remove - windows registry editor
Seguimiento de cambios en el registro de Windows (9)
¿Hay alguna manera de seguir los cambios en el registro de Windows? Me gustaría ver qué cambios en el registro se realizan durante la instalación de varios programas.
Estoy de acuerdo con Franci, vale la pena echar un vistazo a todos los servicios de Sysinternals (Autoruns también es obligatorio), y Process Monitor, que reemplaza al bueno de Filemon y Regmon es precioso.
Además del uso que desea, es muy útil para ver por qué un proceso falla (como intentar acceder a un archivo o una clave de registro que no existe), etc.
Una forma directa de hacerlo sin herramientas adicionales es exportar el registro a un archivo de texto antes de la instalación, y luego exportarlo a otro archivo después. Luego, compara los dos archivos.
Habiendo dicho eso, las herramientas de Sysinternals son geniales para esto.
PhiLho ha mencionado AutoRuns de pasada, pero creo que merece una explicación .
No escanea todo el registro, solo las partes que contienen referencias a cosas que se cargan automáticamente (EXEs, DLL, controladores, etc.) que probablemente es lo que le interesa. No rastrea los cambios, pero puede exportar a un texto archivo, por lo que puede ejecutarlo antes y después de la instalación y hacer una diferencia .
Hay una python-hids llamada sobek ( http://code.google.com/p/sobek-hids/ ) que puede monitorear algunas partes del SO. Me está yendo bien para supervisar los cambios en los archivos, y aunque el documento dice que es capaz de monitorear los cambios en el registro, no funciona para mí.
Una buena pieza de software para deplay fácilmente una herramienta basada en python.
En cuanto a WMI y registro:
Hay tres clases de eventos de WMI relacionadas con el registro:
- RegistryTreeChangeEvent
- RegistryKeyChangeEvent
- RegistryValueChangeEvent
Pero debes ser consciente de estas limitaciones:
Con RegistryTreeChangeEvent y RegistryKeyChangeEvent no hay forma de decir directamente qué valores o claves realmente cambiaron. Para hacer esto, deberá guardar el estado del registro antes del evento y compararlo con el estado después del evento.
No puede usar estas clases con las colmenas HKEY_CLASSES_ROOT o HKEY_CURRENT_USER. Puede solucionar esto creando una clase WMI para representar la clave de registro para monitorear:
Definición de una clase de registro con calificadores
y úsalo con las clases derivadas de __InstanceOperationEvent.
Entonces, usar WMI para monitorear el Registro es posible, pero menos que perfecto. La ventaja es que es posible controlar los cambios en ''tiempo real''. Otra ventaja podría ser la suscripción al evento permanente de WMI:
Recibir eventos en todo momento
un método para monitorear el Registro ''en todo momento'', es decir. evento si su aplicación no se está ejecutando.
Hay algunas maneras diferentes. Si quieres hacerlo tú mismo sobre la marcha, WMI es probablemente el camino a seguir. RegistryKeyChangeEvent
y sus parientes son los que deben observarse. Puede haber una forma de monitorizarlo a través de los __InstanceCreationEvent
, __InstanceDeletionEvent
y __InstanceModificationEvent
también.
http://msdn.microsoft.com/en-us/library/aa393040(VS.85).aspx
Process Monitor le permite controlar el archivo y la actividad de registro de varios procesos.
Regshot merece una mención aquí. Escanea y toma una instantánea de todas las configuraciones de registro, luego la ejecuta nuevamente en otro momento para compararla con la instantánea original, y le muestra todas las claves y valores que han cambiado.
Puede controlar los cambios en el registro realizados por un programa específico.
http://www.nirsoft.net/utils/reg_file_from_application.html
ACTUALIZACIÓN: solo descarga NirLauncher (que incluye todas las aplicaciones de NirSoft). Es una de las mejores adiciones a su caja de herramientas de Windows. http://launcher.nirsoft.net/