Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.
В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.
Regshot
Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.
Процесс использования программы состоит из следующих шагов.
- Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
- При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
- Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
- Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
- Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
- Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»).
- После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены.
- При необходимости очистить снимки реестра нажмите кнопку «Очистить».
Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).
Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/
Registry Live Watch
Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.
- После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может).
- Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы.
- При необходимости вы можете сохранить журнал изменений (Save Log).
Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html
WhatChanged
Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.
- В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
- Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние).
- После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
- В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра.
У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).
Еще один способ сравнить два варианта реестра Windows без программ
В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.
Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.
Затем используйте в командной строке команду наподобие:
fc c:\1.reg c:\2.reg > c:\log.txt
Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.
К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.
Windows 11/10 does not have an inbuilt Registry monitoring tool. But what you can do is, harness the Windows command-line program File Compare or fc.exe to compare two registry export files, and thus monitor Windows Registry changes. You can also use some freeware to monitor changes to the Registry on your Windows 11/10/8/7 system.
You can monitor changes to Registry by using the command-line File Compare fc.exe tool or freeware like WhatChanged, RegShot, Sysinternals Process Monitor, etc. Let us take a look at the options available:
- File Compare fc.exe
- WhatChanged tool
- Sysinternals Process Monitor
- RegShot
- MJ Registry Watcher
- Nirsoft RegistryChangesView
Some other tools have been linked here too!
1] File Compare fc.exe
To use this File Compare or fc.exe program, first, export a .reg file, & name it as say rega.
After the change takes place, export the changed .reg file & name it as say, regb.
Now, open a command prompt and type:
fc /u rega.reg regb.reg > regcompare.txt
Since .reg files use Unicode, the /u switch, tells fc.exe to use Unicode.
You can now inspect the output regcompare in Notepad.
2] WhatChanged
You can also try this 3rd party utility WhatChanged to monitor the changes in your Windows 10/8/7 registry, easily.
Simply download this portable app WhatChanged and run it before and after the change.
3] Sysinternals Process Monitor
Sysinternals Process Monitor is a great freeware, to monitor registry changes in real-time. Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such as Session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more.
4] RegShot
RegShot is another small registry compare utility that allows you to quickly take a snapshot of your Registry and then compares it with a second one; done after doing system changes or installing a new software product. The changes report can be produced in text or HTML format and contains a list of all modifications that have taken place between snapshot1 and snapshot2. Get it here.
5] MJ Registry Watcher
MJ Registry Watcher is a simple registry, file, and directory hooker, that safeguards the important startup files, registry keys and values that are commonly attacked by malware. It has very low resource usage, and is set to poll every 30 seconds by default, although you can adjust this to anywhere between 0 and 9999. Download it here.
6] RegistryChangesView
RegistryChangesView from Nirsoft lets you to take a snapshot of the Registry and later compare it with another Registry snapshot. When comparing 2 Registry snapshots, you can see the exact changes made in the Registry between the 2 snapshots. You can also export the Registry changes.
Should I use Registry Cleaners in Windows 11?
Some Registry Cleaners claim that they remove redundant items from Windows Registry, thus, making your computer faster. However, this is not true. Registry Cleaners do not make a Windows computer faster. Instead, they only delete the broken registry keys in your Registry. Microsoft does not support Registry Cleaners. According to Microsoft, you should not use Registry Cleaners, as they can delete the wrong keys due to which serious errors can occur on your system.
How do I fix Windows 11 registry errors?
Registry errors can occur due to corrupted or damaged registry keys, duplicate registry keys, virus or malware infection, fragmented registry, etc. You can fix the registry errors by repairing your system files, performing an Automatic Repair, etc. If these fixes do not work, perform a System Restore or In-place Upgrade.
BONUS TIPS:
- You can use a PowerShell script to monitor changes to a registry key. You can read the details here on devblogs.microsoft.com.
- You can also use PowerShell commands to track Registry changes. You can get the details here @Lee_Holmes.
There are other tools that can help you monitor the changes in the Windows Registry; they are:
- Registry Live Watch
- LeeLu Monitors AIO System Monitor
- FRSSystemWatch
- RegFromApp
- Registrar Registry Manager Lite.
These may also interest you:
- De-Mystifying Windows Registry.
- How To Back Up, Restore, Maintain Windows Registry.
- How To Restrict Access to Registry Editor, etc.
- How to open multiple instances of the Registry.
Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.
Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security. Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.
Давайте же посмотрим, как задействовать эти инструменты.
Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.
Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».
Сохраните настройки.
Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.
Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».
Для примера мы выбрали подраздел SOFTWARE, именно в него заносят записи большинство устанавливаемых приложений.
В открывшемся окошке жмем «Дополнительно».
И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».
В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».
И еще раз «OK».
Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.
Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:
• 4656 — код указывает на попытку пользователя получить доступ к ключу реестра.
• 4657 — этот код указывает на изменение какого-либо параметра в реестре.
• 4660 — запись с этим кодом события будет сделана при удалении параметра.
• 4663 — код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.
Рассмотрим всё на конкретном примере.
Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».
Вводим код интересующего нас события в поле фильтра.
Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.
Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.
Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.
Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.
Загрузка…
Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.
Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.
Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.
Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe. Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.
Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду
fc c:\1.reg c:\2.reg > c:\log.txt
В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с кодировкой.
