Как отслеживать изменения в реестре windows с помощью regshot

Скачиваем и используем Regshot

В сети есть несколько разных зеркал для скачивания программы Regshot, но мы будем скачивать программу с официального сайта проекта Regshot на SourceForge.

Когда вы скачаете архив с программой и распакуете его, зайдите в папку с файлами из архива. Так как программа не требует установки, то запустить ее можно сразу, как портативную. В зависимости от разрядности вашей операционной системы (х86 или х64) откройте соответствующий исполняемый файл.

Лучше всего открывать программу в режиме администратора, для этого по клику правой клавишей выберем пункт «Запустить от имени Администратора».

Программа просмотра изменений реестра после установки программ

Вы никогда не задумывались, а что именно изменяют устанавливаемые программы на ваш компьютер? Какие именно изменения они вносят в системный реестр Windows и системные файлы? И вам никогда не приходилось сравнивать две вроде бы похожие системы?

Конечно, такие вопросы возникают только тогда, когда на это есть причины. Например, две вроде бы одинаковые системы по разному реагируют на возникновение одного и того же события. Или, например, вы стали замечать, что после установки программы, ваш компьютер начинает странно себя вести: медленная загрузка, зависания системы при определенных действиях и так далее.

Для поиска ответов на эти и другие вопросы, Microsoft выпустила специальный инструмент под названием «Windows System State Analyzer». Программа входит в состав пакета «Windows Software Certification Toolkit», который не так уж и просто найти. Учтите, что программе требуется «.NET Framework 2.0». Утилита поставляется в 32-разрядной и 64-разрядной версиях и ее можно использовать для всех текущих версий Windows. Найти подробное описание и ссылку на скачивание вы можете найти по этой ссылке на блог Microsoft (для перевода страницы на русский язык, в правой части странице перейдите к блоку «Перевести эту страницу» и выберите нужный язык; перевод, конечно, не совсем литературный, но, тем не менее, его достаточно для нормального восприятия текста).

В конце статьи блога Microsoft вы увидите две ссылки на загрузку файла под названием «Server Logo Program Software Certification Tool» — x86 для 32-разрядных систем и x64 для 64-разрядных систем. Не пугайтесь названия, во время установки выберите выборочную установку, и уже там, среди устанавливаемых компонентов, выберите «System State Analyzer». На рисунке ниже показано диалоговое окно для выбора установки только анализатора.

Примечание: Вы так же можете установить «Windows System State Monitor», который позволяет запускать мониторинг изменений в реальном времени.

В статье блога Microsoft достаточно подробно описывается, как именно необходимо использовать анализатор. Конечно, если вы технически подкованы, то вы и сами быстро разберетесь в том, как утилита действует. Учтите, что создание первого снимка системы может занять некоторое время, особенно если вы решите контролировать все изменения на вашем компьютере.

Тем не менее, вам не обязательно выбирать все пункты, вы можете включить в анализ только те файлы и ключи реестра, которые считаете нужным. Пример использования вы можете увидеть на следующем рисунке:

Теперь вы сможете узнать обо всем том, что происходит на вашем компьютере.

ida-freewares.ru

Как использовать обходной хак

Вы можете следовать приведенному ниже руководству, чтобы использовать способ обхода реестра в своей системе. После того как вы отредактируете необходимые значения реестра, вы сможете использовать следующий раздел для установки Windows 11 в вашей системе. Давайте начнем.

Вариант 1. Отключите реестр регистрации доверенного платформенного модуля вручную

Нажмите Windows + R на клавиатуре, введите regedit и затем нажмите Enter на клавиатуре, чтобы открыть редактор реестра.

Перейдите по следующему пути. Вы также можете скопировать и вставить адрес ниже в адресную строку вверху.

HKEY_LOCAL_MACHINE SYSTEM Setup MoSetup

Теперь щелкните правой кнопкой мыши пустую область справа и выберите «Создать».

Выберите «Значение DWORD (32 бита)».

Введите следующее имя для нового значения и нажмите Enter на клавиатуре, чтобы подтвердить изменения.

AllowUpgradesWithUnsupportedTPMOrCPU

Дважды щелкните вновь созданное значение и введите «1» в качестве данных значения.

Нажмите «ОК», чтобы сохранить изменения.

Теперь вы можете установить Windows 11 в своей системе, и вы больше не будете ограничены во время установки.

Вариант 2. Отключить реестр регистрации доверенного платформенного модуля автоматически с помощью сценария реестра.

Если вы хотите автоматически редактировать значения реестра, вы можете просто использовать файл, указанный ниже.

Загрузите файл на свой компьютер и запустите файл DisableTPMcheck.

Нажмите «Да», чтобы подтвердить изменения.

