Как отследить изменения в реестре windows

Registry activity can be monitored using specialized software

by Ivan Jenic

Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more

Updated on October 4, 2023

When you install certain software, it makes a few changes to your registry. Now, it’s no surprise that this can go either way, but fortunately, registry activity can be monitored with the help of specialized tools.

You can monitor registry changes and keep track of all the keys and entries along with their status by using registry monitoring tools. But why would you want to do that?

Tools such as Registry Editor let you edit, but it’s hard to monitor changes with it. This is why many are using specialized software, and speaking of which, we’ll show you the best tools you can use today.

In this article

• What does registry monitor do?
• What is the best tool to monitor registry changes?
• Regshot — Windows registry change tracker + snapshot feature
• Tiny Watcher — Lightweight and simple to use
• RegFromApp — Record registry changes directly in a .reg file
• Process Monitor — Monitor registry changes in real-time
• MJ RegWatcher — Extremely lightweight
• How do I monitor my registry activity? Reg and FC Method

What does registry monitor do?

Registry monitor will keep track of your registry and inform you if any changes are made. You can analyze the changes and see which applications modify your registry.

Doing so can prevent malware or potential issues with your system. Some applications can approve or deny changes, so you can block suspicious applications from affecting your registry.

Regshot – Windows registry change tracker + snapshot feature

You wanted to know, and we’re here to answer – Can registry activity be monitored with the help of RegShot? Without a shred of a doubt.

Regshot is a very useful tool for monitoring changes in your registry. Besides showing the current state of your Windows registry, it allows you to take a screenshot of it and save it for later comparison.

Regshot is a free and open-source tool that works on both 32-bit and 64-bit versions of Windows.

Besides the Windows registry, Regshot also allows you to take a snapshot of the Windows directories. You can download this open-source registry monitoring tool from SourceForge for free.

Other great features:

• Ability to monitor registry
• Snapshot feature
• Free and open source
• Works with Windows directories

⇒ Get Regshot

Tiny Watcher – Lightweight and simple to use

This is another small but incredibly useful software that can track registry changes. The software will capture all running processes, files, registry entries, and scheduled tasks.

Thanks to the built-in notifications, you’ll be informed with an item is created, modified, or deleted. In addition, you can use this software to customize the monitored items.

It’s worth mentioning that there’s SHA-256 support, and it’s used to detect file changes. Overall, it’s a simple but useful software, so be sure to try it.

Other great features:

• Monitors processes, files, registry entries, and tasks
• Notification for changes
• SHA-256 support
• Ability to manually approve or reject changes

⇒ Get Tiny Watcher

RegFromApp – Record registry changes directly in a .reg file

RegFromApp is a registry monitoring tool that smoothly monitors all the changes in the registry made by Windows or a certain program you selected.

It also creates a RegEdit registration file (.reg) which stores all registry changes and modifications made by the program or an app you installed.

This .reg file could import all registry changes with RegEditApp, if needed. You can download RegFromApp for free from its developer’s website.

Should you be unable to edit the registry due to insufficient permissions, take a look at our expert tips and regain access.

Other great features:

• Easy-to-use interface
• Monitors registry changes associated with one application
• Compatible with all versions of Windows
• Completely free

⇒ Get RegFromApp

Process Monitor – Monitor registry changes in real-time

Process Monitor is another very popular, free registry monitoring utility that offers some advanced options. So how to use Process Monitor? It could not be easier!

Simply download Process Monitor for registry changes, run the .exe file, and install it on your hard drive. It works in real-time and shows all system files, registry changes, and processes/threads of your system.

This tiny tool is also able to fix your registry if there are some errors, as well as to remove malware and other types of malicious software.

You can download this real-time registry change monitor tool for free.

Other great features:

• Ability to show you changes in real-time
• Filter feature
• Process tree
• For advanced users

⇒ Get Process Monitor

MJ RegWatcher – Extremely lightweight

When you first start this software, you’ll notice its simplistic interface, but don’t let that discourage you. The software will scan your registry for changes in determined intervals.

Once a change is detected, you’ll be prompted, or you can configure the software to accept or reject all changes automatically.

The software is simple to use, and it comes with a built-in log so you can keep a close eye on all the registry changes that have occurred on your system.

Other great features:

• Simple to use
• Built-in log
• Automatically scans registry
• Ability to automate actions

⇒ Get MJ RegWatcher

How do I monitor my registry activity? Reg and FC Method

And now something for those who don’t like using third-party software for performing system tasks or any other tasks in Windows 10.

Read more about this topic

• Error Accessing the Registry [Fixed by experts]
• 3 Ways to Clean the Registry in Windows 11
• The best registry finder software for Windows 10/11
• 10 Best Bandwidth Monitors For Windows 10/11 [2023 Guide]
• 7 best tabbed command line tools for Windows 10

If you don’t feel like using specialized registry monitoring tools, Reg and FC is Windows’ built-in command line from the Windows registry. And it allows you to monitor and compare the states of your registry.

Before comparing the registry changes, export all the important registry keys you want to monitor (when your system is performing well) to a text file and export these keys again after a few changes or new installations.

