Zmeny v registri môžete vykonať vytvorením nových hodnôt pre požadované nastavenia v samotnom editore registra alebo importom. Existuje však aj iný spôsob. Súbor si môžete pripraviť vopred v danom formáte a potrebné parametre sa automaticky nastavia v registri. Na tieto účely textové súbory s príponou reg .
Formát súboru REG
Tu je príklad súboru REG, ktorý vám umožní vytvoriť sekciu ( test) s parametrami ( "meno mačky").
;Nastavte nové parametre pre sekciu Test
"CatName"="register"
"CatAge"=dword:00000008
Syntax súborov REG
Zvážte formát súboru REG. Najprv prichádza hlavička súboru
Editor databázy Registry systému Windows, verzia 5.00
Je potrebné poznamenať, že v starších operačných systémoch Windows 98 A Windows NT 4.0, bol použitý nadpis REGEDIT4. Ak stále máte takéto staré súbory, neznepokojujte sa. porozumie tomuto súboru a správne spracuje informácie. Opačný proces však nebude k dispozícii - Windows 98 nebude schopný rozpoznať novú hlavičku a vyhodí chybu. Jeden dôležitý detail - za nadpisom je vždy prázdny riadok.
Ak potrebujete do dokumentu zahrnúť komentár, aby ste nezabudli na účel parametra, najskôr vložte symbol ";" (bodkočiarka). Komentár slúži pre pohodlie samotného užívateľa a nezapisuje sa do registra.
Vytvorte súbor .reg
Napíšte súbor .reg Môžete použiť ľubovoľný textový editor, napríklad Poznámkový blok. Vytvorte nový Textový dokument, zadajte vyššie uvedený kód (obr. 1.1) a uložte súbor s príponou .reg. Ak si chcete precvičiť vytváranie týchto súborov, je jednoduchšie ich vygenerovať tak, že ich exportujete z Editora databázy Registry a potom ich upravíte v programe Poznámkový blok.
Ryža. 1.1.
Vykonávanie zmien v registri pomocou súboru .reg
Vyššie sme už zvážili správanie systému pri dvojitom kliknutí na súbor s príponou .reg. Dvojitým kliknutím na súbor .reg spustíte editor registra, ktorý sa odovzdá ako parameter názvu súboru.
POZOR
Pred importom do registra súbor REG určite urobte zálohovanie registra alebo bod obnovenia systému! Táto metóda nie príliš vhodné na automatizáciu úloh. Napríklad chceme vytvoriť skript automatická inštalácia systémy využívajúce REG-súbory. Ak existuje príliš veľa takýchto súborov, používateľ bude musieť neustále stláčať tlačidlo OK, čo mu, vidíte, neurobí radosť. Vzhľad dialógového okna môžete potlačiť spustením príkazu s parametrom /S:
REGEDIT /S D:\test.reg
Práve túto metódu používajú programátori a správcovia systému pri vytváraní svojich programov a skriptov REG súbory. Pravda, služba kontroly účtovníctva Záznamy systému Windows vás vyzve, aby ste povolili operáciu, ale službu ovládania je možné počas trvania takýchto akcií deaktivovať a používateľ potom nič neuvidí. S pomocou súbor REG sekcie môžete tiež odstrániť. Ak to chcete urobiť, vložte pred názov sekcie znamienko mínus. Otvorme náš súbor v programe Poznámkový blok kat.reg a vykonajte nasledujúce zmeny:
Editor databázy Registry systému Windows, verzia 5.00
: vložte mínus na vymazanie sekcie
[-HKEY_CURRENT_USER\Software\Test]
Teraz musíte dvakrát kliknúť na súbor .reg, aby ste ho spustili a importovali záznamy do registra. V editore databázy Registry skontrolujte, či bol zadaný kľúč odstránený.
POZOR
Upozorňujeme, že môžete odstrániť iba sekcie, ktoré neobsahujú podsekcie. V opačnom prípade musíte postupne odstrániť všetky podsekcie, ktoré sú v nej zahrnuté, a až potom pristúpiť k vymazaniu požadovanej sekcie.