Теперь вы можете установить Windows 11 на свой компьютер, и вы больше не будете ограничены из-за требований TPM. Если вы когда-нибудь захотите отменить свои изменения, просто запустите файл EnableTPMcheck в архиве .zip, ссылка на который приведена выше.

Следующий шаг: обновление до Windows 11

Теперь вы можете легко перейти на Windows 11, не беспокоясь о проверке TPM. Мы рекомендуем вам использовать Помощник по установке Windows 11, специальный инструмент от Microsoft, разработанный, чтобы помочь вам выполнить обновление без потери каких-либо файлов или настроек. Вы можете использовать это руководство от нас, если хотите использовать Помощник по установке.

Читайте: Как использовать Помощник по установке Windows 11 для обновления с Windows 10

Вы также можете использовать ISO от Microsoft. Это позволит вам создавать загрузочные USB-накопители, которые можно использовать для установки Windows 11 в более продвинутых системах, создавать двойные загрузочные диски или, если вы просто хотите начать с нуля, отформатировав все свои диски. Используйте это руководство для обновления до Windows 11 с помощью ISO от Microsoft.

Прочтите: Как загрузить и установить официальный Windows 11 ISO

Инструкция PickMeApp

После запуска утилиты пользователь автоматически попадает на главный экран программы

Основное окно программы разделено на две основные части. В левой части PickMeApp Вы увидите все программное обеспечение, которое присутствует на Вашем компьютере и которое удастся перенести. Утилита сама в автоматическом режиме просканирует все папки системы и построит список приложений. Список можно сортировать по самым необходимым критериям: имени, размеру, версии…

Чтобы выбрать приложение для переноса, нужно в левой части напротив его названия установить галочку. Самым оптимальным вариантом воспользоваться кнопкой автоматической отметки всех приложений “Mark All”. Так Вы сразу выделите все необходимые приложения в один клик мыши. В левой части окна, сразу под рамкой выбора приложений, отобразиться примерный размер архива и время на его создание в минутах.

После выбора нужных программ в левой части

можно переходить в правую область окна программы. По умолчанию там присутствуют два профиля. Первый “My Captured Application” предназначен для того, чтобы только именно Ваши приложения попали в архив. Второй: “PickMeApp Collection” – это не что иное, как сборник программ, которые можно включить в Ваш архив(они будут загружены из сети). Поэтому самым оптимальным будет выбрать первый профиль.

Для начала создания архива нужно нажать кнопку “Capture marked application(s)”. Она выглядит как папка с зеленой стрелкой внутрь ее. Как вариант, можно воспользоваться сочетанием “горячих” клавиш: Ctrl + C. Процесс создания архива будет показан в нижней части на прогресс баре, а также будут прописываться действия в лог файл, который выводится в самом низу главного окна программы

Готовый архив приложений сохраняется в формате .tap, который можно без труда перенести в свой профиль. Для того, чтобы произвести развертывание приложений уже на новой операционной системе, нужно отметить их в правой панели главного окна утилиты PickMeApp и запустить процесс автоматической установки кнопкой “Install marked application(s)”(Выглядит как папка со стрелкой вверх).

Особенности и нюансы

1. На жестком диске нужно иметь достаточное количество свободного места для сохранения архива;
2. Программу в новых операционных системах обязательно нужно запускать от имени администратора;
3. Лучше использовать автовыбор всех приложений.

Отслеживание изменений в реестре программой Regshot

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать  с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера.  Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Авторы утилиты: XhmikosR, M. Buecher.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

• Снимок — Только снимок
• Снимок + Сохранить — Снимок и бекап реестра
• Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Программы для создания резервной копии реестра

Существует достаточное количество бесплатных программ, позволяющих выполнять резервное копирование и восстановление реестра. Среди них можно выделить:

Все указанные программы сравнительно просты в использовании, несмотря на отсутствие русского языка интерфейса в первых двух. В последней он есть, но нет опции восстановления из резервной копии (но можно вручную записать резервные файлы реестра в нужные расположения в системе).

Если у вас остаются вопросы или есть возможность предложить дополнительные эффективные методы — буду рад вашему комментарию.

Часто в пользователей возникают проблемы с работоспособностью компьютера из за проблем с реестром. Поэтому стоит сохранять у себя на компьютере резервную копию реестра Windows. Чтобы в любой момент иметь возможность восстановить реестр с резервной копии.

Как Вы уже догадались в этой статье я покажу Вам как создать резервную копию реестра Windows 10 и как восстановить резервную копию реестра. Хочу заметить что и этот способ без проблем работает на предыдущих версиях Windows.

Следите за изменениями реестра

Regshot

Regshot — очень полезный инструмент для мониторинга изменений в вашем реестре, помимо отображения текущего состояния реестра Windows, он позволяет сделать снимок экрана и сохранить его для последующего сравнения. Regshot — это инструмент с открытым исходным кодом.