Now compare both files with fc.exe:

1. Go to search and type fc.exe.
    
2. Open fc command and enter the following command line: fc 1st.reg 2nd.reg > result.txt
   
3. This command will compare both files and save them in the same directory as .text file.

Now, you know what tools you can install on your Windows 10 computer to keep an eye on the Registry changes that various apps and software operate on the OS.

Knowing what’s changed is one thing, but knowing how to revert the changes is another. So, if you want to eliminate all the changes, you can use a Restore Point, provided that you already created one.

This will help you undo registry changes in Windows 10, should you need to.

Additionally, if you want to reset your Registry, you can install one of these registry cleaners and run it on your machine.

We hope that you’ll find at least one of these tools useful and will help you monitor registry changes easily.

If you have some comments or suggestions or maybe know some other powerful tools for monitoring registry changes, reach us in the comments below, we would love to hear your opinion.

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением. 

chcp 1251

Скачать утилиты можно по ссылкам:

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv

Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.

Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security. Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.

Давайте же посмотрим, как задействовать эти инструменты.

Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.

Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».

Сохраните настройки.

Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.

Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».

Для примера мы выбрали подраздел SOFTWARE, именно в него заносят записи большинство устанавливаемых приложений.

В открывшемся окошке жмем «Дополнительно».

И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».

В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».

И еще раз «OK».

Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.

Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:

• 4656 — код указывает на попытку пользователя получить доступ к ключу реестра.
• 4657 — этот код указывает на изменение какого-либо параметра в реестре.
• 4660 — запись с этим кодом события будет сделана при удалении параметра.
• 4663 — код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.

Рассмотрим всё на конкретном примере.

Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».

Вводим код интересующего нас события в поле фильтра.

Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.

Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.

Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.

Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.

Иногда вам может понадобиться отследить изменения, внесенные программами или настройками в реестр Windows. Например, чтобы отменить эти изменения позже, или чтобы узнать, как работают определенные настройки (e.g. настройки дизайна, обновления операционной системы) записываются в реестр.

В обзоре — популярные бесплатные программы, позволяющие легко просматривать изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступна на русском языке.

Процесс использования программы состоит из следующих шагов.

1. Запустите программу regshot (для русской версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-битных версий Windows).
2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
3. Нажмите на «1st Snapshot» и затем нажмите на «Snapshot» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах). 
4. Внести изменения в реестр (изменить настройки, установить программу и т.д.).) и попробуйте еще раз.п.). Я включил цветные заголовки окон Windows 10 для примера.
5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра. 
6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути, указанному в поле «Путь для сохранения»). 
7. После проведения сравнения автоматически откроется отчет, и вы сможете увидеть, какие параметры реестра были изменены. 
8. Если вам необходимо очистить снимки реестра, нажмите на кнопку «Очистить».

Примечание: Вы можете увидеть гораздо больше ключей реестра, которые были изменены, чем вы на самом деле изменили, потому что Windows часто изменяет некоторые ключи реестра во время своей собственной работы (при выполнении технического обслуживания, проверки на вирусы, проверки обновлений программного обеспечения и т.д.).).п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Живой просмотр реестра

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не сравнивая два образца реестра Windows, а отслеживая изменения в реальном времени. Однако программа не показывает изменения, а только уведомляет о том, что они были сделаны.

1. Запустив программу, укажите в верхнем поле, какой раздел реестра вы хотите отслеживать (t.е. программа не может отслеживать весь реестр сразу). 
2. Нажмите «Start Monitor», и уведомления об изменениях будут отображаться в списке в нижней части окна программы. 
3. При необходимости вы можете сохранить журнал изменений (Save Log).

Вы можете скачать программу с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре в Windows 10, 8 или Windows 7 — WhatChanged. Его использование очень похоже на использование первой программы в этом обзоре.

1. Отметьте «Сканировать реестр» в разделе Scan Items (программа также может отслеживать изменения в файлах) и выберите элементы реестра, которые необходимо отслеживать.
2. Нажмите кнопку «Шаг 1 — Получить базовое состояние». 
3. После внесения изменений в реестр нажмите на кнопку Шаг 2, чтобы сравнить исходное состояние с измененным.
4. Отчет будет сохранен в папке с программой (файл WhatChanged_Snapshot2_Registry_HKCU.txt), содержащий информацию об измененных параметрах реестра. 

У него нет своего официального сайта, но его можно легко найти в интернете и он не требует установки на ваш компьютер (на всякий случай, перед запуском проверьте его с помощью virustotal).com, помня о том, что в исходном файле есть одно ложное открытие).

Еще один способ сравнить две версии реестра Windows без программ

В Windows есть встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), с помощью которого, в частности, можно сравнить два варианта ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте нужную ветку реестра (правый клик на разделе — экспорт) до изменений и после изменений с разными именами файлов, например.g. 1.реестр и 2.reg.

Затем используйте в командной строке команду, подобную этой:

fc c:\1.reg c:\2.reg > c:\log.txt

Где сначала указываются пути к двум файлам реестра, а затем путь к текстовому файлу результатов сравнения.

К сожалению, этот метод не подойдет для мониторинга значительных изменений (так как визуально в отчете ничего не видно), а только для небольшого раздела реестра с парой параметров, где предполагается изменение, и скорее для мониторинга самого факта изменения.