Как се прави Снимки на системния регистър на Windowsза сравняване и проследяване на промените?
Можете да проследявате промените в регистъра по различни начини, ръчно или чрез специални програми. В тази статия ще ви кажа как да направите това с помощта на програми, което според мен е много по-удобно.
Както обещах, в статията „”, с тази публикация започваме поредица от статии, посветени на анализа зловреден софтуер. В тези статии ще говоря за инструменти, които ви позволяват да изучавате вируси и тяхното поведение.
Днешната статия ще бъде полезна не само за изследователите на вируси, но и за обикновените потребители, които искат да станат по-напреднали в използването на компютър. Ще ви кажа как да използвате програмата Regshot, за да правите снимки на системния регистър на Windows, за да сравнявате и проследявате промените.
Какво представлява системният регистър на Windows?
Регистърът е една от основните части на операционната система Microsoft Windows. Въпреки това повечето потребители използват операционната система и не знаят за съществуването на регистъра.
Неопитен потребител дори не осъзнава, че при промяна на всички параметри: инсталиране на програми, промяна на самия Windows и устройствата, свързани с него, всички промени се правят в системния регистър на Windows.
С една дума, регистърът е в известен смисъл ядрото на операционната система, в което се записват всички настройки и промени.
Защо да анализирате регистъра и да проследявате промените?
Да приемем, че вече не сте просто пасивен компютърен потребител и искате да разберете какво се случва зад кулисите по време на инсталирането на нова програма или да анализирате поведението на вирус. За да разберете какви промени прави всеки софтуер, имате нужда от програми за проследяване на регистъра. Един такъв инструмент е RegShot.
Моментна снимка на системния регистър с помощта на RegShot
RegShotе малка безплатна програма с отворен код, която ви позволява да правите моментни снимки на системния регистър и да ги сравнявате. Всички промени, настъпили в регистъра, могат да бъдат записани в текстов файл или html файл.
Изтеглете RegShot
Можете да изтеглите програмата RegShot безплатно, като използвате директна връзка.
Инсталиране на RegShot
След като програмата се изтегли, разархивирайте архива и отидете в папката с файловете. В папката ще има няколко файла.
Когато избирате изпълним файл, обърнете внимание на битовостта на вашата операционна система.
Настройка и използване на RegShot
След стартиране ще се появи малък прозорец на програмата, в който веднага променяме езика на кожата на руски. Има и украински език на интерфейса.
А сега да се захващаме за работа. Проследяването на промените в регистъра започва със създаването на първата моментна снимка на регистъра. Кликнете върху бутона за моментна снимка и в падащия прозорец виждаме 3 опции:
- Моментна снимка – само моментна снимка
- Snapshot + Save - Моментна снимка и архивиране на системния регистър
- Отвори - Отворете вече направена снимка на системния регистър
Изберете необходимата опция. В моя примерен случай няма нужда да архивирате системния регистър, затова щраквам върху бутона „Моментна снимка“. Програмата ще оживее и ще започне да създава първата моментна снимка на системния регистър. В долната част на прозореца ще видите как се променят числата.
Когато числата спрат и програмата се успокои, можете да започнете да работите с програми на трети страни, инсталация и всичко това.
След като приключите, щракнете върху бутона „Второ изображение“ и след няколко секунди можете да кликнете върху бутона „Сравнение“.
Ако полето „Текст“ е маркирано в началото, ще видите прозорец текстов редактор Notepad, който ще предостави пълен отчет за промените в регистъра.
Не съм инсталирал никакви програми, просто промених няколко параметри в панела Управление на Windows. Както можете да видите, помощната програма Regshot записа всички промени.
По време на инсталирането на софтуера отчетът, разбира се, ще бъде по-голям.
Ако трябва да анализирате отново регистъра, щракнете върху бутона „Изчисти“ и започнете отначало.
Както можете да видите, правенето на моментна снимка на системния регистър за проследяване на промените е много лесно, особено когато го имате под ръка правилна програма. Това е много удобно, ако трябва да разберете какви промени програмата прави в системния регистър по време на инсталацията. Между другото, по този начин можете да разберете кои елементи на системния регистър са отговорни за определена настройка на Windows.
