Как отследить изменение в реестре windows

Иногда может потребоваться отследить изменения, выполняемые программами или настройками в реестре Windows. Например, для последующей отмены этих изменений или для того, чтобы узнать, как те или иные параметры (например, настройки оформления, обновлений ОС) записываются в реестр.

В этом обзоре — популярные бесплатные программы, которые позволяют легко просмотреть изменения в реестре Windows 10, 8 или Windows 7 и некоторая дополнительная информация.

Regshot

Regshot — одна из самых популярных бесплатных программ для отслеживания изменений в реестре Windows, доступная на русском языке.

Процесс использования программы состоит из следующих шагов.

  1. Запустите программу regshot (для русскоязычной версии — исполняемый файл Regshot-x64-ANSI.exe или Regshot-x86-ANSI.exe (для 32-бит версии Windows).
  2. При необходимости переключите интерфейс на русский язык в правом нижнем углу окна программы.
  3. Нажмите по кнопке «1-й снимок», а затем — «снимок» (в процессе создания снимка реестра может показаться, что программа зависла, это не так — подождите, процесс может занять несколько минут на некоторых компьютерах). 
  4. Произведите изменения в реестре (измените настройки, установите программу и т.п.). Я для примера включил цветные заголовки окон Windows 10.
  5. Нажмите кнопку «2-й снимок» и создайте второй снимок реестра. 
  6. Нажмите кнопку «Сравнить» (отчет будет сохранен по пути в поле «Путь для сохранения»). 
  7. После проведения сравнения отчет будет автоматически открыт и в нем можно будет увидеть, какие параметры реестра были изменены. 
    Отчет об изменениях в реестре в Regshot

  8. При необходимости очистить снимки реестра нажмите кнопку «Очистить».

Примечание: в отчете вы можете увидеть куда больше измененных параметров реестра, чем по факту было изменено вашими действиями или программами, так как Windows сама часто изменяет отдельные параметры реестра во время работы (при обслуживании, проверке на вирусы, проверке обновлений и т.п.).

Программа Regshot доступна для бесплатной загрузки на сайте https://sourceforge.net/projects/regshot/

Registry Live Watch

Бесплатная программа Registry Live Watch работает по несколько иному принципу: не путем сравнения двух образцов реестра Windows, а путем мониторинга изменений в режиме реального времени. Однако программа не отображает самих изменений, а лишь сообщает о том, что такое изменение произошло.

  1. После запуска программы в верхнем поле укажите, какой раздел реестра нужно отследить (т.е. следить за всем реестром сразу она не может). 
    Программа Registry Live Watch

  2. Нажмите «Start Monitor» и сообщения о замеченных изменениях будут сразу отображаться в списке внизу окна программы. 
    Отслеживание изменений в Registry Live Watch

  3. При необходимости вы можете сохранить журнал изменений (Save Log).

Скачать программу можно с официального сайта разработчика http://leelusoft.altervista.org/registry-live-watch.html

WhatChanged

Еще одна программа, позволяющая узнать, что изменилось в реестре Windows 10, 8 или Windows 7 — WhatChanged. Её использование очень похоже на таковое в первой программе этого обзора.

  1. В разделе Scan Items отметьте «Scan Registry» (программа также умеет отслеживать изменения файлов) и отметьте те разделы реестра, которые нужно отследить.
  2. Нажмите кнопку «Step 1 — Get Baseline State» (получить первоначальное состояние). 
  3. После изменений в реестре нажмите по кнопке Step 2 для сравнения исходного состояния с изменившимся.
  4. В папке с программой будет сохранен отчет (файл WhatChanged_Snapshot2_Registry_HKCU.txt) содержащий информацию об изменившихся параметрах реестра. 
    Отчет об изменениях в реестре в WhatChanged

У программы нет собственного официального сайта, но она легко находится в Интернете и не требует установки на компьютер (на всякий случай перед запуском проверьте программу с помощью virustotal.com, при этом учитывайте, что в оригинальном файле есть одно ложное обнаружение).

Еще один способ сравнить два варианта реестра Windows без программ

В Windows присутствует встроенный инструмент для сравнения содержимого файлов — fc.exe (File Compare), который, в том числе, можно использовать и для сравнения двух вариантов ветвей реестра.

Для этого с помощью редактора реестра Windows экспортируйте необходимую ветвь реестра (правый клик по разделу — экспортировать) до изменений и после изменений с разными именами файлов, например, 1.reg и 2.reg.

Затем используйте в командной строке команду наподобие:

fc c:\1.reg c:\2.reg > c:\log.txt

Где указаны сначала пути к двум файлам реестра, а затем — путь к текстовому файлу результатов сравнения.