Эта бесплатная утилита для мониторинга работала как с 32-разрядной, так и с 64-разрядной версиями предыдущей операционной системы Windows, и она будет работать на обеих версиях Windows 10 без каких-либо проблем. Помимо реестра Windows, Regshot также позволяет делать снимки каталогов Windows. Вы можете бесплатно загрузить этот инструмент для мониторинга реестра с открытым исходным кодом из SourceForge.

WhatChanged

WhatChanged — еще одна известная бесплатная утилита для отслеживания изменений в реестре Windows. WhatChanged использует так называемый «метод грубой силы», и с его помощью вы сможете сканировать реестр, чтобы найти измененные файлы и последние записи реестра, что позволяет легко сравнивать все изменения настроек вашей системы.

WhatChanged — отличный инструмент для проверки того, какие программы вы недавно установили, и, возможно, для удаления ненужных. WhatChanged доступен для бесплатной загрузки с Major Geeks.

RegFromApp

RegFromApp — это инструмент мониторинга реестра, который плавно отслеживает все изменения в реестре, сделанные Windows или определенной программой, которую вы выбрали. Он также создает файл регистрации RegEdit (.reg), в котором хранятся все изменения и модификации реестра, сделанные программой или приложением, которое вы установили.

Этот файл .reg можно использовать для импорта всех изменений реестра с помощью RegEditApp, если это необходимо. Вы можете скачать RegFromApp бесплатно с сайта его разработчика, nirsoft.net.

Монитор процесса

Process Monitor — еще одна очень популярная бесплатная утилита для мониторинга реестра, предлагающая некоторые дополнительные параметры. Он работает в режиме реального времени и показывает все системные файлы, изменения реестра и процессы / потоки вашей системы. Этот крошечный инструмент также может исправить ваш реестр, если есть какие-то ошибки, а также удалить вредоносные программы и другие виды вредоносного программного обеспечения. Вы можете скачать этот небольшой, но мощный инструмент реестра бесплатно от TechNet.

Рег и ФК

А теперь кое-что для тех, кто не любит использовать стороннее программное обеспечение для выполнения системных задач или любых других задач в Windows. Reg и FC — это встроенная командная строка Windows из реестра Windows, которая позволяет вам отслеживать и сравнивать состояния вашего реестра. Прежде чем сравнивать изменения в реестре, экспортируйте все важные ключи реестра, которые вы хотите отслеживать (если ваша система работает хорошо), в текстовый файл и экспортируйте эти ключи снова после нескольких изменений или новых установок. Теперь сравните оба файла с fc.exe:

1. Перейти к поиску и введите fc.exe
2. Откройте команду fc и введите следующую командную строку:

Эта команда сравнит оба файла и сохранит их в том же каталоге, что и файл .text.

Теперь вы знаете, какие инструменты вы можете установить на свой компьютер с Windows 10, чтобы следить за изменениями в реестре, которые различные приложения и программы работают в ОС.

Знать, что изменилось — это одно, а знать, как отменить изменения — совсем другое. Итак, если вы хотите просто избавиться от всех изменений, вы можете использовать точку восстановления — при условии, что вы уже создали ее. Для получения дополнительной информации о том, как создать точку восстановления и использовать ее для фактического восстановления реестра, вы можете ознакомиться с этими пошаговыми руководствами:

• Как создать точку восстановления системы в Windows 10
• Как создать точку восстановления с рабочего стола Windows 10
• Как отменить изменения реестра в Windows 10

Кроме того, если вы хотите сбросить настройки реестра, вы также можете установить один из этих очистителей реестра и запустить его на своем компьютере.

Примечание редактора: этот пост был первоначально опубликован в мае 2015 года и с тех пор обновлен для свежести и точности.

Что изменило реестр: ищем виновника и причину

Компьютер76 » Настройки Windows » Что изменило реестр: ищем виновника и причину.

22.10.2018

Отслеживание изменений в реестре – один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров.

Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок.

Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о “встроенных” возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.

В Windows аудитом изменений реестра “занимается” специальная служба под наименованием Object Access Audit Policy, а за конкретным ключом будет присматривать Audit Security. После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.

Вся процедура подразумевает три пункта:

• активация политики Аудита
• активация SACL
• просмотр Журнала событий и поиск по фильтрам

Перед тем, как начать…

Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки.

Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров.

Так что:

А мы приступаем.

