Как найти журнал реестра - Исправление недочетов и поиск решений вместе с Examum.ru

Системный реестр является местом хранения информации о конфигурации компьютера. В большинстве случаев пользователю не приходится работать с системным реестром. Тем не менее, иногда, например, в случае подозрения на присутствие вирусов или троянских программ, может возникнуть необходимость просмотра системного реестра.

Инструкция

Для работы с системным реестром используйте программу Regedit, входящую в состав всего семейства операционных систем Windows. Она позволяет не только просматривать, но и редактировать системный реестр.

Есть два пути вызвать эту программу. Первый: открываем папку Windows, затем System32, в ней ищем файл regedit32.exe. Можно сразу же запустить его, дважды кликнув мышкой, можно создать ярлык и поместить на рабочий стол – для этого кликните файл правой кнопкой мышки и перетащите на рабочий стол. Отпустите кнопку, в появившемся меню выберите опцию «Создать ярлыки».

Второй вариант: нажмите «Пуск», затем «Выполнить». В появившемся окне введите «regedit» (без кавычек) и нажмите «Enter». Окно ввода можно вызвать и с клавиатуры, нажав Win+R.

Для простого пользователя необходимость заглянуть в системный реестр обычно связана с поиском троянских программ, прописывающих в реестре свои ключи автозапуска. Но реально отыскать строку, запускающую шпионское ПО, достаточно сложно. Традиционно используемые для автозагрузки ветви реестра известны антивирусным программам, поэтому у простой троянской программы шанса прописаться в реестре почти нет. Сложные же используют более изощренные способы запуска, поэтому отыскать их ключи, просматривая реестр, очень проблематично.

Следует учитывать, что неграмотная работа с системным реестром может привести к полной неработоспособности компьютера. Даже если сохранить реестр перед внесением изменений, его восстановление из сохраненной копии является достаточно сложной и долгой процедурой – необходимо будет загружаться с установочного диска, запускать консоль восстановления, вводить вручную почти два десятка команд и т.д. и т.п. Поэтому без крайней необходимости и при отсутствии нужных знаний в системный реестр лучше не лезть – шанс получить неработоспособную систему очень высок.

Видео по теме

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Источник

Отслеживание изменений в реестре — один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров. Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок. Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о «встроенных» возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.

В Windows аудитом изменений реестра «занимается» специальная служба под наименованием Object Access Audit Policy, а за конкретным ключом будет присматривать Audit Security. После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.

Вся процедура подразумевает три пункта:

активация политики Аудита
активация SACL
просмотр Журнала событий и поиск по фильтрам

Перед тем, как начать…

Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки. Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров. Так что:

этот режим, вероятно, носит временный характер
для очистки Журнала воспользуйтесь информацией из статьи по ссылке выше.

А мы приступаем.

Что изменило реестр: настраиваем групповую политику

с помощью быстрой команды отправляемся в редактор политики

secpol.msc

найдём настройку Политики Аудита и справа выберем Аудит доступа к объектам:

выставим пару галочек для формирования событий:

Соглашаемся, закрываем окна и выходим из редактора

Что изменило реестр: настраиваем события в самом реестре

заходим в редактор реестра

regedit.exe

ищем ключ, изменения в котором нужно отслеживать. Для примера я возьму параметр, в который часто лезут программы (раздел огромный, в Журнале ему будет тесно, конечно):

через Разрешения выходим на окно Безопасности, в котором выберем кнопку Дополнительно. И окажемся в окне Дополнительных параметров безопасности для искомого ключа. Следуем по пути, мною указанному (вкладка Аудит — кнопка Добавить — в окне имён пишем Все и закрепим кнопкой Проверить имена):

Вкладки Безопасность в Свойствах нет…

появится окно Объекта для элемента аудита. Выставляем Полный доступ на Успех и Отказ:

Применить и ОК. Можно из реестра выходить, здесь закончили.

Что изменило реестр: проверяем

Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:

eventvwr.msc

В левой части консоли раскрываем Журналы Windows -> Безопасность:. Событий там много из без того, так что нам лишь стоит выставить необходимы фильтры по идентификационным номерам (все вам вряд ли понадобятся, читайте описание для каждого). Это:

4656 — это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем.
4657 — параметр реестра изменился
4660 — параметр удалён
4663 — это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел

Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:

Подробности события — в одноимённой вкладке для каждого из них:

Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.

Успехов.

Источник

Windows Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.

Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.

Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.

Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe. Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.

Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду

fc c:1.reg c:2.reg > c:log.txt

В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с кодировкой.

Выше я использовал MS Word и формат .doc.

Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку HKEY_LOCAL_MACHINESOFTWARETest был добавлен параметр Primer. Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в regedit).

Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff. Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, по этой ссылке.

Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%System32. Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду

windiff C:1.reg C:2.reg

Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.

Строки на белом фоне означают совпадение содержимого файлов;
Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).

У нас есть желтая строка с содержимым «Primer»=»». Это говорит о том, что во втором файле появился параметр Primer с пустым значением. И находится он в HKEY_LOCAL_MACHINESOFTWARETest. Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.

Перейдем к сторонним утилитам мониторинга реестра.

Популярным бесплатным решением является программа Regshot. Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.

Сперва нужно сделать первый снимок реестра.

Некоторое время уйдёт на этот процесс. Далее проводим операции с компьютером, которые хотим зафиксировать, и делаем второй снимок.

После чего их можно сравнить.

После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты. Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.

Более ненужные снимки можно удалить, нажав кнопку Очистить в интерфейсе программы. Скачать программу Regshot можно по этой ссылке.

Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch. Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.

Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor.

Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно здесь.

Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export, синтаксису которой посвящена отдельная статья. Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.

Источник

Недавно установленная операционная система на новый жесткий диск работает быстро и без ошибок. Но, со временем, после многочисленных установок и удалений программ, поиска информации в интернете работа системы становится медленнее. Это происходит из-за засорения системного реестра. Что такое реестр в компьютере и за что он отвечает?

Windows управляет процессами, происходящими при работе приложений и периферийных устройств компьютера. Для повышения оперативности ОС использует базу данных, хранящую актуальную информацию о настройках и конфигурации программного обеспечения и внешних устройств.

Вот что такое реестр в компьютере: это информационная база, изменяющаяся в каждый момент времени и содержащая информацию об ошибках, ключах, устаревших приложениях. Программы обращаются к базе данных сотни раз в секунду. Фрагментированный и замусоренный реестр — причина замедления скорости работы Windows.

Окно редактора системной базы данных выглядит как проводник Windows. В левой части находятся разделы и ключи корневого уровня, а в правой — параметры и их значения.

Ключи содержат разделы и имеют собственное специфическое назначение в системной базе информации. У каждого раздела имеется набор параметров.

Значения параметров отображают информацию о настройках и некоторых пользовательских данных. Этой информацией пользуется операционная система и сторонние программы. Значения параметров представляются в виде текста, чисел или двоичного кода.

Корректируя параметры, можно вносить изменения в настройки приложений. А создание новых параметров определенного типа позволяет открыть новую возможность для работы программы или операционной системы.

Просмотр реестра в Windows

Для просмотра настроек или редактирования используется встроенный редактор Regedit. В меню «Пуск», в списке с приложениями его найти нельзя. Разработчики скрыли его потому, что изменения, внесенные в эту структуру случайно, могу привести к сбою в работе ПК.

Способы вызвать редактор (на примере виндовс 7):

В реестр виндовс 7, 8, 10 можно войти, вызвав утилиту для редактирования командой «Выполнить»: кликаем соответствующую строку в меню «Пуск», либо нажимаем сочетание клавиш WIN+R.

В появившемся окне в строке «Открыть» вводим команду regedit и нажимаем OK.

Утилита для редактирования вызывается через поисковую строку меню «Пуск». Вводим в нее regedit, и в результатах поиска будет предложено нужное приложение.

В Windows 8 строка поиска находится на экране с плиткой, справа сверху.

Если приходиться редактировать какие-то настройки и значения часто, то целесообразнее вывести ярлык системного приложения на рабочий стол: щелкаем правой кнопкой мыши на рабочем столе и в выпавшем контекстном меню выбираем пункты «Создать» — «Ярлык».

В строке указания расположения объекта пишем regedit.

Запустить Regedit можно напрямую, найдя его в системной папке WindowsSystem Приложение называется regedit.exe, либо regedit32.exe в зависимости от версии ОС.

Как работать с реестром компьютера

Перед тем, как редактировать параметры и значения операционной системы, рекомендуется сохранить точку контрольного восстановления системы, то есть сделать резервную копию. В случае ошибочных действий будет возможность загрузить резервную копию и вернуться к значениям настроек и параметров крайней сохраненной контрольной точки.

Создание бэкапа (резервной копии):

запускаем Regedit любым способом, описанным выше;
в верху окна открываем пункт «Файл» и выбираем «Экспорт»;
выбираем место сохранения резервной копии.

Файлы точек контрольного восстановления являются текстовыми и имеют разрешение .reg. Открываются они любой текстовой утилитой.

Есть возможность «бэкапить» и отдельные подразделы: вызываем на нужном подразделе выпадающее меню правой кнопкой мыши и выбираем пункт «Экспорт».

Восстановление параметров системы из бэкапа:

в редакторе выбираем из меню «Файл» — «Импортировать файл реестра»;
находим файл точки контрольного восстановления.

