что такое registry monitor в автозагрузке
Что такое registry monitor в автозагрузке
Программа была написана программистами Mark Russinovich и Bryce Cogswell, за что им большое спасибо. Официальный сайт программы http://www.sysinternals.com. В данный момент для закачки доступна версия 4.32. Лично я пользуюсь версией 4.25, поэтому и описание буду давать именно по ней. Кстати, на сайте есть еще немало интересных программ, но речь сейчас не о них.
А начну я описание с рассказа о том, что же эта программа делает. А позволяет программа, всего-навсего, отследить ВСЕ обращения к реестру. Неважно, что вы делаете: устанавливаете какой-то софт, работаете с программами или просто запускаете их, Windows постоянно обращается к реестру. И все эти обращения можно зафиксировать с помощью regmon’a. По-моему нет необходимости говорить о том, насколько такая информация может быть полезной. Теперь, проведя любые изменения в настройках системы, вы сможете узнать, где именно в реестре они отражаются. А куда в реестре обращается при запуске ваша любимая программа? И не прописывает ли при установке свежескачанная утилитка какой-нибудь непонятный файл в автозагрузку ;)? А сколько раз бывало, что заканчивался срок работы триальной программы, и для дальнейшей работы она требовала регистрации. Посмотрите с помощью regmon’a, куда она обращается при запуске, и вы без труда найдете в реестре параметр, где указана дата инсталляции. Ну, а дальше все в ваших руках.
Надеюсь, полезностью данной софтины вы уже прониклись, давайте теперь рассмотрим ее поподробнее.
Монитор реестра (Registry Monitor)
Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.
Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.
Интерфейс RegMon
Внешний вид Registry Monitor показан на рисунке 1.
Пример работы с RegMon
RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.
Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.
После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.
Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.
Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.
Контроль реестра. Утилита Registry Monitor
Введение
Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.
Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.
Интерфейс RegMon
Внешний вид Registry Monitor показан на рисунке 1.
Интерфейс Registry Monitor
File:
Информация о процессе
Edit:
Options:
Фильтр
В данном примере собирается информация об обращениях к реестру всех процессов, за исключением IEXPLORE.EXE и Explorer.EXE, причем, все обращения к реестру процесса csrss.exe подсвечиваются в окне другим цветом. Галки внизу окна позволяют собирать только определенные события, как то:
В этом же окне кнопка Defaults сбрасывает все сделанные настроки фильтра в значения, при которых будут собираться все данные.
Пример работы с RegMon
RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.
Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.
Предварительный сбор
Настройка фильтра
Правило в Outlook Express
После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.
Правила в Outlook Express
Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK. Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.
Информация собрана
Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Path Registry Monitor. Подведите курсор поочереди к каждому значению в столбце Path и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это
Щелкните в окне Registry Monitor по записи с самым коротким путем два раза левой кнопкой мыши. Откроется редактор реестра, в котором автоматически будет развернуто дерево разделов до раздела, по которому был выполнен двойной щелчок. Окно реестра показано на следующем рисунке.
Раздел реестра
Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.
Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.
Registry — что это за процесс? (Windows 10)
Приветствую друзья. Данный материал расскажет о компоненте Registry, который может содержать диспетчер задач операционки OS Windows 10.
Registry — что это за процесс?
Коротко ответ: системный процесс, содержащий часть данных реестра (например HKEY_LOCAL_MACHINE\SOFTWARE, HKEY_CURRENT_USER) в оперативной памяти (RAM) для более быстрого доступа к ним.
Простыми словами: компонент позволяет снизить потребление оперативки системным реестром, поэтому оперативки в теории должно стать немного больше. По факту скорее всего изменения незначительны, едва заметны.
Принцип работы: схож с механизмом компрессии данных оперативки, только сжимаются не страницы, а данные разделов реестра.
Процесс появился после апдейта Windows 10 April 2018 Update из-за архитектурных модификаций операционки.
Registry использует очень мало оперативки, не грузит процессор, ведет себя тихо.
Registry — вирус?
Стандартно компонент запускается от имени польхователя Система, описание содержит NT Kernel & System:
Если попробовать узнать папку запуска процесса, нажав правой кнопкой по нему > выбрав пункт расположение — откроется системная директория C:\Windows\System32 с выделенным модулем ntroskrnl.exe:
Соответственно если открылась директория отличная от System32 — возможно под Registry скрывается вирус, необходимо просканировать ПК на наличие компьютерных угроз. Лучшие инструменты против угроз разных типов — Dr.Web CureIT (против опасных угроз), AdwCleaner/HitmanPro (против рекламных модулей).