Выше я использовал MS Word и формат .doc.
Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Test был добавлен параметр Primer. Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в regedit).
Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff. Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, по этой ссылке.
Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%\System32. Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду
windiff C:\1.reg C:\2.reg
Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.
- Строки на белом фоне означают совпадение содержимого файлов;
- Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
- Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).
У нас есть желтая строка с содержимым «Primer»=»». Это говорит о том, что во втором файле появился параметр Primer с пустым значением. И находится он в HKEY_LOCAL_MACHINE\SOFTWARE\Test. Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.
Перейдем к сторонним утилитам мониторинга реестра.
Популярным бесплатным решением является программа Regshot. Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.
Сперва нужно сделать первый снимок реестра.
Некоторое время уйдёт на этот процесс. Далее проводим операции с компьютером, которые хотим зафиксировать, и делаем второй снимок.
После чего их можно сравнить.
После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты. Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.
Более ненужные снимки можно удалить, нажав кнопку Очистить в интерфейсе программы. Скачать программу Regshot можно по этой ссылке.
Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch. Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.
Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor.
Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно здесь.
Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export, синтаксису которой посвящена отдельная статья. Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.
Иногда вам может понадобиться отследить изменения, внесенные программами или настройками в реестр Windows. Например, чтобы отменить эти изменения позже, или чтобы узнать, как работают определенные настройки (e.g. настройки дизайна, обновления операционной системы) записываются в реестр.
В обзоре — популярные бесплатные программы, позволяющие легко просматривать изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.
Содержание
- Regshot
- Живой просмотр реестра
- WhatChanged
- Еще один способ сравнить две версии реестра Windows без программ
Regshot
Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступна на русском языке.
Процесс использования программы состоит из следующих шагов.
- Запустите программу regshot (для русской версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-битных версий Windows).
- При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
- Нажмите на «1st Snapshot» и затем нажмите на «Snapshot» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах).
- Внести изменения в реестр (изменить настройки, установить программу и т.д.).) и попробуйте еще раз.п.). Я включил цветные заголовки окон Windows 10 для примера.
- Нажмите кнопку «2-й снимок» и создайте второй снимок реестра.
- Нажмите кнопку «Сравнить» (отчет будет сохранен по пути, указанному в поле «Путь для сохранения»).
- После проведения сравнения автоматически откроется отчет, и вы сможете увидеть, какие параметры реестра были изменены.
- Если вам необходимо очистить снимки реестра, нажмите на кнопку «Очистить».
Примечание: Вы можете увидеть гораздо больше ключей реестра, которые были изменены, чем вы на самом деле изменили, потому что Windows часто изменяет некоторые ключи реестра во время своей собственной работы (при выполнении технического обслуживания, проверки на вирусы, проверки обновлений программного обеспечения и т.д.).).п.).
Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/
Живой просмотр реестра
Бесплатная программа Registry Live Watch работает по несколько иному принципу: не сравнивая два образца реестра Windows, а отслеживая изменения в реальном времени. Однако программа не показывает изменения, а только уведомляет о том, что они были сделаны.
- Запустив программу, укажите в верхнем поле, какой раздел реестра вы хотите отслеживать (t.е. программа не может отслеживать весь реестр сразу).
- Нажмите «Start Monitor», и уведомления об изменениях будут отображаться в списке в нижней части окна программы.
- При необходимости вы можете сохранить журнал изменений (Save Log).
Вы можете скачать программу с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html
WhatChanged
Еще одна программа, позволяющая узнать, что изменилось в реестре в Windows 10, 8 или Windows 7 — WhatChanged. Его использование очень похоже на использование первой программы в этом обзоре.
- Отметьте «Сканировать реестр» в разделе Scan Items (программа также может отслеживать изменения в файлах) и выберите элементы реестра, которые необходимо отслеживать.
- Нажмите кнопку «Шаг 1 — Получить базовое состояние».
- После внесения изменений в реестр нажмите на кнопку Шаг 2, чтобы сравнить исходное состояние с измененным.
- Отчет будет сохранен в папке с программой (файл WhatChanged_Snapshot2_Registry_HKCU.txt), содержащий информацию об измененных параметрах реестра.
У него нет своего официального сайта, но его можно легко найти в интернете и он не требует установки на ваш компьютер (на всякий случай, перед запуском проверьте его с помощью virustotal).com, помня о том, что в исходном файле есть одно ложное открытие).
Еще один способ сравнить две версии реестра Windows без программ
В Windows есть встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), с помощью которого, в частности, можно сравнить два варианта ветвей реестра.
Для этого с помощью редактора реестра Windows экспортируйте нужную ветку реестра (правый клик на разделе — экспорт) до изменений и после изменений с разными именами файлов, например.g. 1.реестр и 2.reg.
Затем используйте в командной строке команду, подобную этой:
fc c:\1.reg c:\2.reg > c:\log.txt
Где сначала указываются пути к двум файлам реестра, а затем путь к текстовому файлу результатов сравнения.
К сожалению, этот метод не подойдет для мониторинга значительных изменений (так как визуально в отчете ничего не видно), а только для небольшого раздела реестра с парой параметров, где предполагается изменение, и скорее для мониторинга самого факта изменения.