Nastavenie môžete tiež odstrániť. Ak to chcete urobiť, vložte znamienko mínus (-) za znamienko rovnosti (=).
Niekedy možno budete chcieť sledovať zmeny vykonané programami alebo nastaveniami v Registry systému Windows. Napríklad, ak chcete tieto zmeny neskôr vrátiť späť alebo zistiť, ako sa určité nastavenia (napríklad nastavenia dizajnu, aktualizácie OS) zapisujú do registra.
V tejto recenzii - populárne bezplatné programy, ktoré vám umožňujú jednoducho zobraziť zmeny v registri Windows 10, 8 alebo Windows 7 a niektoré ďalšie informácie.
Bezplatná aplikácia Registry Live Watch funguje trochu iným spôsobom: nie porovnaním dvoch vzoriek databázy Registry systému Windows, ale sledovaním zmien v reálnom čase. Samotné zmeny však program nezobrazuje, ale len hlási, že k takejto zmene došlo.
Program si môžete stiahnuť z oficiálnej webovej stránky vývojára http://leelusoft.altervista.org/registry-live-watch.html
Čo sa zmenilo
Ďalším programom, ktorý vám umožní zistiť, čo sa zmenilo v registri Windows 10, 8 alebo Windows 7, je WhatChanged. Jeho použitie je veľmi podobné ako pri prvom programe tejto recenzie.
Program nemá vlastnú oficiálnu webovú stránku, dá sa však ľahko nájsť na internete a nevyžaduje inštaláciu do počítača (pre každý prípad skontrolujte program pred spustením na virustotal.com, pričom nezabudnite, že v pôvodnom súbore je jedna falošná detekcia).
Ďalší spôsob, ako porovnať dva varianty registra Windows bez programov
Windows má zabudovaný nástroj na porovnávanie obsahu súborov – fc.exe (File Compare), pomocou ktorého sa okrem iného dajú porovnávať dva varianty vetiev registrov.
Ak to chcete urobiť, pomocou Editora databázy Registry systému Windows exportujte potrebnú vetvu registra (kliknite pravým tlačidlom myši na sekciu - export) pred a po zmenách s rôznymi názvami súborov, napríklad 1.reg a 2.reg.
Potom použite príkaz, ako je tento na príkazovom riadku:
Fc c:\1.reg c:\2.reg > c:\log.txt
Kde sú najprv uvedené cesty k dvom súborom registra a potom cesta k textovému súboru s výsledkami porovnania.
Metóda bohužiaľ nie je vhodná na sledovanie významných zmien (pretože vizuálne sa v správe nedá nič analyzovať), ale len pre nejaký malý kľúč registra s niekoľkými parametrami, kde sa očakáva zmena a skôr na sledovanie samotnej skutočnosti zmeny.
V pobočkách registra operačný systém Windows ukladá nastavenia a nastavenia samotného systému, ako aj ďalšie veci nainštalované v počítači softvér. Niekedy potrebujete zistiť, ktoré registre vetví spúšťaný program alebo sa mení jeho inštalačná distribučná súprava. Ak chcete zistiť, čo sa v registri zmenilo, musíte použiť špeciálny program na sledovanie stavu nastavení systémového registra. RegFromApp monitoruje zmeny v reálnom čase systémový register vyrobené spustený program(proces) a odráža vetvu registra a hodnoty v nej zmenené.
Sledujte zmeny v registri
Ak chcete zistiť, čo konkrétny program mení v registri, musíte spustiť RegFromApp a zo zoznamu všetkých spustených procesov vybrať proces, ktorý chcete sledovať. Hneď ako program, ktorý je pre používateľa zaujímavý, vstúpi do registra a zmení hodnoty svojich vetiev, RegFromApp okamžite zobrazí vetvu registra, v ktorej sa zmeny vyskytli, a zobrazí hodnoty, ktoré sa menia. Zmeny vykonané v registri je možné uložiť do súboru registra (*.reg). Pomôcka RegFromApp podporuje spúšťanie z príkazový riadok s parametrami.
