• использование механизма фильтрации (возможность отслеживания обращений к реестру отдельных программ, в том числе с применением маски);
• поиск требуемой позиции списка;
• оперативный переход в системный реестр с позиционированием на объекте реестра, который соответствует текущему элементу списка обращений.
Описание режимов работы
При входе в программу на экране открывается окно, представленное на рис. 5.55.
Рис. 5.55. Рабочее окно Registry Monitor
В окне содержится перечень всех обращений к системному реестру, который постоянно пополняется. При этом по умолчанию включен режим автоматического перехода на последнюю запись списка. Для каждой позиции списка в соответствующих столбцах отображается аналитическая информация. Выбор требуемого режима работы программы осуществляется с помощью кнопок панели инструментов. Эти кнопки дублируются соответствующими командами главного меню программы. Далее мы рассмотрим все команды программы Registry Monitor (большинство из них вызываются нажатием соответствующих сочетаний клавиш).
• File → Save – предназначена для сохранения текущего списка в отдельном файле (с расширением LOG). Эту команду (активизируется также нажатием сочетания клавиш Ctrl+S) удобно использовать для последующего изучения текущего списка обращений к реестру.
• File → Capture Events – используется для временной приостановки и последующего включения слежения за обращениями к реестру. Данную команду (вызывается также нажатием сочетания клавиш Ctrl+E) рекомендуется применять, например, перед сохранением списка.
• File → Process Properties – при выполнении данной команды (вызывается также нажатием сочетания клавиш Ctrl+P) на экране отображается окно с расширенной информацией об элементе списка, на котором установлен указатель мыши. Аналогичная команда имеется в контекстном меню данного окна.
• Edit → Copy и Edit → Delete – предназначены для копирования текущей записи и удаления ее из списка соответственно. Этим командам соответствуют нажатия сочетания клавиш Ctrl+C и клавиши Delete.
• Edit → Find – включает режим поиска. При ее выполнении (команда выполняется также нажатием сочетания клавиш Ctrl+F) на экране отображается окно настройки параметров поиска (рис. 5.56).
Рис. 5.56. Настройка параметров поиска
В данном окне в поле Что вводится текст для поиска. Установив флажки Только слово целиком и С учетом регистра, вы включите дополнительные параметры поиска. Переключатель Направление определяет направление поиска: к началу списка (Вверх) или к концу (Вниз). Поиск запускается нажатием кнопки Найти далее.
• Edit → Regedit Jump – при выполнении команды (вызывается и нажатием сочетания клавиш Ctrl+J) на экране отображается окно стандартного Редактора реестра с позиционированием на том объекте, к которому произошло обращение из выделенной в списке позиции.
• Edit → Clear Display – предназначена для очистки списка обращений к реестру. При ее выполнении (активизируется также нажатием сочетания клавиш Ctrl+X) очищается список обращений к реестру. Следует учитывать, что данная операция при большом количестве обращений к реестру выполняется достаточно долго, в некоторых случаях возможно даже «зависание» компьютера.
• Options → Font – позволяет настроить параметры шрифта. При ее выполнении на экране отображается окно Regmon Font, в котором по обычным правилам Windows устанавливаются требуемые параметры шрифта.
• Options → Filter/Highlight – дает возможность установить/снять фильтры на отображаемые данные. При ее выполнении (вызывается также нажатием сочетания клавиш Ctrl+L) на экране отображается окно Regmon Filter, в котором настраиваются параметры фильтра. Возможности программы позволяют, например, отслеживать обращения к реестру только некоторых приложений. При этом в окне настройки параметров фильтра предусмотрена возможность использования маски. Для применения фильтра следует последовательно нажать кнопки Apply и OK; значения фильтра по умолчанию восстанавливаются при нажатии кнопки Defaults.
• Options → History Depth – при выполнении этой команды (можно также воспользоваться сочетанием клавиш Ctrl+H) на экране отображается окно Regmon History Depth, в котором задается количество отображаемых на экране строк. Если в окне установлено значение 0, то количество отображаемых строк не ограничено.