Използвайки Windows OS, би било добра идея да я опознаете по-добре. Можете да започнете със статия за мистичен файл, за който просто трябва да знаете!
Това е всичко, приятели. Ще проучим други инструменти в бъдеще. И да, не забравих за това, което обещах да направя подробни инструкцииза това как да направите надеждна изолирана лаборатория на виртуална машина за проверка на софтуер и вируси. Така че сте добре дошли на нашите публични страници
Към някои раздели на системния регистър Windows промениДори администратор, работещ в редактора на регистъра, който работи с пълни права, не може да го добави. Това се случва, защото групата администратори няма достъп за запис до този ключ на системния регистър. Може да има две причини за това:
- Групата администратори е собственик на раздела, но няма пълни права върху него. В този случай е достатъчно просто да дадете пълни права на групата „Администратори“.
- Собственикът на дяла е системата сметка системаили TrustedInstaller(Вторият служи като част от комплекс за укрепване на сигурността на операционната система, но за тези, които обичат да „избират“ регистъра, представлява досадно препятствие по пътя към целта). В този случай можете първо да станете собственик на раздела и след това да дадете на групата си пълни права. Но има по-интересни алтернативи - помощни програми за стартиране на изпълними файлове от името на тези акаунти.
На тази страница
В Windows 8 лекопроменен GUIсмяна на собственика, което се превърна в непреодолима пречка за редица читатели, съдейки по коментарите. Мразя го, когато почти идентични инструкции се дублират на една страница, но други опции са още по-лоши. Затова изберете инструкции за вашата ОС. Предполагам, че вече имате отворен необходимия ключ на системния регистър в редактора на системния регистър.
Получаване на пълни права и смяна на собственост
Докато вървите напред, ще видите кой притежава ключа на системния регистър. Ако това системаили TrustedInstaller, можете да използвате подходящата помощна програма ↓
Windows 8 и по-нова версия
- Кликнете щракнете с десния бутонмишката върху ключа на системния регистър и изберете от менюто Разрешения.
- Изберете групата „Администратори“:
Windows 7
Сега нищо не пречи да пишете в този ключ на системния регистър. Въпреки това препоръчвам да възстановите правата, когато приключите с редактирането на раздела.
Връщане на първоначалните права и възстановяване на собствеността
След като направите промени в регистъра, съветвам ви да върнете оригиналните права и да възстановите собственика, за да не намалите сигурността на системата. Освен това хората, които имат правилна работасистемата беше повредена след системния акаунт TrustedInstallerвладението е отнето.
Windows 8 и по-нова версия
Windows 7
Оригиналните права и собственикът на ключа на системния регистър са възстановени.
Извършване на промени в регистъра от името на акаунта „Система“.
Ако собственикът на ключа на системния регистър е специалният акаунт „Система“, има начин да направите промени в ключа, без да променяте собственика и разрешенията. За да направите това, използвайте помощната програма PsExec, която е част от набора от помощни програми PsTools на Mark Russinovich. Същността на метода е да стартирате редактора на системния регистър от името на системата.
- Изтеглете пакета PsTools и разархивирайте помощната програма PsExec в Windows папка, за да не посочвате пътя до него в командния ред.
- Отворете команден редкато администратор и изпълнете командата: psexec -i -s regedit
Ще се стартира редакторът на системния регистър и от името на системата, която е посочена от параметъра -s(параметър -иосигурява интерактивно стартиране на приложението).
Тази статия ви показва стъпките за поемане на собственост върху ключ на системния регистър и получаване на пълни права за контрол и как да върнете оригиналните права и да възстановите първоначалния собственик.
Някои секции от системния регистър на Windows не са достъпни за редактиране, дори ако вашият акаунт принадлежи към групата "Администратори". Това обикновено се случва, защото групата "Администратори"Няма подходящи разрешения (права) за запис в този ключ на системния регистър. Има няколко причини, поради които не можете да редактирате ключ на системния регистър:
■ Група "Администратори"е собственик на раздела, но няма пълни права върху него. В този случай е достатъчно просто да издадете на групата "Администратори"пълни права.