К сожалению, способ не подойдет для отслеживания значительных изменений (потому как визуально в отчете не получится ничего разобрать), а лишь для какого-то небольшого раздела реестра с парой параметров, где предполагается изменение и скорее для отслеживания самого факта изменения.

Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением. 

Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1. 

Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2. 

Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

chcp 1251

fc D:/1.reg D:/2.reg > D:/compare.log

Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.

Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».

Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).

Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.

Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его.

Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.

Скачать утилиты можно по ссылкам:

Regshot: sourceforge.net/projects/regshot

Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html

CRegistry Comparison: https://cloud.mail.ru/public/8h59/uXYmN9LLv

Any new software installed in your system is not installed alone. To function and work properly, it may require many other files and registries. Whenever you install any software, all the required files are also copied into the system.

Whenever you uninstall the software from the Windows Operating System, it is not guaranteed that all its supported files and registries will also be removed. Some of them remain in your system. These files are unnecessary and occupy unused space or memory in your system. Therefore, you must keep track of all the additional files on your computer. There are several software programs that offer this functionality. They will keep track of all files before and after the installation of the software, and notify you that these files are from that particular application. Therefore, you may take any action according to your needs.

The following are software that monitors your system for file and registry changes. Tip: You can also create a backup/clone of your system using the image software.

MultiMon

Multimon is a powerful monitoring software with many features, including monitoring Registry entries. This application displays the results of a wide range of activities in real time. You can export the output to text files or use any output viewer. This tool allows the user to visualize all activities in a single view. You can view detailed information regarding the activities.

While I have not tested it on Windows 11, it should work on both Windows 10 and Windows 11.

You can download MultiMon from here (under system monitoring tools)

Once MultiMon has been downloaded, you will need to run its exe file in order to install it on your computer. As soon as the installation is complete, a window will appear asking you what you would like to monitor and which drive. Once you click the play button, all the results will be displayed. The output can also be exported in text format. Multimon takes snapshots of the entire Registry.

You should click the play button before installing the new software and after installing it so you have both the snapshots and you can see which files and Registry entries have been changed in the meantime.

7 Tools To Monitor System for File and Registry Changes 1

Regshot Unicode

Regshot Unicode is an Open-source Registry monitoring tool that monitors your computer’s file system and Registry keys. A snapshot of the system registry is taken before and after the changes have been made. You will be able to see what changes have been made to your files by looking at that snapshot. The remote registry option has also been added to the latest release.

Download RegShot from here

Upon installing Regshot Unicode on your system, a window will appear. Click on “1st When you click on “capture shot”, it will capture the image without downloading any software. Now download and install any software/program and then click on “2nd shot”. After comparing the two shots, HTML log will be opened that displays all the changes that took place following the installation of the new program.

InstallWatch Pro

You may also use InstallWatch to monitor your files. It works quite the same as RegShot. It provides 2 points and then compares the changes between these two points.

Using this software, you can identify, detect, and track changes made to files and directories in great detail. The displayed results are very easy to read. The app will prompt you to take a snapshot before and after analyzing the snapshot. The results will be displayed in either HTML or text. Using the results, you can see exactly which Registry settings have been changed.

Download InstallWatch Pro from here

7 Tools To Monitor System for File and Registry Changes 3

SysTracer

Another utility, called SysTracer, scans and checks your system for changed Registry keys and files.

A very useful tool, it first scans your entire computer and tracks any changes made to files, registry entries, installed programs, system services, running processes, and opened UDP and TCP ports.

Download SysTracer from here

Initially, it will scan your computer. It is necessary for you to select the files that you wish to scan with it. Then it will create a binary image file, known as a snapshot.

7 Tools To Monitor System for File and Registry Changes 4

Snap shots are helpful for checking the modified files after scanning and before scanning.

7 Tools To Monitor System for File and Registry Changes 5

The Registry can also be searched.

7 Tools To Monitor System for File and Registry Changes 6

Moreover, you can view the difference list and you can export it wherever you wish. This will make it easy for you to find the results.

7 Tools To Monitor System for File and Registry Changes 7

WhatChanged

WhatChanged is a program designed to track changes to your computer files and Registry monitoring. In essence, it uses the “Brute Force” method in order to record the modifications in files and registry entries recently made to your system’s files and registry. This will make it easier for you to present the changes. WhatChanged informs you about the new programs you have installed in your system, and if any program is present in your system that is unnecessary, it deletes it.

Download WhatChanged from here.

