Отслеживайте изменения в реестре в Windows 10/8/7 с помощью встроенного инструмента FC.exe

Windows не имеет встроенного инструмента мониторинга реестра. Но вы можете использовать программу командной строки Windows File Compare или fc.exe , чтобы сравнить два файла экспорта реестра и, таким образом, отслеживать изменения реестра Windows. Вы также можете использовать некоторые бесплатные программы для отслеживания изменений в реестре в вашей системе Windows 10/8/7.

Отслеживать изменения в реестре

Сравнение файлов fc.exe

Чтобы использовать эту программу сравнения файлов или fc.exe, сначала экспортируйте файл .reg и назовите его, например, rega .

После того, как изменение произойдет, экспортируйте измененный файл .reg и назовите его, скажем, regb .

Теперь откройте командную строку и введите:

Поскольку для файлов .reg используется Unicode, переключатель /u указывает fc.exe использовать Unicode.

Теперь вы можете проверить вывод regcompare в Блокноте.

WhatChanged

Вы также можете попробовать эту стороннюю утилиту WhatChanged , чтобы легко отслеживать изменения в реестре Windows 10/8/7.

Просто скачайте это переносное приложение и запустите его до и после изменений.

Sysinternals Process Monitor

Sysinternals Process Monitor – отличное бесплатное программное обеспечение для мониторинга изменений реестра в режиме реального времени. Process Monitor – это расширенный инструмент мониторинга для Windows, который в режиме реального времени показывает файловую систему, реестр и активность процессов/потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая расширенную и неразрушающую фильтрацию, всесторонние свойства событий, такие как идентификаторы сеансов и имена пользователей, надежную информацию о процессах, полные потоки стека с интегрированной поддержкой символов для каждой операции одновременное ведение журнала в файл и многое другое.

RegShot

RegShot – еще одна небольшая утилита сравнения реестра, которая позволяет быстро сделать снимок реестра и сравнить его со вторым. сделано после внесения системных изменений или установки нового программного продукта. Отчет об изменениях может быть создан в текстовом или HTML-формате и содержит список всех изменений, которые произошли между моментальными снимками1 и моментальными снимками2. Получи это здесь.

Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они:

1. Реестр Live Watch
2. LeeLu Мониторы Системный монитор AIO
3. RegFromApp
4. Регистратор реестра Менеджер Lite.

Они также могут вас заинтересовать.

1. Де-мистификация реестра Windows.
2. Как сделать резервную копию, восстановить, поддерживать реестр Windows.
3. Как ограничить доступ к редактору реестра и т. Д.
4. Как открыть несколько экземпляров реестра в Windows.

Что изменило реестр: ищем виновника и причину.

Отслеживание изменений в реестре – один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров. Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок.

Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о “встроенных” возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.

В Windows аудитом изменений реестра “занимается” специальная служба под наименованием Object Access Audit Policy , а за конкретным ключом будет присматривать Audit Security . После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.

Вся процедура подразумевает три пункта:

• активация политики Аудита
• активация SACL
• просмотр Журнала событий и поиск по фильтрам

Перед тем, как начать…

Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки. Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров. Так что:

• этот режим, вероятно, носит временный характер
• для очистки Журнала воспользуйтесь информацией из статьи по ссылке выше.

А мы приступаем.

Что изменило реестр: настраиваем групповую политику

• с помощью быстрой команды отправляемся в редактор политики

• найдём настройку Политики Аудита и справа выберем Аудит доступа к объектам:

• выставим пару галочек для формирования событий:

• Соглашаемся, закрываем окна и выходим из редактора

Что изменило реестр: настраиваем события в самом реестре

• заходим в редактор реестра

• ищем ключ, изменения в котором нужно отслеживать. Для примера я возьму параметр, в который часто лезут программы (раздел огромный, в Журнале ему будет тесно, конечно):

• через Разрешения выходим на окно Безопасности, в котором выберем кнопку Дополнительно. И окажемся в окне Дополнительных параметров безопасности для искомого ключа. Следуем по пути, мною указанному (вкладка Аудит – кнопка Добавить – в окне имён пишем Все и закрепим кнопкой Проверить имена):

• появится окно Объекта для элемента аудита. Выставляем Полный доступ на Успех и Отказ:

• Применить и ОК. Можно из реестра выходить, здесь закончили.

Что изменило реестр: проверяем

Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:

В левой части консоли раскрываем Журналы Windows -> Безопасность:. Событий там много из без того, так что нам лишь стоит выставить необходимы фильтры по идентификационным номерам (все вам вряд ли понадобятся, читайте описание для каждого). Это:

• 4656 – это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем.
• 4657 – параметр реестра изменился
• 4660 – параметр удалён
• 4663 – это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел

Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:

Подробности события – в одноимённой вкладке для каждого из них:

Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.

Отслеживание изменений в реестре Windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
3. При необходимости вы можете сохранить журнал изменений (Save Log).

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

19.01.2018 в 15:26

docs.microsoft.com/ru-ru/sysinternals/downloads/procmon
правильнее с методической точки зрения — пусть читатели познакомятся заодно со всем этим иногда бесценным хозяйством от Руссиновича )

20.01.2018 в 09:17

Вообще, да, стоило Process Monitor упомянуть, конечно.

31.01.2018 в 00:50

Здравствуйте !
я опять к Вам за помощью! помогите, я в интернете так и не нашёл что нужно
У меня Windows 8, в контекстном меню Рабочего стола пропала строчка Закрепить в панели задач!
Подскажите что и где нужно прописать в реестре что бы в контекстном меню Рабочего стола снова появился пункт «Закрепить в панели задач» !
очень прошу.
спасибо.

31.01.2018 в 09:20

Здравствуйте.
HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft\ Windows\ Explorer
и
HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Windows\ Explorer

В обоих разделах поудалять параметры NoPinningToTaskbar и TaskbarNoPinnedList

10.02.2018 в 20:43

Доброго Вам : )
Добавлю хорошую и проверенную временем (использую уже лет 5, как и коллеги по COMSS) прг «Reg Organizer», правда она не беспл. (600 -700 руб.), но на неё часто бывают акции, очень часто ; ) В принципе это комбайн, я его, как и многие использую только для работы в реестре и для удаления прг (режим отслежывания и поиск хвостов), также она умеет делать снимки реестра до и после, а потом можно сравнить и откатить ежели чё…

17.03.2018 в 14:42

А подскажите пожалуйста, как можно получить в виде ПОНЯТНОГО отчета, а не в виде чьих-нибудь служебных файлов, что произошло в ходе работы установщика, если установка без перезагрузок?

19.09.2019 в 10:41

У меня вопрос посложнее, как узнать, кто писал в реестр?
В разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run регулярно появляется запуск какой-то рекламы cmd.exe /c start адрес сайта. После удаления эта строка появляется снова. Как найти вредителя?

19.09.2019 в 12:55

Может быть прописан в планировщике заданий. Но вообще для начала рекомендую сканирвоание AdwCleaner, он может найти вполне, см. https://remontka.pro/malware-removal-software/

20.09.2019 в 08:08

Действительно, было в планировщике, спасибо.