■ Собственикът на секцията е системна услуга TrustedInstaller. В този случай първо трябва да станете собственик на секцията и след това да дадете на групата си пълни права, точно такъв пример ще бъде разгледан в тази статия.
■ Собственикът на дяла е системният акаунт "Система" TrustedInstaller.
Останалата част от статията ще опише как да направите промени в регистъра, ако нямате подходящите разрешения, както и как да възстановите оригиналните разрешения и защо трябва да направите това. Преди да редактирате системния регистър, се препоръчва
Когато промените някой параметър в системния регистър, ако нямате достатъчно права, ще получите съобщение за грешка.
Нека помислим първи примеркогато групата "Администратори"е собственик на раздела, но няма пълни права върху него:
1
Разрешения...
2
. Изберете група "Администратори":
Ако квадратчето за отметка е налично Пълен достъп, инсталирайте го и щракнете върху бутона добре. Това може да е достатъчно, ако групата е собственик на секцията.
Ако квадратчето за отметка не е налично или виждате съобщение за грешка като на екранната снимка по-долу, преминете към втория пример.
В прозореца Групови разрешениящракнете върху бутона Допълнително
В следващия прозорец щракнете върху връзката промянаВъведете името на вашия локален акаунт или имейл адреса на акаунта в Microsoft, проверете името и щракнете добре
Поставете отметка в квадратчето Замяна на собственика на подконтейнери и обектив горната част на прозореца и щракнете върху бутона добре
Изберете група "Администратори", поставете отметка в квадратчето Пълен достъп, натиснете бутона добре
Вече имате пълен достъп до ключа на системния регистър и можете да редактирате всичките му настройки.
Трети примеркогато собственикът на дяла е системният акаунт "Система". В този случай действията ще бъдат същите като при TrustedInstaller.
Връщане на първоначалните права и възстановяване на собствеността
За целите на сигурността на системата, след като редактирате необходимите параметри на ключа на системния регистър, трябва да върнете оригиналните права за достъп и да възстановите системния акаунт като собственик на раздела. TrustedInstaller.
1
. Щракнете с десния бутон върху ключа на системния регистър и изберете от менюто Разрешения...
2 . В прозореца Групови разрешениящракнете върху бутона Допълнително
Щракнете върху бутона добре
5 . В прозореца Групови разрешенияизберете група "Администратори", премахнете отметката Пълен достъп, натиснете бутона добре
Оригиналните права и собственикът на ключа на системния регистър са възстановени.
■ Ако собственикът на секцията е акаунт система(в английската версия система), тогава вместо това
NT Service\TrustedInstallerвлизам система(в английската версия система).
Дори най-незначителните промени в настройките на Windows, да не говорим за инсталирането или премахването на програми, са придружени от съответните промени в системния регистър. Потребителите обикновено не се интересуват от тях, но понякога може да се наложи да бъдат проследени, да речем, за да сравнят или ръчно да отменят някои промени, направени от скрипт или приложение.
Как да проследите промените в системния регистър на Windows
Ако очакваните промени са малки, те могат да бъдат проследени с помощта на самата операционна система. Отворете редактора на системния регистър, изберете клона, в който се очакват промените, и го експортирайте в REG файл с име 1.
Направете необходимите промени и реекспортирайте клона в REG файл, но с име 2.
Да приемем, че сте записали и двата файла в корена на устройство D. Нека ги сравним. Отворете командния ред и изпълнете тези две команди:
fc D:/1.reg D:/2.reg > D:/compare.log
Първият задава кодирането на кирилица, вторият записва резултата от сравнението в дневник.
Методът работи, но е неудобен, тъй като съдържанието на файловете на системния регистър се сравнява и показва символ по знак в колона, което създава затруднения при четене на такъв журнал. Поради тази причина методът е подходящ за проследяване на много малки промени, два или три параметъра, не повече. В други случаи е по-добре да използвате специални помощни програми.