Snímky obrazovky RegFromApp
Oficiálna stránka: http://www.nirsoft.net
OS:
32.64 Windows XP/Vista/7/8
Podporované jazyky: ruský
Verzia: 1.32
Licencia:freeware (zadarmo)
Veľkosť súboru 107 kb
Ďalšie zaujímavé programy:
- SmartLombard je prvý ruský program, ktorý vám umožňuje optimalizovať procesy riadenia záložne
Z času na čas užívatelia a správcov systému môže byť potrebné zobraziť zmeny v registri systému Windows za určité obdobie. Môže to byť spôsobené túžbou vidieť, aké zmeny sa robia určitý program alebo akcie používateľa.
Zmeny vykonané v registri systému Windows môžete zobraziť pomocou nástrojov zabudovaných do operačného systému a pomocou softvéru tretích strán. Začnime prvým.
Okrem toho tiež uvádzame, že to všetko spočíva v dvoch metódach: porovnávanie dvoch „snímok“ registra urobených v rôznych časoch alebo sledovanie zmien v reálnom čase.
Väčšina cenovo dostupným spôsobom Ak chcete vidieť, aké zmeny boli vykonané v registri, je to použitie vstavaného Pomôcky systému Windows fc.exe. Výhodou tejto metódy je, že nie je potrebné hľadať ďalší softvér. Vo všeobecnosti sa nástroj fc.exe používa nielen na zobrazenie zmien v registri, ale aj na porovnanie dvoch súborov alebo sád súborov vo všeobecnosti. Je teda jasné, že potrebujeme dva „snímky“ registra.
Najprv exportujeme celý register alebo len pobočku, ktorú potrebujeme. Povedzme, že máme dva súbory: 1.reg a 2.reg, ktoré dáme na disk C. Potom ich môžeme pomocou príkazu porovnať
fc c:\1.reg c:\2.reg > c:\log.txtV tomto prípade vypíšeme výsledok príkazu do textového súboru. Odporúčal by som však použiť pokročilejší formát a (alebo) silnejší editor ako Poznámkový blok, aby neboli problémy s .
Vyššie som použil formát MS Word a .doc.
Problém pri používaní fc.exe spočíva v tom, že výsledok jeho práce je ťažko čitateľný. Snímka obrazovky vyššie hovorí, že vo vetve bol pridaný parameter primer. Ale je nepravdepodobné, že to pochopíte, ak o tom nebudete vedieť vopred. Fc.exe nemôžete nazvať plnohodnotným analytickým nástrojom. Táto pomôcka je vhodnejšia, keď sami vykonávate zmeny v registri a chcete sa uistiť, že boli vykonané (ale nechcete blúdiť po vetvách registra regedit).
Prejdime preto k ďalšej utilite, ktorá už, žiaľ, nie je súčasťou modernej Verzie systému Windows, ale môže sa pridať. Volá sa WindDiff. Môžete ho pridať inštaláciou balíkov Microsoft Windows SDK. Žiaľ, po Windowse 7 bol z týchto balíkov vylúčený aj WinDiff, ktorý si však môžete stiahnuť aj samostatne, napríklad .
Použitie pomôcky WinDiff z príkazového riadku Reťazce systému Windows, vložte ho do adresára %WINDIR%\System32. Teraz, aby sme porovnali dva súbory registra z príkladu, stačí zadať príkaz
vietor C:\1.reg C:\2.reg
Otvorí sa grafické rozhranie pomôcky, ktoré je možné vidieť na snímke obrazovky vyššie. Poďme zistiť, ako čítať výstup programu WinDiff.
- Čiary na bielom pozadí znamenajú zhodu obsahu súborov;
- Čiary na červenom pozadí zobrazujú obsah prvého (ľavého) súboru, ktorý nie je v druhom (vpravo);
- Čiary na žltom pozadí zobrazujú obsah druhého (pravého) súboru, ktorý nie je v prvom (ľavom).
