Equipamento de escritório

Fazer alterações no Cadastro Único do Estado é um procedimento para os cidadãos. Monitorando alterações no registro com Regshot Alterações no registro do Windows 10

26.12.2021

Como fazer Instantâneos do registro do Windows comparar e rastrear alterações?

Você pode rastrear alterações no registro de maneiras diferentes, manualmente ou usando programas especiais. Neste artigo contarei como fazer isso por meio de programas, o que na minha opinião é muito mais conveniente.

Como prometi, no artigo “”, com esta publicação iniciamos uma série de artigos dedicados à análise malware. Nestes artigos falarei sobre ferramentas que permitem estudar os vírus e seu comportamento.

O artigo de hoje será útil não apenas para pesquisadores de vírus, mas também para usuários comuns que desejam se tornar mais avançados no uso de um computador. Vou lhe dizer como usar o programa Regshot para tirar fotos do registro do Windows para comparar e rastrear alterações.

O que é o Registro do Windows?

O registro é uma das partes principais do sistema operacional Microsoft Windows. Apesar disso, a maioria dos usuários utiliza o sistema operacional e desconhece a existência do registro.

Um usuário inexperiente nem percebe que ao alterar todos os parâmetros: instalar programas, alterar o próprio Windows e os dispositivos a ele conectados, todas as alterações são feitas no registro do Windows.

Em suma, o registro é, em certo sentido, o núcleo do sistema operacional, no qual todas as configurações e alterações são salvas.

Por que analisar o registro e acompanhar as alterações?

Digamos que você não seja mais apenas um usuário passivo de computador e queira descobrir o que está acontecendo nos bastidores durante a instalação de um novo programa ou analisar o comportamento de um vírus. Para descobrir quais alterações todos os softwares fazem, você precisa de programas para rastrear o registro. Uma dessas ferramentas é o RegShot.

Instantâneo do registro usando RegShot

RegShoté um pequeno programa gratuito e de código aberto que permite tirar instantâneos do registro e compará-los. Todas as alterações ocorridas no registro podem ser salvas em um arquivo de texto ou html.

Baixar RegShot

Você pode baixar o programa RegShot gratuitamente usando um link direto.

Instalando o RegShot

Após o download do programa, descompacte o arquivo e vá para a pasta com os arquivos. Haverá vários arquivos na pasta.

Ao escolher um arquivo executável, preste atenção ao número de bits do seu sistema operacional.

Configurando e usando RegShot

Após o lançamento, aparecerá uma pequena janela do programa na qual alteramos imediatamente o idioma do skin para russo. Há também um idioma de interface ucraniano.

Agora vamos trabalhar. O rastreamento das alterações no registro começa com a obtenção do primeiro instantâneo do registro. Clique no botão instantâneo e na janela suspensa vemos 3 opções:

  • Instantâneo - Somente instantâneo
  • Snapshot + Save - Instantâneo e backup do registro
  • Abrir - Abra um instantâneo já tirado do registro

Selecione a opção necessária. No meu caso de exemplo, não há necessidade de fazer backup do registro, então clico no botão “Instantâneo”. O programa ganhará vida e começará a criar o primeiro instantâneo do registro. Na parte inferior da janela você verá como os números mudam.

Quando os números param e o programa se acalma, você pode começar a trabalhar com programas de terceiros, instalação e tudo mais.

Após terminar, clique no botão “Segunda Imagem” e após alguns segundos você poderá clicar no botão “Comparar”.

Se o campo “Texto” foi marcado no início, você verá uma janela editor de texto Bloco de notas, que fornecerá um relatório completo das alterações no registro.

Não instalei nenhum programa, apenas alterei alguns parâmetros no painel Gerenciamento do Windows. Como você pode ver, o utilitário Regshot registrou todas as alterações.

Durante a instalação do software, o relatório será obviamente maior.

Se precisar reanalisar o registro, clique no botão “Limpar” e comece novamente.

Como você pode ver, tirar um instantâneo do registro para rastrear alterações é muito simples, especialmente quando você o tem em mãos programa correto. Isso é muito conveniente se você precisar descobrir quais alterações o programa faz no registro durante a instalação. A propósito, desta forma você pode descobrir quais elementos do registro são responsáveis ​​​​por uma determinada configuração do Windows.

Usando o sistema operacional Windows, seria uma boa ideia conhecê-lo melhor. Você pode começar com um artigo sobre um arquivo místico que você simplesmente precisa conhecer!

