Мониторинг реестра. Какие программы обращаются к реестру.

    Одной из лучших программ для мониторинга реестра, с моей точки зрения, является RegMon Марка Руссиновича - маленькая и функциональная утилита, не требующая инсталляции и работающая в операционных системах Windows NT, 2000, XP, 2003, Windows 95, 98, Me и 64-разрядных версиях Windows для архитектуры x64. Скачать RegMon.exe v7.04, 700кб В настоящее время, после появления Windows Vista/ Windows 7, утилита Regmon заменена утилитой Process Monitor. Работе с данными программными средствами мониторинга реестра посвящены отдельные статьи, ссылки на которые, имеются на главной странице сайта.     Не смотря на появление Process Monitor , утилита Regmon по прежнему популярна в среде системных администраторов и опытных пользователей Windows. Regmon позволяет в реальном масштабе времени отслеживать, какие приложения обращаются к реестру, в какие разделы, какую информацию они читают или пишут. Информация выдается в удобном виде, который можно настроить под свои нужды - исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.     После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра: По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей: Include - Если * - выполнять мониторинг для всех процессов. Имена процессов разделяются символом ";". Например - FAR.EXE;Winlogon.exe - будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe. Exclude - какие процессы исключить из результатов мониторинга. Highlight - какие процессы выделить выбранным цветом (по умолчанию - красным).     Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию - фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса - Include process - включить данный процесс в мониторинг - Exclude process - исключить данный процесс из мониторинга. После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов). Назначение колонок: # - номер по порядку Time - Время. Формат времени можно изменить с помощью вкладки Options Process - имя процесса:идентификатор процесса (PID) Request - тип запроса. OpenKey - открытие ключа (подраздела) реестра, CloseKey - закрытие, CreateKey - создание, QueryKey - проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey - получить список имен подразделов указанного раздела, QueryValue - прочитать значение параметра, SetValue - записать значение. Path - путь в реестре. Result - результат выполнения операции. SUCCESS - успешно, NOT FOUND - ключ (параметр) не найден. ACCESS DENIED - доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW - переполнение буфера - результат операции не помещается в буфере программы. Other - дополнительная информация, результат выполненного запроса.     Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню - Exclude process - информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы. Небольшим недостатком программы является ограниченное количество возможных фильтров.     При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш: CTRL-S - сохранить результаты CTRL-P - свойства выбранного процесса CTRL-E - включить/выключить мониторинг CTRL-F - поиск по контексту CTRL-C - копировать выбранную строку в буфер обмена CTRL-T - изменить формат времени CTRL-X - очистить окно результатов мониторинга CTRL-J - запустить редактор реестра и открыть ветвь указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время. CTRL-A - включить/выключить автоматическую прокрутку CTRL-H - позволяет задать число строк результатов мониторинга     Еще одна очень полезная возможность - получить журнал обращений к реестру в процессе загрузки операционной системы. Для этого выбираете меню Options-Log Boot. Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в ходе следующей перезагрузки ОС:     После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч. Подробное описание утилиты Regmon и ее использования для мониторинга реестра. Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows , который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ. Недостатком программы можно считать вероятность зависания при большом количестве отслеживаемых событий. В случае Windows 2000/XPдля отслеживания обращений к реестру, удобнее использовать Regmon. Здесь отдельная статья с описанием утилиты Process Monitor и примеры работы с ней.