Process Monitor

Process Monitor is a real time monitoring tool used to monitor files and the registry. It comes with some advanced features. It scans the system in real time and shows you the changes that occurred in the Registry and Files of System.

In addition to detecting and correcting any errors in the Windows Registry, it also fixes them. This is a free tool.

Download Process Monitor form here

7 Tools To Monitor System for File and Registry Changes 9

RegistryChangesView

RegistryChangesView allows you to take a snapshot of the Windows Registry and compare different snapshots. You can also compare your saved Registry snapshots and the snapshots in the Windows Shado Copy.

By comparing two Registry snapshots, you can see the changes made between the two snapshots in the Registry, and optionally export the Registry changes into a .reg file, which can then be opened in RegEdit. You can run the .reg file to revert the changes.

There are several free tools available that allow you to monitor your files and make registry changes easily. Now that you have installed the software or program, you will notice all the changes made to your system.

Узнаем, что делал пользователь через дамп реестра

Время на прочтение5 мин

Количество просмотров5.1K

При расследовании компьютерных инцидентов одним из важнейших действий является сбор улик. Так, нам очень важно иметь дамп оперативной памяти, потому что из него можно получить информацию о том, какие процессы были запущены в системе, и, например, можно выделить и сделать дамп процессов, созданных вредоносом для последующего анализа данного дампа.

Также большое значение имеет информация о том, какие приложения запускал пользователь, какие документы открывал в офисных программах, какие сетевые соединения он устанавливал со сторонним ресурсами по таким протоколам, как RDP и SSH. И помочь в решении этих и аналогичных задач нам может реестр Windows.

Реестр Windows — это иерархически построенная база данных параметров и настроек в операционных системах Microsoft Windows. Реестр содержит информацию и настройки для аппаратного и программного обеспечения, профилей пользователей, предустановок и т. д. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируется в реестре. Таким образом, в реестре находится много важной информации.

Виртуальный реестр

При запуске компьютер берет информацию от оборудования из файлов реестра и формирует так называемый виртуальный реестр в оперативной памяти машины. Именно в этом виртуальном реестре и хранятся текущие конфигурации и уже из виртуального реестра изменения в системе переносятся в файл, которые затем сохраняются на жестком диске. Так как этот процесс взаимодействия длится в течение всего сеанса работы операционной системы, то виртуальный реестр постоянно находится в памяти компьютера.

Виртуальный реестр может быть очень полезен при анализе действий пользователя, так как с его помощью мы можем узнать много интересного о действиях пользователя в системе. Так, можно получить сведения о группах и пользователях, включая права, пароли, дату последнего входа в систему, подключенные USB устройства, установленные программы, последние просмотренные документы, самые часто запускаемые программы и многое другое.

Далее мы поговорим об использовании Volatility для работы с виртуальным реестром и получения полезных сведений об активности пользователя.

Старый добрый Volatility

Инструмент Volatility является, пожалуй, самым распространенным средством анализа дампов памяти. С помощью этого инструмента мы можем анализировать информацию из виртуального реестра, сохраненного в дампе памяти. В этой статье я не буду расписывать процесс установки данного инструмента, так как на эту тему достаточно публикаций.

Для работы с реестром в Volatility имеются различные плагины. Начнем с Hivelist. Этот плагин позволяет найти виртуальные адреса узлов реестра в памяти и полные пути к соответствующему узлу на диске. Если вы хотите распечатать значения веток реестра, начиная с определенного узла, сначала выполните эту команду, чтобы увидеть адреса узлов.

$ vol.py -f  win7_trial_64bit.raw --profile=Win7SP0x64 hivelist

Чтобы отобразить подразделы, значения, данные и типы данных, содержащиеся в указанном разделе реестра, воспользуйтесь плагином printkey. По умолчанию функция printkey выполняет поиск по всем разделам реестра и печатает информацию о значении ключа (если она найдена) для запрашиваемого ключа. Таким образом, если ключ находится в нескольких ячейках, информация о ключе будет напечатана для каждой ячейки, в которой он содержится.

Допустим, вы хотите перейти к ключу HKEY_LOCAL_MACHINE\Microsoft\Security Center\Svc. Вы можете сделать это следующим образом.

$ vol.py –f win7_trial_64bit.raw --profile=Win7SP0x64 printkey -K "Microsoft\Security Center\Svc"

Чтобы рекурсивно перечислить все подразделы в hive, используйте команду hive dump и передайте ей виртуальный адрес нужной ветки. Получить этот адрес можно к примеру с помощью плагина hivelist.

Работаем с учеткам

Следующая задача актуальна не только для компьютерных криминалистов, но и для пентестеров. Для того, чтобы извлечь и расшифровать кэшированные учетные данные домена, хранящиеся в реестре, используйте плагин hashdump.