Isso é tudo, amigos. Exploraremos outras ferramentas no futuro. E sim, não esqueci o que prometi fazer instruções detalhadas sobre como criar um laboratório isolado confiável em uma máquina virtual para verificação de software e vírus. Então você é bem-vindo às nossas páginas públicas

Para algumas seções do registro Mudanças no Windows Mesmo um administrador trabalhando no editor de registro, que funciona com todos os direitos, não pode adicioná-lo. Isso ocorre porque o grupo Administradores não tem acesso de gravação a essa chave do Registro. Pode haver duas razões para isso:

  • O grupo Administradores é o proprietário da seção, mas não possui direitos totais sobre ela. Neste caso, basta simplesmente conceder direitos totais ao grupo “Administradores”.
  • O proprietário da partição é o sistema conta Sistema ou Instalador confiável(O segundo serve como parte de um complexo para fortalecer a segurança do sistema operacional, mas para quem gosta de “escolher” o registro representa um incômodo obstáculo no caminho para a meta). Nesse caso, você pode primeiro se tornar o proprietário da seção e depois conceder todos os direitos ao seu grupo. Mas existem alternativas mais interessantes - utilitários para executar arquivos executáveis ​​​​em nome dessas contas.

Nesta página

No Windows 8 um pouco mudado GUI mudança de proprietário, o que se tornou um obstáculo intransponível para vários leitores, a julgar pelos comentários. Odeio quando instruções quase idênticas são duplicadas em uma página, mas outras opções são ainda piores. Portanto, escolha instruções para o seu sistema operacional. Presumo que você já tenha a chave de registro necessária aberta no Editor do Registro.

Obtenção de direitos totais e mudança de propriedade

À medida que avança, você verá quem possui a chave de registro. Se isso Sistema ou Instalador confiável, você pode usar o utilitário apropriado ↓

Windows 8 e posterior

  1. Clique clique com o botão direito mouse na chave de registro e selecione no menu Permissões.
  2. Selecione o grupo “Administradores”:
  • Clique no botão Adicionalmente, clique no link Mudar na parte superior da janela, digite o endereço e-mail Conta da Microsoft ou nome da conta local, verifique o nome e clique OK.

  • Marque a caixa OK.
  • Marque a caixa de seleção "Controle total" conforme descrito na etapa 2.

    • Janelas 7

    Agora nada impede a gravação nesta chave de registro. No entanto, recomendo restaurar os direitos quando terminar de editar a seção.

    Devolvendo os direitos originais e restaurando a propriedade

    Após fazer alterações no registro, aconselho a devolver os direitos originais e restaurá-los ao proprietário para não reduzir a segurança do sistema. Além disso, pessoas que têm trabalho correto sistema foi quebrado após a conta do sistema Instalador confiável posse foi tirada.

    Windows 8 e posterior


  • Marque a caixa Substituir proprietário de subcontêineres e objetos na parte superior da janela e clique no botão OK.
  • Selecione o grupo Administradores e desmarque a caixa. Acesso total e pressione o botão Aplicar.

    Janelas 7


  • Agora a conta necessária está na lista. Selecione-o e marque a caixa Substituir proprietário de subcontêineres e objetos e pressione o botão OK.

    • Os direitos originais e o proprietário da chave de registro foram restaurados.

    Fazendo alterações no registro em nome da conta “Sistema”

    Se o proprietário da chave de registro for a conta especial "Sistema", existe uma maneira de fazer alterações na chave sem alterar o proprietário e as permissões. Para fazer isso, use o utilitário PsExec, que faz parte do conjunto de utilitários PsTools de Mark Russinovich. A essência do método é iniciar o editor de registro em nome do sistema.

    1. Baixe o pacote PsTools e extraia o utilitário PsExec em Pasta Windows, para não especificar o caminho para ele na linha de comando.
    2. Abrir linha de comando como administrador e execute o comando: psexec -i -s regedit

    O editor de registro será iniciado e em nome do sistema especificado pelo parâmetro -s(parâmetro -eu fornece lançamento interativo do aplicativo).

    Este artigo mostra as etapas para obter a propriedade de uma chave de registro e obter direitos de controle total, além de como devolver os direitos originais e restaurar o proprietário original.