• Options → Auto Scroll – предназначена для включения/выключения режима автоматического размещения на последней позиции списка. Вызывается также нажатием сочетания клавиш Ctrl+A.
• Options → Clock Time – позволяет переключить формат отображения времени, которое показывается во втором столбце таблицы (Time). Возможные варианты – системное время, в которое произошло обращение к реестру, и время в секундах, прошедшее с момента запуска программы Registry Monitor. Для переключения формата отображения можно воспользоваться и сочетанием клавиш Ctrl+T.
Примечание
В некоторых случаях переключение формата отображения времени срабатывает только при включенном режиме автоскроллинга.
• Options → Show Milliseconds – позволяет включить во временной формат отображение миллисекунд. Данная команда доступна, если только включено отображение системного времени, в которое произошло обращение к реестру.
Программа Regshot представляет собой небольшую утилиту для работы с системным реестром. Она позволяет создавать и сравнивать снимки реестра. Использовать Regshot удобно, например, когда необходимо знать, какие изменения в реестр вносит при инсталляции та или иная программа.
Назначение и функциональные возможности
Задачи, решаемые с помощью программы Regshot, можно сформулировать следующим образом:
• создание и сравнение в любой момент времени снимков системного реестра;
• сравнение содержимого папок, хранящихся на компьютере;
• добавление к отчету произвольного комментария;
• выбор языка интерфейса и построения отчета;
• формирование отчета в текстовом либо HTML-формате.
Описание режимов работы
При запуске программы Regshot на экране появляется окно, представленное на рис. 5.57.
Рис. 5.57. Настройка параметров сравнения
Данное окно содержит перечисленные ниже элементы.
• Сохранить файл отчета как – положение переключателя определяет формат сохранения отчета по итогам сравнения. Возможные варианты – Текст либо Документ HTML.
• Учет папок – при установленном флажке появляется поле для указания папок, содержимое которых требуется сравнить. Заполнение данного поля возможно как с клавиатуры (при этом следует учитывать, что пути к соответствующим папкам должны разделяться точкой с запятой), так и с помощью расположенной справа от поля кнопки выбора. При нажатии этой кнопки на экране отображается окно Обзор папок, в котором по обычным правилам Windows указывается требуемый путь.
• Путь для сохранения – в данном поле указывается путь, по которому будет сохранен файл отчета. Возможно заполнение поля как с клавиатуры, так и с помощью расположенной справа от него кнопки выбора.
• Добавить комментарий к отчету – в этом поле при необходимости можно ввести произвольный комментарий к отчету, сформированному по итогам сравнения. Этот комментарий будет содержаться в верхней части отчета в строке Комментарий; кроме того, в соответствии с комментарием будет называться файл отчета.
• 1й снимок – при нажатии этой кнопки открывается подменю, содержащее команды Снимок, Снимок+сохранить и Открыть. С помощью команды Снимок запускается процесс создания снимка. Команда Снимок+сохранить, помимо создания снимка, позволяет сохранить его по указанному пути в файле с расширением HIV (окно Сохранить как, в котором по обычным правилам Windows указывается требуемый путь, открывается сразу после создания снимка). Команда Открыть используется, когда для сравнения требуется взять не заново созданный снимок, а сохраненный ранее. При выполнении команды на экране отображается окно Открыть, в котором указывается путь к открываемому HIV-файлу с сохраненным ранее снимком.
• 2й снимок – данная кнопка работает аналогичным образом, с той разницей, что предназначена для создания второго снимка. В процессе создания снимков в нижней части окна отображается информация о количестве просканированных разделов реестра, параметров и прошедшем с начала сканирования времени.
• Сравнить – при нажатии этой кнопки запускается процесс сравнения снимков с формированием отчета в соответствии с заданными настройками.
Примечание
Кнопки 1й снимок, 2й снимок и Сравнить становятся доступными последовательно: сначала доступна кнопка 1й снимок, после создания снимка – кнопка 2й снимок, а после создания второго снимка – кнопка Сравнить. При открытии доступа к последующей кнопке предыдущая вновь становится недоступной.
• Очистить – при нажатии этой кнопки удаляется старая информация.