Regshot
Най-известната програма за проследяване на промените в системния регистър е Regshot. Стартираме помощната програма, щракваме върху бутона „1-ва моментна снимка“, правим настройки, инсталираме софтуер и т.н., след това щракваме върху бутона „2-ра моментна снимка“ и след това „Сравняване“.
Резултатите ще бъдат показани в обикновен текстов или HTML файл (по избор на сравнителя).
Програмата показва кои секции и параметри са създадени и изтрити, кои са променени и общия брой промени. За съжаление, Regshot не ви позволява да сканирате определени дялове и ключове, поради което промените, направени от самия Windows, се записват във файла с отчета.
Гледане на живо в регистъра
Друга безплатна помощна програма, Registry Live Watch, предлага малко по-различен подход за проследяване на промените в системния регистър. За разлика от Regshot, той не сравнява две моментни снимки на системния регистър, а следи промените в секциите му в реално време, показвайки данните в специално текстово поле в своя прозорец. В допълнение, Registry Live Watch ви позволява да проследявате промените, направени от конкретен изпълним файл.
Но тази програма има и своя недостатък. Не може да наблюдава целия регистър или дори неговите секции, а само отделни ключове.
CRegistry сравнение
Нещо подобно на Regshot е безплатна програма, наречена CRegistry Comparison. След стартиране ви подканва да изберете директория за запазване на оригиналното изображение, след което веднага го създава и запазва.
Има специална помощна програма SysTracer, специално предназначена да проследява промените в системата, като прави това чрез сравняване на две „моментни снимки на системата“ - преди и след. В резултат на това получаваме данни за промените, представени в удобна форма в три категории „Регистър“, „Файлове“, „Други настройки“ (няма групови правила, маршрут на системни помощни програми, известен още като netsh)
(Честно казано, ще ви кажа, че не събира всичко, въпреки че в повечето случаи е достатъчно)
И ако „борите защитата със злото“, тогава те използват някои трикове, които не могат да бъдат уловени с обикновена следа :)
В противен случай всичко би било много просто, в който случай най-полезният инструмент, в който подкрепям участника l0calh0st,
това Монитор на процесаот Sysinternals- точно това ви трябва. (Тези момчета очевидно използват някои недокументирани възможности, Марк Русинович знае много 🙂) И скриването на всякакви движения от тази помощна програма, ако е конфигурирана правилно, е изключително трудно. (Въпреки че е възможно, знам как, но няма да ви кажа - защото не ми пука)
PS: Единственото нещо е да прочетете внимателно документацията относно филтрирането, тъй като Монитор на процеса по подразбиранерегистрира всички събития. На първо място, трябва да го насочите към идентификатора на инсталационния процес, както и (ако не се използва по време на инсталационния процес - деактивирайте мрежовия дъмп; в него има много „боклук“, което го прави много трудно да разбереш).
Програми за Windows
SysTracer Pro за Windows (преносим)
SysTracer– помощна програма, която може да следи всички видове промени в операционната система. Първоначално програмата сканира и анализира операционната система и след това предлага на потребителя отчет за намерените промени, направени в системата от програмите и техните инсталатори. SysTracer се използва най-често сред опитни потребители, тъй като отчетите, генерирани от програмата, няма да бъдат разбираеми за всички.
SysTracer е ефективен не само в процеса на проследяване на поведението на един конкретен инсталатор, но и в процеса на анализиране на работата на приложенията и системата като цяло. Мониторинг на промените в операционна системаможе да се направи многократно. Потребителят също така получава възможност да проследява промените за определен период от време.
Програмата работи по доста прост алгоритъм. Първоначално моментна снимка на системния регистър и целия файлова система OS. Веднага след като потребителят инсталира ново приложение, SysTracer отново прави моментна снимка и анализира промените въз основа на разликата между двете моментни снимки. Сканирането, извършвано от помощната програма, може да бъде допълнително персонализирано (възможно е да се изключат отделни файлове, папки, ключове в регистъра и т.н.). Можете да правите снимки в отделни дни и да сравнявате извиненията в необходимия за вас период от време, например от 15-ти до 20-ти и т.н.
След като инсталирате и стартирате инструмента, ще видите пред себе си работещ прозорец, който има шест основни раздела: Изображения, Регистър, Файлове, Приложения, Отдалечено сканиране и Помощ.