    Algumas seções do registro do sistema Windows não estão disponíveis para edição, mesmo que sua conta pertença ao grupo "Administradores". Isso geralmente acontece porque o grupo "Administradores" Não há permissões (direitos) apropriadas para gravar nesta chave de registro. Existem vários motivos pelos quais você não pode editar uma chave de registro:
      ■ Grupo "Administradores"é o proprietário da seção, mas não tem todos os direitos sobre ela. Neste caso, basta simplesmente emitir ao grupo "Administradores" plenos direitos.
      ■ O proprietário da seção é serviço do sistema Instalador confiável. Nesse caso, você deve primeiro se tornar o proprietário da seção e, em seguida, conceder todos os direitos ao seu grupo; esse exemplo será considerado neste artigo.

      ■ O proprietário da partição é a conta do sistema "Sistema" Instalador confiável.

    O restante do artigo descreverá como fazer alterações no registro se você não tiver as permissões apropriadas, bem como restaurar as permissões originais e por que você precisa fazer isso. Antes de editar o registro do sistema, é recomendado

    Ao alterar qualquer parâmetro no registro, se você não tiver direitos suficientes, receberá uma mensagem de erro.

    Vamos considerar primeiro exemplo quando o grupo "Administradores"é o proprietário da seção, mas não tem todos os direitos sobre ela:
    1 Permissões...
    2 . Selecione um grupo "Administradores":

    Se a caixa de seleção estiver disponível Acesso total, instale-o e clique no botão OK. Isto pode ser suficiente se o grupo for o proprietário da seção.

    Se a caixa de seleção não estiver disponível ou você vir uma mensagem de erro como na captura de tela abaixo, vá para o segundo exemplo.

    Segundo exemplo quando o proprietário da partição é um serviço do sistema Instalador confiável

    Na janela Permissões de grupo clique no botão Adicionalmente

    Na próxima janela, clique no link Mudar Insira o nome da sua conta local ou endereço de e-mail da conta da Microsoft, verifique o nome e clique em OK

    Marque a caixa Substituir proprietário de subcontêineres e objetos na parte superior da janela e clique no botão OK

    Selecione um grupo "Administradores", marque a caixa Acesso total, pressione o botão OK

    Agora você tem acesso total à chave de registro e pode editar todas as suas configurações.

    Terceiro exemplo quando o proprietário da partição é a conta do sistema "Sistema". Neste caso, as ações serão as mesmas que com Instalador confiável.

    Devolvendo os direitos originais e restaurando a propriedade

    Para fins de segurança do sistema, após editar os parâmetros necessários da chave de registro, você precisa devolver os direitos de acesso originais e restaurar a conta do sistema como proprietária da partição. Instalador confiável.
    1 . Clique com o botão direito na chave de registro e selecione no menu Permissões...

    2 . Na janela Permissões de grupo clique no botão Adicionalmente

    3 . Na próxima janela Opções adicionais segurança clique no link Mudar na parte superior da janela e na caixa de diálogo que aparece Selecione: "Usuário" ou "Grupo" insira o nome da conta:

    Clique no botão OK

    5 . Na janela Permissões de grupo selecione um grupo "Administradores", desmarque Acesso total, pressione o botão OK

    Os direitos originais e o proprietário da chave de registro foram restaurados.

      ■ Se o proprietário da seção fosse uma conta Sistema(na versão em inglês Sistema), então em vez disso
    Serviço NT\TrustedInstaller digitar Sistema(na versão em inglês Sistema).


    Mesmo as menores alterações nas configurações do Windows, sem mencionar a instalação ou remoção de programas, são acompanhadas por alterações correspondentes no registro do sistema. Os usuários geralmente não se importam com eles, mas às vezes eles podem precisar ser rastreados, por exemplo, para comparar ou desfazer manualmente alguma alteração feita por um script ou aplicativo.

    Como rastrear alterações no registro do Windows

    Se as alterações esperadas forem pequenas, elas poderão ser rastreadas pelo próprio sistema operacional. Abra o editor de registro, selecione a ramificação na qual as alterações serão feitas e exporte-a para um arquivo REG chamado 1.

    Faça as alterações necessárias e exporte novamente a ramificação para um arquivo REG, mas com o nome 2.

    Digamos que você salvou os dois arquivos na raiz da unidade D. Vamos compará-los. Abra uma linha de comando e execute estes dois comandos:

    fc D:/1.reg D:/2.reg > D:/compare.log

    O primeiro define a codificação cirílica, o segundo salva o resultado da comparação em um log.