Máme žltú čiaru s obsahom "Primer"="". To znamená, že parameter sa objavil v druhom súbore primer s prázdnou hodnotou. A je v tom HKEY_LOCAL_MACHINE\SOFTWARE\Test. Keďže druhý súbor bol uložený neskôr ako prvý, možno konštatovať, že tento parameter bol pridaný a nie odstránený.
Prejdime k nástroje tretích strán sledovanie registra.
Populárnym bezplatným riešením je program Regshot. Program pracuje aj so snímkami registra, vytvára ich sám a neanalyzuje vopred uložené súbory. Toto je jej mínus. A plus je, že je to veľmi jednoduché.
Najprv musíte urobiť prvú snímku registra.
Potom sa dajú porovnávať.
Po ukončení porovnávacieho procesu program automaticky otvorí súbor s výsledkami práce. Ďalšou výhodou Regshot je, že tento súbor je ľahko čitateľný. Je pravda, že stojí za zmienku, že v ňom bude veľa zmien registra, ktoré sa môžu zdať ako druh Morseovej abecedy. V mojom prípade oba zábery vznikli s odstupom menej ako minúty. Moje akcie boli len to, že som odstránil parameter Primer. Ako vidíte, program to opravil. A tiež zaznamenal mnoho ďalších zmien. „Pod kapotou“ operačného systému sa neustále niečo deje a väčšina z toho je našim očiam skrytá.
Snímky, ktoré už nepotrebujete, môžete vymazať stlačením tlačidla. jasný v rozhraní programu. Môžete si stiahnuť program Regshot.
Posledným nástrojom na monitorovanie registra Windows, o ktorom sa hovorí v tomto článku, bude program Registrovať Live Watch. Možno ste to pochopili už z názvu tento program schopný sledovať zmeny v registri v reálnom čase.
Program je tiež mimoriadne jednoduchý a v podstate ani nemá nastavenia. Stačí zadať vetvu registra, ktorú chcete sledovať, a spustiť sledovanie tlačidlom Spustite aplikáciu Monitor.
Program má však vážnu nevýhodu, ktorá z väčšej časti eliminuje samotnú myšlienku monitorovania. Poskytuje iba správy o zmene v sledovanej vetve registra, ale nepíše, aké zmeny boli vykonané. Druhou nevýhodou je, že Registry Live Watch nedokáže sledovať celý register. Program si môžete stiahnuť.
Na konci článku budeme hovoriť o tom, ako automatizovať zhromažďovanie informácií o registri bez použitia softvéru tretích strán. Dá sa to urobiť pomocou skriptu obsahujúceho príkaz reg export, ktorého syntax je venovaná. Spustením tohto skriptu podľa plánu získate sériu snímok registra, ktoré možno v prípade potreby porovnať.
Ako na to snímky registra systému Windows porovnávať a sledovať zmeny?
Môžete sledovať zmeny v registri rôzne cesty, ručne alebo pomocou špeciálne programy. V tomto článku vám poviem, ako to urobiť pomocou programov, ktoré sú podľa môjho názoru oveľa pohodlnejšie.
Ako som sľúbil, v článku „“ touto publikáciou začíname sériu článkov venovaných analýze malvér. V týchto článkoch budem hovoriť o nástrojoch, ktoré vám umožňujú skúmať vírusy a ich správanie.
Dnešný článok bude užitočný nielen pre výskumníkov vírusov, ale aj pre bežných používateľov, ktorí chcú byť pokročilejší v používaní počítača. Ukážem vám, ako použiť Regshot na vytváranie snímok registra Windows na porovnanie a sledovanie zmien.
Čo je register systému Windows?
Register je jednou z hlavných častí operačného systému Microsoft Windows. Napriek tomu väčšina používateľov používa operačný systém a o existencii registra nevie.
