Встановлення програми в пісочниці для виявлення маніпуляцій з реєстром Windows


9

Мені хотілося б знати, чи є спосіб виявити, на які параметри реєстру впливає інсталятор. Чи є інші варіанти, ніж запустити повноформатний VM і потім якось порівнювати знімки вуликів реєстру? Якщо це найкращий підхід, будь ласка, поділіться своїм досвідом.

Завдання тут - з'ясувати, де в реєстрі зберігається певна програма. Під час встановлення та в іншому випадку. Це може здатися гарною ідеєю просто запитати розробників, але я раніше стикався з цією ситуацією (не знаючи, де в реєстрі програма зберігає налаштування) і хотів би знайти загальний підхід до цієї проблеми.


Відповіді:


12

Я мав хороший досвід роботи з цими маленькими портативними програмами.
RegFromApp показує лише зміни, внесені вашою цільовою програмою

RegFromApp v1.30 (NirSoft)

RegFromApp відстежує зміни в Реєстрі, внесені вибраною програмою, та створює стандартний файл реєстрації RegEdit (.reg), який містить усі зміни Реєстру, внесені програмою. Ви можете використовувати створений .reg файл для імпорту цих змін за допомогою RegEdit, коли це необхідно.

введіть тут опис зображення

RegShot v1.90

Regshot - це утиліта порівняння реєстру з відкритим кодом (LGPL), яка дозволяє швидко зробити знімок свого реєстру, а потім порівняти його з другим - зробленим після внесення змін у систему або встановлення нового програмного продукту.

введіть тут опис зображення

Інший досвід самостійно:

  • WhatChanged : Занадто повільний, навіть на SSD
  • MJRegWatcher : Важко визначити, яка зміна реєстру була важливою, а яка ні

Другий підхід - це використання Sandboxie разом із SandboxDiff.
Це дає вам можливість побачити, що буде змінено, перш ніж торкнутися вашої живої системи.

Пісочниця

Sandboxie запускає ваші програми в ізольованому просторі, що не дозволяє їм постійно вносити зміни до інших програм і даних на вашому комп'ютері. Ви також можете отримати доступ до всіх змін, які були внесені під час виконання програми.

SandboxDiff

SandboxDiff дозволяє відстежувати зміни в реєстрі та файлах при використанні "Sandboxie" (дивовижна програма, створена Роненом Цуром). Усі записи в Реєстрі та Файлова система, створені / модифіковані програмою з пісочницею (або будь-які дії з пісочницею), відстежуються та перераховуються з SandboxDiff. Дуже корисно, коли користувачі хочуть (перш ніж встановлювати додаток) знати всі зміни, внесені інсталятором в Реєстр і Файлова система.


Гарна відповідь. Я перевірю їх. Дуже дякую!
Ярослав Рахматуллін

1

Ви можете спробувати запустити Process Explorer (безкоштовний інструмент від Microsoft), за допомогою якого ви зможете показати всі файли та ключі, до яких можна отримати доступ під час встановлення.

Буде представлено багато інформації, але ви можете фільтрувати за додатком (вам потрібно знати, що програма запущена під час встановлення, яка може бути чимось на зразок setup.exe або msiexec).


Я думаю, ви мали на увазі монітор процесів .
Моторошний

0

Systracer ідеально робити те, що ви хочете:

SysTracer - це інструмент системної утиліти, який може сканувати та аналізувати ваш комп'ютер, щоб знайти змінені (додані, змінені чи видалені) дані в реєстр та файли.

Існує і безкоштовна, і платна версії.

http://www.blueproject.ro/systracer

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.