    O método funciona, mas é inconveniente, pois o conteúdo dos arquivos de registro é comparado e exibido caractere por caractere em uma coluna, o que dificulta a leitura desse log. Por esta razão, o método é adequado para rastrear alterações muito pequenas, dois ou três parâmetros, não mais. Em outros casos, é melhor usar utilitários especiais.

    Registo

    O programa mais famoso para rastrear alterações no registro é o Regshot. Iniciamos o utilitário, clicamos no botão “1º instantâneo”, fazemos configurações, instalamos software, etc., depois clicamos no botão “2º instantâneo” e depois em “Comparar”.

    Os resultados serão exibidos em texto simples ou arquivo HTML (à escolha do comparador).

    O programa mostra quais seções e parâmetros foram criados e excluídos, quais foram alterados e o número total de alterações. Infelizmente, o Regshot não permite verificar certas partições e chaves, e é por isso que as alterações feitas pelo próprio Windows são registradas no arquivo de relatório.

    Registro ao vivo

    Outro utilitário gratuito, Registry Live Watch, oferece uma abordagem ligeiramente diferente para rastrear alterações no registro. Ao contrário do Regshot, ele não compara dois instantâneos do registro, mas monitora as alterações em suas seções em tempo real, exibindo os dados em um campo de texto especial em sua janela. Além disso, o Registry Live Watch permite rastrear alterações feitas por um arquivo executável específico.

    Mas este programa também tem a sua desvantagem. Ele não pode monitorar todo o registro ou mesmo suas seções, mas apenas chaves individuais.

    Comparação CRegistry

    Algo semelhante ao Regshot é um programa gratuito chamado CRegistry Comparison. Após o lançamento, ele solicita que você selecione um diretório para salvar a imagem original, após o qual a cria e salva imediatamente.

    Existe um utilitário SysTracer especial projetado especificamente para rastrear alterações no sistema, fazendo isso comparando dois “instantâneos do sistema” - antes e depois. Como resultado, obtemos dados sobre alterações apresentadas de forma conveniente em três categorias “Registro”, “Arquivos”, “Outras configurações” (n/a políticas de grupo, rota de utilitários do sistema, também conhecida como netsh)
    (Para ser sincero, direi que não recolhe tudo, embora na maioria dos casos seja suficiente)

    E se você está “combatendo a defesa com o mal”, então eles usam alguns truques que não podem ser detectados com um rastreamento regular :)
    Caso contrário, tudo seria muito simples, nesse caso, a ferramenta mais útil, na qual apoio o participante l0calh0st,
    Esse Monitor de Processo de Sysinternals- isso é exatamente o que você precisa. (Esses caras aparentemente usam alguns recursos não documentados, Mark Russinovich sabe muito 🙂) E ocultar qualquer movimento deste utilitário, se configurado corretamente, é extremamente difícil. (Embora seja possível, eu sei como, mas não vou te contar - porque não dou a mínima)

    PS: A única coisa é ler atentamente a documentação referente à filtragem, pois Monitor de Processo por padrão registra todos os eventos. Primeiro de tudo, você precisa direcioná-lo para o ID do processo do instalador, bem como (se não for usado durante o processo de instalação - desabilitar o despejo de rede; há muito “lixo” nele, o que torna muito difícil entender).

    Programas para Windows

  • Notícias de TI
  • Ativação do Windows 7
  • Aplicativos
  • Android
  • Programas
  • Nós somos VKontakte

    • SysTracer Pro para Windows (portátil)

    SysTracer– um utilitário que pode monitorar todos os tipos de alterações no sistema operacional. Inicialmente, o programa verifica e analisa o sistema operacional e, em seguida, oferece ao usuário um relatório sobre as alterações encontradas no sistema pelos programas e seus instaladores. O SysTracer é mais utilizado por usuários experientes, pois os relatórios gerados pelo programa não serão compreensíveis para todos.

    O SysTracer é eficaz não apenas no processo de rastreamento do comportamento de um instalador específico, mas também no processo de análise do funcionamento dos aplicativos e do sistema como um todo. Monitorando mudanças em sistema operacional pode ser feito repetidamente. O usuário também tem a oportunidade de acompanhar as alterações durante um determinado período de tempo.

    O programa funciona de acordo com um algoritmo bastante simples. Inicialmente, um instantâneo do registro e de todo o sistema de arquivos SO. Assim que o usuário instala um novo aplicativo, o SysTracer tira um instantâneo novamente e analisa as alterações com base na diferença entre os dois instantâneos. A verificação realizada pelo utilitário pode ser ainda mais personalizada (é possível excluir arquivos individuais, pastas, chaves de registro, etc.). Você pode tirar fotos em dias diferentes e comparar pedidos de desculpas no período que for necessário para você, por exemplo, do dia 15 ao dia 20, etc.