Есть вариант и без использования редактора: дважды нажать на файл резервной копии реестра.

Получение прав доступа для редактирования разделов.

Во избежание случайного редактирования или удаления жизненно важной для работы ОС информации, разработчики ограничили права доступа для некоторых разделов. В них хранятся настройки операционной системы. Чтобы редактировать информацию в этих разделах, необходимо переназначить владельца этих разделов и получить права доступа к ним.

в Regedit нажимаем правой кнопкой мышки по нужному разделу, и в выпавшем контекстном меню выбираем строку «Разрешения»;

в открывшемся диалоговом окне нажимаем кнопку «Дополнительно»;

в следующем открывшемся окне переходим на вкладку «Владелец» и выбираем учетную запись, которой нужно дать права на редактирование раздела, затем нажимаем «Применить»;

нажимаем на кнопку «Другие пользователи» и вводим учетную запись пользователя с помощью кнопки «Дополнительно» либо вручную;

Работа с кустами нерабочего компьютера.

Подключив жесткий диск с нерабочего ПК на рабочий, можно получить доступ к определенным веткам базы данных:

в редакторе выбираем ветку и нажимаем меню «Файл» «Загрузить куст»;

в открывшемся окне выбираем файл куста на жестком диске с неработающего компьютера и задаем ему имя;

после загрузки куста могут быть проблемы с правами доступа, но решение этой проблемы описано в предыдущем пункте. Завершив работу с загруженным кустом, рекомендуется его выгрузить нажатием на меню «Файл» — «Выгрузить куст».

Как очистить реестр Windows

Использование программ-утилит;
Очистка вручную.

Одна из самых распространенных и бесплатных программ для очистки реестра — CCleaner. Запустив утилиту, в вертикальном меню слева выбираем пункт «Реестр». В списке слева уже выделены галочками все пункты, останется нажать на кнопку «Поиск проблем».

После анализа в поле справа высветится список проблем. Среди них можно увидеть устаревшие разделы, некорректные правила, заданные приложениями, ошибки, неверные расширения файлов или отсутствующие DLL.

После вывода проблем рекомендуется нажать кнопку «Исправить все».

Очистка вручную дело тонкое и опасное. Без определенных знаний и опыта лучше не вносить изменения в систему вручную. Удаление или изменение важных параметров могут привести к отказу работы ОС. Перед очисткой системной базы данных вручную всегда делайте его резервную копию!

Ручная очистка проводится с помощью встроенного редактора Regedit. Как его запустить было описано выше.

И так, вначале делаем экспорт файла реестра для возможного восстановления конфигурации системы. Как его выполнить описано выше.

Во-первых, нужно найти и удалить всю информацию, связанную с уже удаленными программами. Она уже не нужна и только захламляет базу данных, замедляя работу компьютера. Для этого в левой части окна редактора нужно найти ветку HKEY_CURRENT_USER, а в ней подраздел Software. Здесь хранятся данные об установленных и когда-то удаленных приложениях. Нужно найти точно удаленные утилиты и удалить информацию о них.

После этого сочетанием клавиш Ctrl+F нужно вызвать строку поиску. В эту строку вводим название удаленной утилиты. Если в результатах поиска будут разделы, связанные с ней, их следует удалить.

Во-вторых, помимо остатков информации об удаленных программах, следует удалять некоторые из них из автозагрузки. Устанавливаемые приложения могут сами себя добавлять в список автозагрузки. Со временем их становится много, что замедляет функционирование компьютера. Не все из них будут отображаться в списке автозагрузки в меню «Пуск». Обнаружить их можно только через редактор Regedit.

Список утилит, автоматически запускаемых с началом работы операционной системы, находятся в ветках:

Зайдя в нужную ветку, справа нужно найти название программы, которую необходимо удалить из автозагрузки. Кликаем по ней правой кнопкой мыши и жмем «Удалить».

Более подробно об очистке реестра читаем в этой статье.

Источник

Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.

Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security. Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.

Давайте же посмотрим, как задействовать эти инструменты.

Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.

Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».

Сохраните настройки.

Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.

Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».

Для примера мы выбрали подраздел SOFTWARE, именно в него заносят записи большинство устанавливаемых приложений.

В открывшемся окошке жмем «Дополнительно».

И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».

В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».

И еще раз «OK».

Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.

Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:

• 4656 — код указывает на попытку пользователя получить доступ к ключу реестра.
• 4657 — этот код указывает на изменение какого-либо параметра в реестре.
• 4660 — запись с этим кодом события будет сделана при удалении параметра.
• 4663 — код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.

Рассмотрим всё на конкретном примере.

Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».

Вводим код интересующего нас события в поле фильтра.

Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.

Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.

Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.

Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.

Загрузка…

Источник