Neskúsený používateľ si ani neuvedomuje, že pri zmene všetkých parametrov: inštalácii programov, zmene samotného systému Windows a zariadení k nemu pripojených sa všetky zmeny vykonajú v registri systému Windows.
Jedným slovom, register je v istom zmysle jadrom operačného systému, v ktorom sú uložené všetky nastavenia a zmeny.
Prečo analyzovať register a sledovať zmeny?
Povedzme, že už nie ste len pasívny používateľ čajníka a chcete vedieť, čo sa deje v zákulisí inštalácie nový program alebo na analýzu správania vírusu. Aby ste zistili, aké zmeny robí všetok softvér, potrebujete programy na sledovanie registra. Jedným z takýchto nástrojov je RegShot.
Vytvorenie snímky registra pomocou nástroja RegShot
RegShot- malý voľný otvor zdrojový kód program, ktorý vám umožňuje robiť snímky registra a porovnávať ich. Všetky zmeny, ktoré sa vyskytli v registri, je možné uložiť textový súbor alebo html súbor.
Stiahnite si RegShot
Program RegShot si môžete stiahnuť zadarmo pomocou priameho odkazu.
Nainštalujte RegShot
Po stiahnutí programu rozbaľte archív a prejdite do priečinka so súbormi. V priečinku bude niekoľko súborov.
Pri výbere spustiteľného súboru dávajte pozor na bitovosť vášho operačného systému.
Nastavenie a používanie RegShot
Po spustení sa objaví malé okno programu, v ktorom okamžite zmeníme jazyk skinu na ruštinu. K dispozícii je tiež ukrajinský jazyk rozhrania.
Teraz poďme do práce. Sledovanie zmien registra začína prvou snímkou registra. Kliknite na tlačidlo snímky a v rozbaľovacom okne vidíme 3 možnosti:
- Snímka – iba snímka
- Snímka + Uložiť - Snímka a záloha registra
- Otvoriť – otvorí už nasnímanú snímku registra
Vyberieme požadovanú možnosť. V mojom prípade napríklad nie je potrebné zálohovať register, takže kliknem na tlačidlo "Snímka". Program ožije a začne robiť prvú snímku registra. V spodnej časti okna uvidíte, ako sa čísla menia.
Keď sa čísla zastavia a program sa upokojí, môžete začať pracovať s programami tretích strán, s inštaláciou a tak ďalej.
Po skončení kliknite na tlačidlo „Druhý obrázok“ a po niekoľkých sekundách môžete kliknúť na tlačidlo „Porovnať“.
Ak bolo na začiatku začiarknuté pole „Text“, zobrazí sa okno textový editor Poznámkový blok, ktorý bude mať úplnú správu o zmenách registra.
Neinštaloval som žiadne programy, iba som zmenil niekoľko parametrov v paneli Ovládacie prvky systému Windows. Ako vidíte, pomôcka Regshot zachytila všetky zmeny.
Počas inštalácie softvéru bude prehľad samozrejme väčší.
Ak potrebujete znova analyzovať register, kliknite na tlačidlo „Vymazať“ a začnite odznova.
Ako vidíte, vytvorenie snímky registra na sledovanie zmien je veľmi jednoduché, najmä ak máte po ruke správny program. To je veľmi výhodné, ak potrebujete zistiť, aké zmeny program robí v registri počas inštalácie. Mimochodom, týmto spôsobom môžete zistiť, ktoré položky databázy Registry sú zodpovedné za konkrétne nastavenie systému Windows.
Pomocou operačného systému Windows by nebolo zlé sa s ním bližšie zoznámiť. Začať môžete článkom o mystickom súbore, o ktorom jednoducho musíte vedieť!
To je všetko, priatelia. V budúcnosti preskúmame ďalšie nástroje. A áno, nezabudol som na to, čo som sľúbil urobiť podrobné pokyny o tom, ako vytvoriť spoľahlivé izolované laboratórium virtuálny prístroj na kontrolu softvéru a vírusov. Vitajte teda medzi našou verejnosťou