Рейтинг: 4.7/5.0 (1841 проголосовавших)Категория: Windows: Реестр, Автозагрузка
Registry Monitor - Очень хороший монитор доступа к реестру низкого уровня.
Рис. Скриншот окна программы Registry Monitor
Registry Monitor - это программа для мониторинга реестра. Она покажет вам какое приложение обращалось к реестру и что именно оно туда записывало или считывало.
Эта программа для работы с реестром не позволяет удалять ключи и не проводит автоматическую чистку реестра от «мертвых» ключей. Но ее функции не менее ценны.
Дело в том, что при помощи Registry Monitor вы можете в реальном времени отследить, какая программа к какой ветви обратилась. Зачем это нужно? Дело в том, что некоторые разработчики программного обеспечения внедряют в свои программы шпионские модули, которые собирают данные о вашей системе и впоследствии отправляют их на сервер разработчика. Отследить такие модули достаточно сложно, а при помощи Registry Monitor вы всегда можете увидеть, что происходит с вашим реестром.
Скачать бесплатно Registry Monitor >>>
Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.
Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.
Внешний вид Registry Monitor показан на рисунке ниже.
В данном примере собирается информация об обращениях к реестру всех процессов, за исключением IEXPLORE.EXE и Explorer.EXE, причем, все обращения к реестру процесса csrss.exe подсвечиваются в окне другим цветом. Галки внизу окна позволяют собирать только определенные события, как то:
RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.
Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.
Итак, запустим RegMon. Настраивать пока фильтр не будем. Включим опцию Always On Top. чтобы окно RegMon не «убегало» на задний план. При запущенном RegMon-е откроем Outlook Express. Сразу после окончания его загрузки нажмем кнопку Capture или выберем пункт меню File — Capture Events. чтобы остановить сбор данных. Пример окна Registry Monitor после запуска Outlook Express с остановленным процессом сбора информации показан ниже.
В данном случае интересны обращения к реестру только процесса msimn.exe, поэтому щелкнем на нем правой кнопкой и выберем Include Process. либо выберем в меню Edit — Include Process. На запрос о том, хотим ли мы применить этот фильтр к уже собранным данным можно ответить и положительно и отрицательно, это не имеет значения. Теперь нужно очистить окно Registry Monitor. Для этого выберите Edit — Clear Display. Последний штрих в подготовке сбора данных — донастройка фильтра. Для этого выберем Options — Filter/Highlight. В настройке фильтра, внизу, снимем все галки за исключением Log Writes и Log Successes. настроив, таким образом, отсеивание всех обращений к реестру за исключением успешной записи в реестр значений процессом msimn.exe. Пример настройки фильтра показан ниже.
После того, как фильтр настроен, нужно создать в Outlook Express правило для почты. Чтобы создать правило в Outlook Express, выберите Сервис — Правила для сообщений — Почта. В открывшемся окне создайте правило. Пример уже созданного правила показан на следующем рисунке.
После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.
Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK. Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.
Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Patch Registry Monitor. Подведите курсор по очереди к каждому значению в столбце Patch и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это HKEY_CURRENT_USER\Identities\
Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.
Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.
Наибольшая русскоязычная база с чит кодами, трейнерами и прохождениями для компьютерных игр. Все чит коды переведены и проверены лично нами. Количество игр представленных в текущей версии - 11161.
Эта программа представляет собой бесплатный аналог Adobe Photoshop. Она точно также включает в себя множество инструментов для работы с растровой графикой, и даже имеет ряд инструментов для векторной графики. GIMP это полноценная замена Photoshop.
Мощная и бесплатная антивирусная программа, которая защитить ваш компьютер от всяческих угроз, включая вирусы, трояны, и т.д. AVG Anti-Virus Free также защитить вас в Интернете от потенциально опасных веб-сайтов и других видов угроз.
RegMonitor.dll представляет собой разновидность файла DLL. связанного с NIST Firewall SecureClient, который разработан NIST для ОС Windows. Последняя известная версия RegMonitor.dll: 1.0.0.0, разработана для Windows. Данный файл DLL имеет рейтинг популярности 1 звезд и рейтинг безопасности "Неизвестно".
Что из себя представляют файлы DLL?Файлы DLL ("динамически подключаемая библиотека"), такие как RegMonitor.dll – это небольшие программы, схожие с файлами EXE ("исполняемыми"), которые позволяют множеству программ использовать одни и те же функции (например, печать) .