Здесь для того, чтобы использовать hashdump, передайте виртуальный адрес системного хранилища как -y и виртуальный адрес SAM-хранилища -s (берем также из вывода hivelist). Например, так:

$ vol.py hashdump -f win.raw -y 0xe1035b60 -s 0xe165cb60

Далее, полученные хэши можно попытаться подобрать с помощью John The Ripper, Hashcat или использовать в атаках Pass The Hash. Но вернемся к изучению действий пользователей.

Возвращаемся в прошлое с помощью ShellBag

Shell Bags — это широко используемый термин для описания набора разделов реестра, которые позволяют ОС Windows отслеживать предпочтения пользователя при просмотре окон, специфичные для проводника Windows. Эти ключи могут содержать интересную информацию, и могут помочь составить более четкую картину действий пользователя на компьютере. Например, в пакетах Shell можно найти следующую информацию: файлы, которые использовались в последнее время, и тип файла (zip, каталог, установщик), также файлы, папки, zip-файлы, установщики, которые существовали в какой-то момент в системе (даже если они были удалены), общие сетевые ресурсы и папки в этих общих ресурсах и связанные с этими типами метаданные.

Shellbags располагаются в различных ветках в зависимости от версии ОС Windows. Так в соответствии со статьей Базы знаний Майкрсофт (KB 813711), для Windows 7, дамп которой мы используем в примерах, это будет:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags

Давайте попробуем извлечь Shellbag из нашего дампа:

$ vol.py -f win7.vmem --profile=Win7SP1x86 shellbags

Это фрагмент вывода команды, показывающий какие файлы недавно запускались пользователем.

При необходимости можно включить идентификатор компьютера в заголовок основного файла с флагом —machine (это полезно при объединении временных шкал с нескольких компьютеров).

Дамп, просто дамп

В завершении рассмотрим плагин dump registry, который позволяет записывать данные реестра на диск. По умолчанию плагин сбрасывает все найденные файлы реестра (включая виртуальные реестры, такие как аппаратное обеспечение) на диск, однако вы можете указать виртуальное смещение для конкретного куста, чтобы сбрасывать только один блок реестра за раз. Одно из предостережений при использовании этого плагина заключается в том, что в удаленном файле реестра могут быть пробелы, поэтому автономные инструменты реестра могут выйти из строя, если они не будут надежно настроены для обработки «поврежденных» файлов. Эти пробелы обозначаются в текстовом выводе строками типа Physical layer, возвращающими значение None для индекса 2000, с заполнением NULL.

Также можно выполнить дамп только отдельно взятой ветки реестра. В таком случае нам снова потребуется адрес из списка hivelist:

vol.py -f voltest.dmp --profile=Win7SP1x86 dumpregistry -o 0x8cec09d0 -D output/

Заключение

Представленные в статье плагины для работы с реестром в Volatility являются далеко не полным списком всех доступных инструментов в данном приложении. Также могут полезными такие плагины, как userassist, slimcache и другие. А кроме того, помимо Volatility существует также множество других инструментов для анализа виртуального реестра.

Все актуальные методы и инструменты обеспечения информационной безопасности можно освоить на онлайн-курсах OTUS: в каталоге можно посмотреть список всех программ, а в календаре — записаться на открытые уроки.

Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.

Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security. Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.

Давайте же посмотрим, как задействовать эти инструменты.

Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.

Локальная политика безопасности

Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».

Аудит доступа к объектам

Сохраните настройки.

Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.

Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».

Редактор реестра

Для примера мы выбрали подраздел SOFTWARE, именно в него заносят записи большинство устанавливаемых приложений.

В открывшемся окошке жмем «Дополнительно».

Дополнительно

И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».

Аудит

В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».

Выберите субъект

И еще раз «OK».

Найдено несколько имен

Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.

Элемент аудита

Параметры - аудит

Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:

4656код указывает на попытку пользователя получить доступ к ключу реестра.
4657этот код указывает на изменение какого-либо параметра в реестре.
4660запись с этим кодом события будет сделана при удалении параметра.
4663код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.

Рассмотрим всё на конкретном примере.

Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».

Безопасность

Вводим код интересующего нас события в поле фильтра.

Фильтр текущего журнала

Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.

Свойства событий

Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.

Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.

Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Восстановление загрузчика windows 10 bootice
  • Как установить windows 11 на mac без флешки
  • Libreoffice download for windows 10
  • Как подключить наушники с микрофоном к компьютеру с одним штекером без переходника windows 10
  • Split screen для windows