Чи є спосіб переглянути всі файли та записи реєстру, які встановлює програма?

32

Я намагаюся з’ясувати, чи є спосіб в основному встановити додаток у пісочницю, щоб я міг легко бачити всі створені ним файли та всі записи реєстру, які він додав, не шукаючи комп'ютер, який шукає файли.

Він не повинен бути пісочницею, доки він розповість мені все, що зробив інсталятор. Звичайно, там має бути щось, що робить це. Я знаю, що мій A / V підказує мені, коли він отримує доступ до певних файлів і папок, але я шукаю більш точний підхід, який записує в журнал все, щоб я міг його проаналізувати після.

windows-7  windows  installation  windows-registry  sandbox 
користувач1632018
джерело
Ви можете перевірити зміни в реєстрі в Windows 7, але це залежить від конкретної версії, що використовується.
Doktoro Reichard

Відповіді:

33

  1. Завантажте, розпакуйте та запустіть Process Monitor .

  2. Запустіть інсталятор. Я використовую FileZilla для цього прикладу.

    введіть тут опис зображення

  3. Поки інсталятор працює, ви можете використовувати перехрестя та перетягнути його у вікно інсталятора. Це створить фільтр, в результаті якого в "Моніторі процесів" відображаються лише події, пов'язані з цим процесом.

    введіть тут опис зображення

    Ви також можете зачекати, коли інсталятор закінчить і виберіть його із записаних подій самостійно. Ви можете клацнути правою кнопкою миші ім'я процесу та легко створити фільтр Включити .

  4. Тепер ви матимете журнал кожної файлової системи чи доступу до реєстру інсталятора. Тепер ви можете створити додаткові фільтри для подальшого аналізу даних або використовувати функції, доступні в меню Інструменти .

    Особливо в цьому контексті можуть бути цікаві Зведення файлів та Реєстр реєстрів .

    введіть тут опис зображення

Тим НЕ менше, зверніть увагу , що при фільтрації подій тільки для процесу конкретного, ви могли б пропустити операції, які не викликані безпосередньо сам процес установки. Інсталятор може викликати деякі API Windows, що опосередковано викликає зміну значень реєстру.

Так само, інсталятор може просто породити дочірній процес, який вносить зміни файлів та / або реєстру. Цей дочірній процес також не буде видно, коли ви фільтруєте лише батьківський процес.

Коли процес породжує дочірній процес, це вказуватиметься на операції Створення процесу в Моніторі процесів.

Der Hochstapler
джерело
Привіт Олівер, дякую за детальний підручник. Я дійсно ціную це. Я просто видаляю програмне забезпечення і спробую його одразу після переустановки. Я буду інформувати вас про те, як добре це працює на мене.
користувач1632018
Вау, ця відповідь принижує мою ганьбу. +1 для вас!
MonkeyZeus
Я закінчився таким підходом. Це спрацювало чудово, як тільки я затримався. Я зрозумів, що найкраще встановити фільтри перед рукою, інакше для фільтрації об'єктів у списку списку потрібно дуже багато часу.
користувач1632018
@ user1632018: Якщо у вас є набір фільтрів, які він працює для вас, можливо, також потрібно включити параметр " Видалити відфільтровані події " з меню Фільтр . Тоді відфільтровані події навіть не зберігаються.
Der Hochstapler
9

Я думаю, ви можете шукати щось на кшталт Total Uninstall

Це програмне забезпечення потрібно встановити до програми, яку ви хочете перевірити.

Він веде журнал усіх записів реєстру та створених та змінених файлів.

Він надає графічний інтерфейс для навігації щойно встановлених та контрольованих програм.

MonkeyZeus
джерело
Відповіді лише на посилання погано підходять для SU. Будь ласка, надайте дещо детальне пояснення того, як працює програма та як вона вирішує проблему ОП.
Doktoro Reichard
Це виглядає як приємне програмне забезпечення, але я схилявся до вільного підходу. Це видається перспективним як видалення. Певний час я шукав деінсталятор, який застосував такий підхід. Я закінчився програмою Revo Uninstaller, тому що не зміг її знайти. Revo просто шукає ключі та файли, що містять в них ім'я. Що не завжди є точним і може видалити важливі ключі реєстру, якщо користувач не буде уважним. Тож дякую вам за це, якщо я набридну revo, я, ймовірно, придбаю цю видалення. Для цього використовую, хоча я йду з підходом до монітора процесів.
користувач1632018
Удачі! Звичайно, дайте нам знати, як це йде.
MonkeyZeus
7
  1. Експортуйте весь реєстр перед встановленням
  2. Експортуйте весь реєстр після встановлення

Використовуйте файл diff, щоб отримати відмінності між двома регістрами.

http://support.microsoft.com/kb/171780

Ви можете завантажити програмне забезпечення, щоб зробити це за вас (див. Нижче)

http://www.aplusfreeware.com/categories/util/registry.html

Ще одна річ, яку ви можете зробити, це завантажити "Монітор процесів Sysinternals". Потім ви можете відфільтрувати показані операції, виконані інсталятором. Ви навіть можете відфільтрувати будь-які операції, які ви хочете бачити (RegWrite, RegQueryValue тощо) та зберегти зйомку для подальшого перегляду.

програмне забезпечення - це весело
джерело
Я намагаюся підходити до моніторингу процесів під час розмови. Я дам вам знати, чи добре це працює для мене.
користувач1632018
Ймовірність того, що інша програма змінить реєстр в той час, занадто висока, щоб такий підхід був розумним
розробникbmw
1

Більш зручним для користувачів способом, ніж ProcessMonitor, є використання фактичної програми моніторингу встановлення. Я завжди використовував і віддав перевагу InCtrl5 PCMagazine . Раніше це було безкоштовно, і хоча вони почали стягувати плату за свої комунальні послуги кілька років тому, ви, можливо, все ще зможете знайти копію у того, хто її завантажив, поки вона була безкоштовною та мала безкоштовну ліцензію. Вони також оновили його до InCtrlX, що, мабуть, краще, але не безкоштовно.

Ще один, який мені подобається, - це ZSoft Uninstaller . З десятків таких програм, які я перевірив, це був наступний найкращий InCtrl5. Це також безкоштовно.

Ці програми працюють, роблячи знімок реєстру та файлової системи до та після встановлення, потім роблячи порівняння, щоб з’ясувати, що змінилося (додано, видалено, змінено). На відміну від такої програми, як ProcessMonitor, яка просто відстежує доступ до системи, ці фільтри за фактичними змінами в системі та кращі навіть фільтрують помилкові позитиви, такі як тимчасові файли та зміни, ініційовані ОС.

Synetech
джерело
+1 для InCtrl5 Дуже зручний для цього спосіб.
Ryan_S
0

Ви можете використовувати VMware ThinApp для встановлення програми в пісочному ящику. Він буде записувати та віртуалізувати вашу програму в окремій папці, де ви можете відстежувати весь її вміст. Ось посилання:

http://www.vmware.com/products/thinapp/

Зеешан
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.