Например, когда вы запускаете Windows и редактируете документ в Microsoft Word. Необходимо загружать файл DLL, контролирующий печать, только если его функции востребованы - например, когда вы решили распечатать свой документ. Когда вы выбираете "Печать", Microsoft Word вызывает файл принтера DLL, и он загружается в память (RAM). Если вы хотите распечатать документ в другой программе, например в Adobe Acrobat, будет использоваться тот же самый файл принтера DLL.
Почему у меня наблюдаются ошибки в файлах типа DLL?Файлы DLL, будучи общими, существуют за пределами самого приложения. Давая множество преимуществ разработчикам программного обеспечения, такое разделение также открывает возможность для появления проблем.
Проще говоря, если Windows не может корректно загрузить файл RegMonitor.dll. вы получите сообщение об ошибке. Для получения дополнительной информации см. "Причины ошибок RegMonitor.dll" ниже.
В каких случаях появляются ошибки в файлах типа DLL?Ошибки DLL, например, связанные с RegMonitor.dll, чаще всего появляются во время запуска компьютера, запуска программы или при попытке использования специфических функций в вашей программе (например, печать).
Распространенные сообщения об ошибках в RegMonitor.dllНаиболее распространенные ошибки RegMonitor.dll, которые могут возникнуть на компьютере под управлением Windows, перечислены ниже:
Такие сообщения об ошибках DLL могут появляться в процессе установки программы, когда запущена программа, связанная с RegMonitor.dll (например, NIST Firewall SecureClient), при запуске или завершении работы Windows, или даже при установке операционной системы Windows. Отслеживание момента появления ошибки RegMonitor.dll является важной информацией при устранении проблемы.
Реестр Windows является одним из излюбленных мест для вредоносного программного обеспечения ввиду отсутствия защищенности. Самой уязвимой категорией являются ПК без антивирусной защиты. Для того, чтобы избежать незаконного вторжения, можно использовать мониторинг реестра. Это дает возможность быть в курсе всех запросов, отправляющихся в реестр.
В этом пользователю могут помочь специальные программы, которые собственно и занимаются отслеживанием обращений в реестр. Их функционал немного различается. Одни могут просто вести логи и предоставлять пользователю подробную статистику, вторые же могут выполнять защитную функцию: после того, как нечто будет проситься на добавление в реестр, пользователю будет отправлено соответствующее уведомление. Так, пользователь сможет самостоятельно решать, добавлять ветку в реестр или нет.
Самая известная программа — Process Monitor. Она подойдет для последних ОС семейства Windows: это ХР, 7, 8. Для более старых версий можно скачать аналог Registry Monitor (Regmon). Они почти идентичны, так что информация будет полезна обеим категориям пользователей. Итак, эта утилита является улучшенной версией программы Regmon, мониторящей обращения к реестру, с добавленной программой Filemon, мониторящей обращения к файловой системе. Программа может запускаться на версиях Windows, начиная с 200
0. Она не требует установки, достаточно лишь запустить ее с правами администратора.
Для корректной работы в пользовательской системе устанавливается драйвер этой программы, который исполняет роль перехватчика всех обращений к реестру. Пользователь может мониторить запросы, отправляющиеся к файловой системе, к реестре, к сети, а также активность процессов. После запуска программы сразу же будет начато отслеживание всех обращений.
Интерфейс программы не слишком сложный. Все зафиксированные обращения можно разделить с помощью соответствующих значков, находящихся на верхней панели. По желанию можно отфильтровать обращения только к реестру или к файловой системе, к интернету, отображать только процессы и потоки или выбрать профилирование каждого процесса.
В программе существует детальный фильтр, в который можно добавить интересующий процесс или процессы, чтобы отслеживать обращения только к ним. По умолчанию в фильтр добавлены некоторые процессы, отслеживание которых не нужно для пользователя, поэтому убирать их оттуда нет необходимости.
В программе существует так называемое «Дерево процессов». Оно предоставляет пользователю список программ и процессов, которые эти программы запускали. Также можно узнать, какое время этот процесс работал и путь к нему.