    Depois de instalar e iniciar a ferramenta, você verá uma janela de trabalho à sua frente, que possui seis guias principais: Imagens, Registro, Arquivos, Aplicativos, Verificação Remota e Ajuda.

    Na aba “Imagens” você pode realizar diversas operações com imagens, por exemplo, criá-las, renomeá-las, excluí-las ou compará-las. Chama a atenção a possibilidade de exportar imagens em formato web ou extensão snp. Além disso, é aqui que os usuários definem as configurações e visualizam as propriedades do instantâneo. O "Registro" oferece a oportunidade de estudar um instantâneo do registro ou comparar dois. O usuário pode examinar o status das chaves de partição com mais detalhes. O SysTracer facilita bastante a identificação de alterações graças às marcações codificadas por cores. Por exemplo, os novos elementos serão destacados em verde, os elementos modificados em azul e os modificados em vermelho. arquivos excluídos, aplicativos, componentes de registro, preto - inalterado e cinza - aqueles elementos que não foram verificados.

    Baixar SysTracer– é obter uma ferramenta incrivelmente conveniente no seu PC. Você pode baixar o software usando o link abaixo desta análise.

    Programa para visualizar alterações no registro após instalar programas

    Você já se perguntou o que exatamente os programas instalados em seu computador mudam? Que mudanças eles fazem no registro do sistema Windows e arquivos do sistema? Você já comparou dois sistemas aparentemente semelhantes?

    É claro que tais questões surgem apenas quando há razões para isso. Por exemplo, dois sistemas aparentemente idênticos reagem de maneira diferente à ocorrência do mesmo evento. Ou, por exemplo, você começou a notar que após instalar o programa, seu computador começa a se comportar de maneira estranha: carregamento lento, sistema congela durante certas ações e assim por diante.

    Para encontrar respostas para essas e outras perguntas, a Microsoft lançou uma ferramenta especial chamada “Windows System State Analyzer”. O programa faz parte do Windows Software Certification Toolkit, que não é tão fácil de encontrar. Observe que o programa requer ". Estrutura NET 2,0". O utilitário vem em versões de 32 e 64 bits e pode ser usado para todos os Versões do Windows. Você pode encontrar uma descrição detalhada e um link para download neste link para o blog da Microsoft (para traduzir a página para o russo, no lado direito da página, vá até o bloco “Traduzir esta página” e selecione o idioma desejado; a tradução, claro, não é inteiramente literário, mas, no entanto, é suficiente para a percepção normal do texto).

    No final do artigo do blog da Microsoft, você verá dois links para baixar um arquivo chamado "Server Logo Program Software Certification Tool" - x86 para sistemas de 32 bits e x64 para sistemas de 64 bits. Não se assuste com o nome; durante a instalação, selecione uma instalação customizada, e aí, entre os componentes instalados, selecione “System State Analyzer”. A figura abaixo mostra a caixa de diálogo para selecionar a instalação somente do analisador.

    Observação: Você também pode instalar o “Windows System State Monitor”, que permite monitorar as alterações em tempo real.

    O artigo do blog da Microsoft descreve com alguns detalhes exatamente como usar o analisador. Claro, se você tiver experiência técnica, descobrirá rapidamente como o utilitário funciona. Observe que tirar o primeiro instantâneo do sistema pode levar algum tempo, especialmente se você optar por monitorar todas as alterações em seu computador.

    No entanto, você não precisa selecionar todos os itens; você só pode incluir na análise os arquivos e chaves de registro que considerar necessários. Você pode ver um exemplo de uso na figura a seguir:

    Agora você pode saber tudo o que está acontecendo no seu computador.

    ida-freewares.ru

    O que é melhor: rastreamento em tempo real ou instantâneos do sistema durante a instalação de programas?

    Existem 2 abordagens para monitorar as instalações do programa (para posterior limpeza limpa de seus dados). A primeira, bastante antiga, é usar instantâneos do registro e do sistema de arquivos antes e depois da instalação e depois compará-los. A segunda, que é usada na Ferramenta de Desinstalação, é monitorar as alterações em modo real usando o Monitor de Instalação de Software. O segundo método é o mais progressivo pelas seguintes razões óbvias: