctva
Po vykonaní zmien v registri vám radím vrátiť pôvodné práva a obnoviť vlastníka, aby sa neznížila bezpečnosť systému. Okrem toho sa ľudia opakovane obracali na fórum o pomoc, keď po systémovom účte došlo k narušeniu správneho chodu systému TrustedInstaller majetok bol odobratý.
Windows 8 a novší
Windows 7
Pôvodné práva a vlastník kľúča databázy Registry boli obnovené.
Vykonávanie zmien v registri v mene účtu „System“.
Ak je vlastníkom kľúča databázy Registry špeciálny účet „Systém“, existuje spôsob, ako vykonať zmeny v kľúči bez zmeny vlastníka a povolení. Na tento účel použite pomôcku PsExec, ktorá je súčasťou sady nástrojov PsTools od Marka Russinovicha. Podstatou metódy je spustenie editora registra v mene systému.
- Stiahnite si balík PsTools a extrahujte doň nástroj PsExec Priečinok Windows, aby sa nešpecifikovala cesta k nemu v príkazový riadok.
- Otvorte príkazový riadok ako správca a spustite príkaz: psexec -i -s regedit
Spustí sa editor registra av mene systému, ktorý je určený parametrom -s(parameter -i poskytuje interaktívne spustenie aplikácie).
Niekedy možno budete chcieť sledovať zmeny vykonané programami alebo nastaveniami v registri Windows. Napríklad na následné vrátenie týchto zmien alebo na zistenie, ako sa určité parametre (napríklad nastavenia dizajnu, aktualizácie OS) zapisujú do registra.
V tejto recenzii - populárne bezplatné programy, ktoré vám umožňujú jednoducho zobraziť zmeny v registri Windows 10, 8 alebo Windows 7 a niektoré ďalšie informácie.
Bezplatná aplikácia Registry Live Watch funguje na trochu inom princípe: nie porovnávaním dvoch vzoriek registrov Windows, ale sledovaním zmien v reálnom čase. Samotné zmeny však program nezobrazuje, ale len hlási, že k takejto zmene došlo.
Program si môžete stiahnuť z oficiálnej webovej stránky vývojára http://leelusoft.altervista.org/registry-live-watch.html
Čo sa zmenilo
Ďalším programom, ktorý vám umožní zistiť, čo sa zmenilo v registri Windows 10, 8 alebo Windows 7, je WhatChanged. Jeho použitie je veľmi podobné tomu v prvom programe tejto recenzie.
Program nemá svoju vlastnú oficiálnu webovú stránku, ale dá sa ľahko nájsť na internete a nevyžaduje inštaláciu do počítača (pre prípad, že si pred spustením skontrolujte program na stránke virustotal.com a majte na pamäti, že pôvodný súbor existuje jedna falošná detekcia).
Ďalší spôsob, ako porovnať dve možnosti databázy Registry systému Windows bez programov
Windows má zabudovaný nástroj na porovnávanie obsahu súborov – fc.exe (File Compare), pomocou ktorého sa okrem iného dajú porovnávať dva varianty vetiev registrov.
Ak to chcete urobiť, pomocou Editora databázy Registry systému Windows exportujte požadovanú vetvu registra (kliknite pravým tlačidlom myši na sekciu - export) pred a po zmenách s rôznymi názvami súborov, napríklad 1.reg a 2.reg.
Potom použite príkaz ako:
Fc c:\1.reg c:\2.reg > c:\log.txt
Kde sú najprv uvedené cesty k dvom súborom registra a potom cesta k textový súbor výsledky porovnania.
Metóda, žiaľ, nie je vhodná na sledovanie významných zmien (pretože vizuálne v prehľade nič nerozoznáte), ale len pre nejakú malú sekciu registra s niekoľkými parametrami, kde sa očakáva zmena a skôr na sledovanie skutočnosti samotnej zmeny.