Для обычных пользователей, которым сложно будет разобраться во всех замудренных настройках, есть крошечная утилита под названием 2IPStartGuard. Ее работа направлена лишь на одно — отслеживать обращения к реестру и предупреждать об этом пользователя. В сообщении можно увидеть, в какую ветку реестра просится объект и какой исполняемый файл будет запускаться. Стоит отметить, что эта программа направлена на контроль автозагрузки для защиты компьютера от запуска вредоносных программ.
Отличный монитор, шпионящий за программами
которые работают с реестром - быстро покажет
вам что программы там мутят с реестром.
Некоторые хитроумные разработчики научились
его закрывать программно, но это можно поправить
вручную, изменив класс окна монитора.
Что-то навроде cправки по RegMon-у
Несмотря на некоторую внешнюю неказистость
программ-мониторов FileMon и RegMon, их возможности
просто незаменимы в случаях, когда нужно отследить за
действиями некоей программы. Смущает и даже отпугивает
то, что они поставляются фактически без справки и
какого-либо детального описания методик настройки, да и
просто интерпретации отображаемых результатов. Возможно
виной тому уверенность авторов в предназначении их детищ
лишь программистам для отладки и поиска багов в их
приложениях.
Желая немного заполнить этот вакуум и уменьшить
собственные проблемы по постоянному растолковыванию на
ходу, что да как нужно делать, пишу вот эту заметку.
Начну с описания RegMon-а, как наиболее популярного и
востребованного инструмента. Написанное будет
соответствовать версии 7.0 программы (недавно авторы
объявили, что эта версия станет последней, а далее
последует выпуск какого-то нового продукта, объединяющего
в себе функции RegMon и FileMon). Если Вы еще не
обзавелись утилитой, возьмите ее прямо сейчас.
Ни в коем случае не устанавливайте программу в папку, в
полном имени которой содержатся нелатинские символы!
Будут проблемы.
Будем считать, что Вам уже известно (в общих чертах)
назначение реестра Windows (сохранение операционной
системой и приложениями необходимой информации о
настройках и т.п.) и то, что он имеет древовидную
иерархическую структуру (при просмотре в редакторе
реестра Regedit-e очень напоминающую файловую структуру
дисков), и даже то, что для использования реестра все
программы должны использовать определенный набор функций,
реализуемый принадлежащей операционной системе
библиотекой ADVAPI32.dll). Остается только добавить, что
именно вызов этих функций и перехватывается RegMon-ом и в
наглядном и доступном виде отображается в окне программы.
Итак в окне для каждого перехваченного обращения к
реестру в столбцах таблицы последовательно показаны:
# - номер текущей записи (для порядку и чтобы
ориентироваться в этой куче. информации). Пропуски
номеров означают, что из-за переполнения буфера RegMon не
справляется с потоком. Выход - фильтровать сообщения.
Time - время перехвата (можно выбрать или текущее время
или время в секундах (восемь разрядов после запятой)
отсчитываемое от запуска программы или последней очистки
Process - иконка программы, имя и 32-битный идетификатор
того процесса, из которого происходит вызов функции
обращения к реестру. Для случая, когда мы следим за
каким-то EXE-файлом, обычно имя его процесса будет
отображаться не более чем 8-ю первыми буквами имени этого
файла. В любом случае, что бы не забивать отчет ненужными
Вам сведениями, следует отфильтровать все процессы, кроме
Path - путь к ключу или значению, на который
воздействовала функция. Путь принято отсчитывать не от
корневого ключа реестра, а от того ключа, который был
предварительно открыт для некоторой операции до этого
момента. Тогда путь этот будет выглядеть так:
ver32". 0xC29A9FD0 - это так называемый hKey, манипулятор
ключа реестра - некое 32-битное число. Не хочется лезть в
дебри, но поверьте мне на слово: Windows очень любит все
нумеровать и когда некая функция создает ключ реестра или
открывает уже существующий, ему немедленно присваивается
некий уникальный на данный момент номер, и дальнейшее
обращение к ключу и его подключам и значениям идет только
с использованием этого номера. Этот номер останется
действительным до момента закрытия ключа с помощью
функции CloseKey. Ключи вида
выглядит как исключение из описанного выше правила, но на
самом деле это просто упрощение авторов RegMon-a. Дело в
том что корневые ключи являются постоянно открытыми после
запуска Windows и их hKey-и имеют уже предопределенные
значения, поэтому авторы решили для краткости заменить их
аббревиатурными названиями этих ключей. Ух. запарился я
писать. Тем не менее дальше:
Result - результат, который возвратила функция. Функции
API устроены таким образом, что после завершения работы
передают в вызывавшую их программу результат своей
работы. Можно рассматривать функции API, как подобие
армейских команд, типа "Рядовой Хацкер, к разборке
автомата присту - пить!", тогда в этой аналогии
результатом можно считать бодрый ответ солдата: "Рядовой
Хацкер задание выполнил!" (хотя возможны и варианты,
вроде: "Товарищ прапорщик, дык вы ж вчерась последний
автомат пропили. " и т.п.). Аналогично результат вызова
API-функции может содержать не только успешную
информацию, но и, например, номер произошедшей ошибки.
RegMon показывает этот номер в виде имени константы,
соответствующей этой ошибке. Наиболее частые результаты в
RegMon-e: SUCCESS, NOTFOUND, NOMORE и, я думаю, они
достаточно понятны.
Other - информация о других используемых или возвращаемых
функцией данных. Продолжая армейскую аналогию, это может
соответствовать уточнению "Разборка проведена за 40
секунд" или "Товарищ прапорщик, жуть какая-то: в стволе
застряла серебряная пуля!". Что именно покажет RegMon
Save - Вы можете сохранить содержимое окна в файл отчета
Find. - поиск строки, содержащей указанный Вами текст
(производится по всем столбцам). Если есть в списке
выделенная строка, то поиск начнется c нее, если нет, то
c начала списка. Кнопка - в виде бинокля (оригинально,
неправда ли?)
Regedit Jump. - быстрый переход в Regedit к ключу или
значению, соответствующему графе Path (кстати,
срабатывает не всегда). Если ключ или значение не
существует, то переход будет осуществлен по возможности
максимально близко к запрошенному месту. Удобно вызывать
также двойным щелчком мыши или нажатием на кнопку в виде
Font. - выбор шрифта для окна
Highlight Colors. - выбор двух цветов FG-цвета текста и
BG-цвета фона для подсвечиваемых записей
Filter/Highlight. - определение фильтров для
отображения и подсветки (подробности позже). Значок -
воронка, через которую что-то льется
History Depth. - возможность ограничить максимальное
число перехватываемых обращений к реестру (0 - без
ограничений). Значок - усеченный список.
Always On Top - окно программы поместить поверх всех окон
Auto Scroll - включить/отключить автопрокрутку
содержимого окна, так чтобы всегда можно было видеть
Производит физическую запись всех данных ключа в файлы
реестра (используется редко, так как сильно замедляет
работу с реестром)
Вряд ли Вам захочется видеть сразу всё, что имеет хоть
какое-нибудь отношение к реестру. И здесь очень
пригодится фильтр монитора. Откроем его диалоговое окно.
Первый элемент фильтра это Include, то есть фильтр
того, что мы хотели бы включить в отчет. Важно знать, что
фильтрация происходит не по отдельным колонкам, а по
строкам таблицы отчета целиком за исключением только
номера записи и времени перехвата. Например, внесение в
это поле названия функции приведет к перехвату именно
этой функции, а ввод имени процесса позволит следить
именно только за этим процессом. Допустимо использование
символа подстановки * для определения произвольного
фрагмента строки (например, фильтр HKLM*Microsoft дает
возможность следить за любыми упоминаниями Microsoft в
ветви реестра HKLM). Можно вводить любое число фильтров,
разделяя их между собой точками с запятой. Регистр при
фильтрации не учитывается.
Второй элемент фильтра это Exclude. то есть фильтр
того, что мы не хотели бы видеть в отчете. Таким способом
можно исключить из отчета какие-нибудь очень активные по
отношению к реестру программы, захламляющие наш отчет или
отключить некую ветвь реестра, если нам не интересна
активность в ней и тп. Синтаксис аналогичен фильтру
Третий элемент, Highlight, это вообщем-то и не фильтр
вовсе. Он не влияет на то, будет или нет отображаться
вызов некоторой функции, а влияет лишь на то, будет ли он
подсвечен (вы уже выбрали цвета подсветки?). Подсветка
позволяет среди большого количества строк найти то, что
Вас сейчас интересует. Синтаксис аналогичен фильтру
Include. Этот фильтр можно менять на лету и изменения
будут применены для уже отображенных ранее записей.
Удобно, что программа запоминает историю ввода
фильтров, и Вы позже сможете вновь воспользоваться ими.
Кстати, при перезапуске программа восстанавливает
последний набор фильтров. Имейте это ввиду!
Кроме строковых фильтров в диалоге есть несколько
переключателей, которые могут производить фильтрацию по
несколько другим критериям. Так например можно
отслеживать только открытие ключей реестра - надо
включить только Log Opens. Можно отключить фиксацию
операций чтения из реестра (выключить Log Reads) и
следить только за тем, что в него записывается (включить
Log Writes). Переключатели позволяют Вам также выбирать
для наблюдения только успешно завершившиеся вызовы
функций (включить Log Successes) или, наоборот, только
ошибочные (включить только Log Errors). Я часто использую
последний вариант фильтра для поиска несуществующих
записей в реестре, к которым исследуемая программа
пытается обратиться, но не находит их, см. пример здесь).
А последний переключатель (Log Other) предлагает
отключить мониторинг ДРУГИХ действий с реестром, надо
полагать тех, что нельзя отнести ни к операциям чтения,
ни к операциям записи. Возможно в эту группу попадают
очень часто происходящие ошибочные обращения к дисковым
файлам так, как будто это ветви реестра. Дык и ну их,
убогих. Только не удивляйтесь, если одни и те же строки
будут попадать в отчет при абсолютно разных позициях
переключателей. Например, и для того, чтобы прочесть
что-нибудь из реестра и для того, чтобы туда чего
записать, все равно надо ключ реестра открыть, а потом
закрыть. Вот и получаются такие накладочки, но фильтры
все едино полезные. Можно применить новый фильтр даже не
закрывая диалоговое окно, просто нажав на кнопку Apply. А
чтобы сбросить все фильтры в значение по умолчанию,
предусмотрена кнопка Defaults в диалоговом окне фильтра.
Антон Орлов
Эта статья предназначена прежде всего тем, кто хочет узнать больше о своем компьютере, выяснить, что выполняет каждая имеющаяся на нем программа и как можно на нее воздействовать. Итак, рассмотрим утилиты для «наружного» исследования ПК.
Монитор Реестра — RegMonitorРис. 1. Ничто не ускользнет от бдительного ока RegMonitor — ни одна запись в Реестр, ни одна попытка его прочтения.
С помощью RegMonitor можно увидеть, какие ключи Реестра программа читает или изменяет и где помещает свои настройки, а также узнать, что конкретно изменяется в Реестре при каждом действии программы. RegMonitor имеет много полезных настроек. Например, если поставить так называемый «фильтр» на поток выводимой информации, то будут отслеживаться только те запросы к Реестру, которые сделала определенная программа. Результат работы программы можно сохранить в виде файла, чтобы изучить впоследствии. В окне программы имеется возможность отображать не все запросы к Реестру, а лишь несколько последних (их число устанавливается в поле Depth окна настроек). Разумеется, есть функция поиска и кнопка вызова Редактора реестра.
Загрузить бесплатную утилиту RegMonitor можно с сайта www.sysinternals.com и с адреса http://perecod.chat.ru/regmon.rar .
Монитор файлов — FileMonitorУтилита FileMonitor (рис. 2) аналогична RegMonitor и написана тем же автором, но предназначена для перехвата всех обращений к файлам (работает в Windows 9х и Me). FileMonitor поможет легко увидеть, какая из программ открывает тот или иной файл и что она с этим файлом делает.
Рис. 2. Узнайте, кто «читает» ваши файлы
FileMonitor, так же как и RegMonitor, имеет немало полезных настроек. Например, можно поставить фильтр на выводимый на экран отчет о запросах к файлам, сохранить в файле результаты наблюдений, зарегистрировать точное время совершения запроса или продолжительность каждой операции при работе с файлами.
Сравнение РеестровЕсли известно, что программа какие-то данные записывает в Системный реестр, но неведомо куда, а это требуется выяснить, то довольно трудно следить за ней с использованием RegMonitor. Проще было бы сравнить Реестр до начала работы программы и по ее окончании, ведь тогда все изменения оказались бы видны как на ладони. Именно это и делает утилита RegSnap (рис. 3) Витаса Раманчаускаса (работает в Windows 9х и 2000).
Regmon - программа от компании Sysinternals для наблюдения в реальном масштабе времени за выполнением обращений к системному реестру Windows. Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)
После приобретения Sysinternals компанией Майкрософт, в разделе Microsoft TechNet появился подраздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Однако, Regmon. а также программа мониторинга обращений к файловой системе Windows Filemon были заменены одной программой Process Monitor. которая, при всех ее достоинствах, все же, менее удобна для выполнения именно мониторинга обращений к реестру. В среде операционных систем Windows 2000/XP многие пользователи по-прежнему предпочитают пользоваться утилитой Regmon. Если же, предполагается мониторинг обращений к реестру в среде операционных систем Windows Vista/Windows 7, то лучше перейти на страницу описания утилиты Process Monitor.
По своим функциональным возможностям последние версии Regmon мало чем отличаются друг от друга, по крайней мере, внешне. Здесь я разместил ссылки для скачивания версий Regmon, которыми пользовался лично.
Возможность скачивания последней версии Regmon с официального сайта на сегодняшний день отсутствует, и вместо нее предлагается скачать Process Monitor.
Более старая версия Regmon 6.06 работает в Windows 2000/XP, и даже может быть запущена в 32-битных Windows Vista/Windows 7. Правда, на практике выяснилось, что в этих ОС утилита работает нестабильно и может привести к зависанию системы.
Версия 7.04 также прекрасно работает в среде Windows 2K/XP, но при попытке запуска в Windows Vista и старше - выдаст сообщение о том, что система не поддерживается и предложит воспользоваться утилитой Process Monitor.
Программа не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке regmon.hlp .
После запуска исполняемого файла regmon.exe. на экран выводится окно настроек фильтров перехвата обращений к реестру и после нажатия Ok программа начнет работу. О настройке фильтров Regmon подробно будет рассказано ниже.
Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде таблицы, каждой строке которой соответствует запись об обращении к реестру. Для остановки процесса перехвата нужно щелкнуть мышкой по кнопке с лупой, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.
Двойной щелчок на отдельной строке вызовет запуск редактора реестра с переходом на раздел или ключ, соответствующий данной записи. Порядок следования строк соответствует времени выполнения операций. Информация в окне вывода данных разделена на семь столбцов:
# - номер строки с начала сессии перехвата обращений к реестру .
Time - время обращения. Формат времени (часы или секундомер) можно задать с использованием меню Options- Clock Time. Для формата часов можно установить точность отображения времени с помощью - Options - Show Milliseconds
Process - имя и идентификатор процесса (PID), который вызвал обращение к реестру. Например - svchost.exe:792 - к реестру обращался процесс svchost.exe, идентификатор PID которого равен 792.
Request - тип запроса. Типы запросов отслеживаемые regmon:
OpenKey - Процесс открывает ключ для дальнейших операций над ним.
CloseKey - Процесс закрывает ключ. Для любых обращений к ключу реестра сначала всегда выполняется открытие ключа, а в конце работы с ним - закрытие
CreateKey - Процесс выполняет создание нового ключа реестра.
DeleteKey - Процесс выполняет удаление ключа реестра.
DeleteValueKey - Процесс выполняет удаление значение из ключа реестра.
EnumerateKey - С помощью этого запроса процесс определяет наличие и имена подключей данного ключа. Программа циклически выполняет запрос EnumerateKey до тех пор, пока не будут прочитаны все подключи.
EnumerateValue - С помощью этого запроса определяется значения ключа. Программа циклически выполняет запрос EnumerateValue до тех пор, пока не будут получены все значения ключа.
SetValue - Процесс создает новое значение ключа, или изменяет данные, которые содержат значение по указанному пути в реестре..
QueryKey - Процесс считывает информацию о ключе по указанному пути.
QueryValue - Процесс считывает данные ключа.
LoadKey - Процесс выполняет загрузку куста реестра (hiev).
UnloadKey - Процесс выполняет выгрузку куста реестра.
Path - путь к ключу реестра или обрабатываемому значеню ключа.
Result - Результат выполненного с реестром действия :
SUCCESS - выполнено успешно
NOTFOUND - Ключ или значение не найдено. Данный результат встречается довольно часто и как правило не является ошибкой. Обычно - это признак поиска процессом конкретных данных в реестре.
BUFOVRFLOW - Переполнение буфера. Программа запросила в реестре данные, которые должна получить в буфер определенного объема, но данные в буфер не помещаются. Во многих случаях, размер получаемых из реестра данных заранее неизвестен, поэтому многие приложения инициируют зарос к реестру с помощью функции, одно из значений которой установлено в 0. и если запрашиваемое значение существует, то функция возвращает требующийся размер буфера с признаком BUFOVRFLOW. Поэтому этот результат, как правило, говорит не об ошибке, а о попытке приложения определить размер буфера для хранения данных из реестра.
ACCDENIED - Доступ запрещен. Обычно связано с недостатком полномочий для обращения к реестру по указанному пути.
NOMORE - программе необходимо было получить список вложенных ключей для указанного пути и выполнялось их перечисление по одному. Когда ключей или значений не осталось, был сформирован результат NOMORE
Other - дополнительная информация.
Информация, детализирующая конкретный тип запроса и результат его выполнения. Это могут быть данные, полученные из значения ключа, права доступа, найденные подключи.
Access - желательные права доступа. Наиболее часто используется Access:0x20019 - максимально разрешенный доступ.
SubKeys - после успешного выполнения запроса QueryKeys указывается количество подключей для данного ключа.
"text" - текстовое значение. Обычно данные, хранящиеся в строковых значениях (данные типа STRING)
0xN - шестнадцатеричное значение. (Данные типа DWORD)
Name: - текстовое имя ключа.
XX XX XX XX - шестнадцатеричные числа для двоичных значений (данные типа BINARY)
Основное меню Regmon .Большинство пунктов основного меню утилиты Regmon продублированы в виде значков панели инструментов (Toolbar). Наиболее часто используемые действия можно выполнить с использованием комбинаций клавиш, которые указаны в названии пункта. Например - "Capture Events. CTRL+E". Нажатие CTRL+E изменит режим перехвата событий (включит, если он был выключен, или наоборот, выключит, если был включен)
Пункты основного меню File
Load - открыть из файла ранее сохраненный отчет и просмотреть его
Save - сохранить содержимое окна в файл отчета .
Save As - выбрать другое расположение и имя для файла отчета
Process Properties - свойства процесса, инициировавшего обращение к реестру. (исполняемый файл, путь, параметры командной строки и т.п.)
Exit - завершить работу Regmon
Capture Events - CTRL+E - включить/выключить перехват обращений к реестру.
Пункты основного меню Edit
Copy - скопировать в буфер обмена выделенные строки.
Delete - удалить выделенные строки.
Include Process - добавить выделенный процесс в группу отслеживаемых
Exclude Process - исключить выделенный процесс из группы отслеживаемых
Include Path - добавляет путь из выделенной строки в список отслеживаемых
Exclude Path - исключить путь из выделенной строки из списка отслеживаемых. Find - поиск по всему содержимому буфера перехваченных данных, строки с заданным текстом.
Regedit Jump - быстрый переход в редактор реестра Windows Regedit, и открытие ключа. соответствующего указанному в колонке Path выбранной строки. Если путь недействителен, то переход будет выполнен лишь в той части пути, которая существует.
Clear Display - очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.
Пункты основного меню Options
Font - выбор шрифта для окна
Highlight Colors - выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых (наиболее интересных для анализа). Можно задать цвет фона (BG) и текста (FG) выбрав нужный цветовой элемент и нажав кнопку Select под свои предпочтения.
Filter/Highlight - определение фильтров для записей, которые должны быть включены / исключены из перехваченных данных, и строк, выделяемых подсветкой. Более подробно о фильтрах - ниже по тексту.
History Depth - максимальное число перехватываемых событий. (0 - без ограничений).
Auto Scroll - включить/выключить автоматическую прокрутку содержимого окна, так чтобы всегда можно было видеть последнюю запись.
Clock Time - переключение формата времени (часы или секундомер)
Show Milliseconds - дополнительно в значении времени показывать миллисекунды.
Always On Top - окно программы всегда поверх всех остальных окон
Log Boot - отслеживать обращения к реестру в процессе загрузки Windows. После выбора этого пункта меню, программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:
После перезагрузки, в корневом каталоге системы (C:\Windows) будет создан файл Regmon.log с данными мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки. Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, поэтому все обращения к реестру, произошедшие до его старта, не будут отслежены. Просмотр журнала мониторинга можно выполнить с использованием меню File - Open
Установка фильтров программы Regmon .По умолчанию, утилита Regmon настроена на вывод информации об обращениях к реестру Windows, выполняемых всеми процессами и приложениями, но в программе предусмотрена возможность фильтровать выходные данные. Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Regmon Filters ) в любой момент времени c использованием меню программы или комбинации клавиш CTRL+L
Фильтры позволяют ограничить вывод данных Regmon исходя из имени процесса, пути в реестре, типа запроса и результатов его выполнения. Для настройки фильтров можно использовать три текстовых поля. Фильтры разделяются друг от друга символом "точка с запятой". Возможно использование символа * (звездочка) в качестве шаблона (wildcard).
Include - только процессы и пути реестра, перечисленные в этом поле, будут выводиться в списке выходных данных Regmon.
Exclude - процессы и пути реестра, перечисленные в этом поле, не будут выводиться в списке выходных данных Regmon.
В поле Highlight указываются фильтры по которым определяются выделяемые из выходного списка строки.
В нижней части окна настройки фильтров имеется несколько флажков ( checkboxes ) фильтрации элементов списка по типу выполняемых действий. Если снять все флажки, никакой информации выводиться не будет. Установка флажка определяет, какие операции будут выводиться в окне данных.
Log Opens - выводить данные об операциях, связанных с открытием или закрытием ключей.
Log Reads - выводить данные об операциях чтения из реестра ( QueryKey и QueryValue ).
Log Writes -выводить данные об операциях записи в реестр ( SetValue ).
Log Errors - выводить данные об операциях, завершившихся с ошибкой. Надо учитывать, что ошибки при обращении к реестру далеко не всегда говорят о какой-либо проблеме с реестром, а чаще всего вызваны логикой работы процесса, обращающегося к реестру.
Log Successes - выводить данные об операциях, выполненных успешно .
Программа запоминает историю вводимых фильтров. При старте используется последний заданный фильтр. Для сброса критериев фильтрации в исходное значение используется кнопка Defaults в окне Regmon Filters На практике, для фильтрации выводимых данных, удобнее использовать меню, вызываемое правой кнопкой мышки на выбранной строке
Include Process и Include Path - добавить в поле Include процесс или путь, отображаемый в текущей строке.
Exclude Process и Exclude Path - исключить из выходных данных Regmon процесс или путь, отображаемый в текущей строке.
Практика применения утилиты Regmon .Для освоения работы с Regmon, проще всего начать с использования перехвата обращений к реестру той программы, логика работы которой вам известна. Например - редактор реестра Windows regedit.exe. Для фильтрации можно взять следующие значения:
Include - regedit
Exclude - оставляете пустым
Поле Highlihgts тоже можно оставить пустым. При необходимости, критерии подсвечивания и исключения можно всегда задать в ходе работы, когда начнется перехват обращений к реестру.
После начала отслеживания, попробуйте открыть раздел реестра и посмотреть как выглядит последовательность обращений и какие операции выполнялись в процессе выполнения данного действия. Что происходит при чтении или записи отдельных значений.
После приобретения начальных навыков работы с Regmon, попробуйте определить, например, где и в каком виде в реестре хранится информация о домашней странице обозревателя Internet Explorer (IE). В качестве дополнительной информации:
- желательно определить имя процесса для Include-фильтра, чтобы уменьшить объем ненужной информации.
- проще всего найти данную настройку в реестре Windows, если вручную изменить домашнюю страницу IE на известное вам значение.
- включать режим перехвата обращений к реестру лучше непосредственно перед выполнением изменения домашней страницы IE, чтобы уменьшить объем анализируемой информации, не относящейся к искомой проблеме.
Ну, и если возникнут затруднения, попробуйте задать в фильтре HighLights текст соответствующий выводимому значению домашней страницы в настройках обозревателя.
Если вы желаете поделиться ссылкой на эту страничку в своей социальной сети, можете воспользоваться кнопкой "Поделиться"
Или рекомендовать сайт пользователям Google+