Что изменило реестр: настраиваем групповую политику

с помощью быстрой команды отправляемся в редактор политики

secpol.msc

найдём настройку Политики Аудита и справа выберем Аудит доступа к объектам:

выставим пару галочек для формирования событий:

Соглашаемся, закрываем окна и выходим из редактора

Что изменило реестр: настраиваем события в самом реестре

заходим в редактор реестра

regedit.exe

ищем ключ, изменения в котором нужно отслеживать. Для примера я возьму параметр, в который часто лезут программы (раздел огромный, в Журнале ему будет тесно, конечно):

через Разрешения выходим на окно Безопасности, в котором выберем кнопку Дополнительно. И окажемся в окне Дополнительных параметров безопасности для искомого ключа. Следуем по пути, мною указанному (вкладка Аудит – кнопка Добавить – в окне имён пишем Все и закрепим кнопкой Проверить имена):

появится окно Объекта для элемента аудита. Выставляем Полный доступ на Успех и Отказ:

Применить и ОК. Можно из реестра выходить, здесь закончили.

Что изменило реестр: проверяем

Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:

eventvwr.msc

В левой части консоли раскрываем Журналы Windows ->Безопасность:. Событий там много из без того, так что нам лишь стоит выставить необходимы фильтры по идентификационным номерам (все вам вряд ли понадобятся, читайте описание для каждого). Это:

• 4656 – это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем. 
• 4657 – параметр реестра изменился
• 4660 – параметр удалён
• 4663 – это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел

Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:

Подробности события – в одноимённой вкладке для каждого из них:

Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.

Успехов.

Отслеживайте изменения в реестре

1]Сравнение файлов fc.exe

Чтобы использовать эту программу File Compare или fc.exe, сначала экспортируйте файл .reg и назовите его, скажем, rega.

После того, как изменение вступит в силу, экспортируйте измененный файл .reg и назовите его, скажем, регб.

Теперь откройте командную строку и введите:

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

fc / u rega.reg regb.reg> regcompare.txt

Поскольку файлы .reg используют Unicode, ключ / u указывает fc.exe использовать Unicode.

Теперь вы можете проверить вывод regcompare в Блокноте.

2]WhatChanged

Вы также можете попробовать эту стороннюю утилиту WhatChanged, чтобы легко отслеживать изменения в вашем реестре Windows 10/8/7.

Просто скачайте это портативное приложение WhatChanged и запустите его до и после изменения.

3]Монитор процессов Sysinternals

Sysinternals Process Monitor — отличная бесплатная программа для отслеживания изменений реестра в режиме реального времени. Process Monitor — это расширенный инструмент мониторинга для Windows, который в реальном времени показывает активность файловой системы, реестра и процессов / потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая богатую и неразрушающую фильтрацию, исчерпывающие свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессе, полные стеки потоков с интегрированной поддержкой символов. для каждой операции, одновременное ведение журнала в файл и многое другое.

4]RegShot

RegShot — еще одна небольшая утилита для сравнения реестров, которая позволяет вам быстро сделать снимок вашего реестра, а затем сравнить его со вторым; выполняется после внесения изменений в систему или установки нового программного продукта. Отчет об изменениях может быть создан в текстовом или HTML-формате и содержать список всех изменений, которые произошли между моментальным снимком1 и моментальным снимком2. Возьми здесь.

Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они есть:

1. Реестр Live Watch
2. LeeLu Monitors Системный монитор AIO
3. RegFromApp
4. Регистратор Менеджер реестра Lite.

Они также могут вас заинтересовать:

1. Де-мистификация реестра Windows.
2. Как делать резервные копии, восстанавливать и поддерживать реестр Windows.
3. Как ограничить доступ к редактору реестра и т. Д.
4. Как открыть несколько экземпляров реестра.

.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Получение полных прав и смена владельца

По ходу дела вы увидите, кто является владельцем раздела реестра. Если это Система
или TrustedInstaller
, можно воспользоваться подходящей утилитой ↓

Windows 8 и новее

1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения
   .
2. Выделите группу «Администраторы»:

Нажмите кнопку Дополнительно
, нажмите ссылку Изменить
вверху окна, введите адрес электронной почты учетной записи Microsoft или имя локальной учетной записи, проверьте имя и нажмите кнопку ОК
.
Установите флажок ОК
.
Установите флажок «Полный доступ», как описано в пункте 2.

Windows 7

Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела.

Мониторинг изменений в установке

В качестве второго примера мы можем установить программу, поэтому мы загрузим Google Диск. Сделайте первый снимок перед установкой программы. Если вы не закрыли regshot, вам нужно очистить все снимки, чтобы начать заново.

Теперь, когда вы это сделали, сделайте первый снимок и установите Google Диск.После того, как вы успешно установили программу, сделайте второй снимок.Теперь вы можете сравнить до и после моментальных снимков. Наши результаты показывают, что во время установки Google Диска были внесены следующие изменения:

1. Удаленные ключи: 8
2. Добавлены ключи: 255
3. Значения удалены: 1060
4. Добавленные значения: 399
5. Измененные значения: 93
6. Всего изменений: 1815

Конечно, итоговый текстовый файл также будет содержать список каждого отдельного изменения, чтобы вы могли более внимательно их изучить.

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
3. При необходимости вы можете сохранить журнал изменений (Save Log).

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.