В раздела „Изображения“ можете да извършвате различни операции с изображения, например да ги създавате, преименувате, изтривате или сравнявате. Възможността за експортиране на изображения в уеб формат или snp разширение привлича вниманието. Освен това, това е мястото, където потребителите конфигурират настройките и преглеждат свойствата на моментната снимка. „Регистърът“ предлага възможност за изучаване на една моментна снимка на регистъра или сравняване на две. Потребителят може да разгледа по-подробно състоянието на ключовете на дяловете. SysTracer прави много лесно идентифицирането на промените благодарение на цветно кодирани маркировки. Например новите елементи ще бъдат маркирани в зелено, модифицираните елементи в синьо, а модифицираните в червено. изтрити файлове, приложения, компоненти на регистъра, черни - непроменени и сиви - тези елементи, които не са били сканирани.
Изтеглете SysTracer– е да получите невероятно удобен инструмент на вашия компютър. Можете да изтеглите софтуера, като използвате връзката под този преглед.
Програма за преглед на промените в регистъра след инсталиране на програми
Чудили ли сте се някога какво точно променят програмите, инсталирани на вашия компютър? Какви промени правят в системния регистър на Windows и системни файлове? Сравнявали ли сте някога две на пръв поглед подобни системи?
Разбира се, такива въпроси възникват само когато има причини за това. Например две привидно идентични системи реагират по различен начин на настъпването на едно и също събитие. Или, например, сте започнали да забелязвате, че след инсталиране на програмата вашият компютър започва да се държи странно: бавно зареждане, системата замръзва по време на определени действия и т.н.
За да намери отговори на тези и други въпроси, Microsoft пусна специален инструмент, наречен „Windows System State Analyzer“. Програмата е част от Windows Software Certification Toolkit, който не е толкова лесен за намиране. Моля, имайте предвид, че програмата изисква ". NET Framework 2,0". Помощната програма се предлага в 32-битова и 64-битова версия и може да се използва за всички текущи Windows версии. Можете да намерите подробно описание и връзка за изтегляне на тази връзка към блога на Microsoft (за да преведете страницата на руски, от дясната страна на страницата отидете на блока „Преведете тази страница“ и изберете желания език; преводът, разбира се, не е изцяло литературен, но все пак е достатъчен за нормално възприемане на текста).
В края на статията в блога на Microsoft ще видите две връзки за изтегляне на файл, наречен „Инструмент за сертифициране на софтуер за лого на сървъра“ – x86 за 32-битови системи и x64 за 64-битови системи. Не се плашете от името; по време на инсталацията изберете персонализирана инсталация и там сред инсталираните компоненти изберете „Анализатор на състоянието на системата“. Фигурата по-долу показва диалоговия прозорец за избор на инсталация само на анализатора.
Забележка: Можете също да инсталирате “Windows System State Monitor”, който ви позволява да наблюдавате промените в реално време.
Статията в блога на Microsoft описва в някои подробности как точно да използвате анализатора. Разбира се, ако сте технически подковани, тогава вие сами бързо ще разберете как работи помощната програма. Моля, имайте предвид, че правенето на първата моментна снимка на системата може да отнеме известно време, особено ако решите да наблюдавате всички промени на вашия компютър.
Не е необходимо обаче да избирате всички елементи; можете да включите в анализа само тези файлове и ключове в системния регистър, които смятате за необходими. Можете да видите пример за използване на следната фигура:
Сега можете да разберете за всичко, което се случва на вашия компютър.
ida-freewares.ru
Какво е по-добре: проследяване в реално време или системни снимки при инсталиране на програми?
Има 2 подхода за наблюдение на програмните инсталации (за последващо чисто изчистване на техните данни). Първият, доста стар, използва моментни снимки на системния регистър и файловата система преди и след инсталацията, след което ги сравнява. Вторият, който се използва в инструмента за деинсталиране, наблюдава промените в реален режим с помощта на монитора за инсталиране на софтуер. Вторият метод е най-прогресивен поради следните очевидни причини:
