Même les modifications les plus mineures des paramètres de Windows, sans parler de l'installation ou de la suppression de programmes, s'accompagnent de modifications correspondantes dans le registre système. Les utilisateurs ne s'en soucient généralement pas, mais il peut parfois être nécessaire de les suivre, par exemple pour comparer ou annuler manuellement certaines modifications apportées par un script ou une application.
Comment suivre les modifications dans le registre Windows
Si les changements attendus sont mineurs, ils peuvent être suivis à l'aide du système d'exploitation lui-même. Ouvrez l'éditeur de registre, sélectionnez la branche dans laquelle les modifications doivent être apportées et exportez-la vers un fichier REG nommé 1.
Apportez les modifications nécessaires et réexportez la branche vers un fichier REG, mais avec le nom 2.
Disons que vous avez enregistré les deux fichiers à la racine du lecteur D. Comparons-les. Ouvrez une ligne de commande et exécutez ces deux commandes :
fc D:/1.reg D:/2.reg > D:/compare.log
Le premier définit le codage cyrillique, le second enregistre le résultat de la comparaison dans un journal.
La méthode fonctionne, mais n'est pas pratique, car le contenu des fichiers de registre est comparé et affiché caractère par caractère dans une colonne, ce qui crée des difficultés lors de la lecture d'un tel journal. Pour cette raison, la méthode convient au suivi de changements très mineurs, de deux ou trois paramètres, pas plus. Dans d'autres cas, il est préférable d'utiliser des utilitaires spéciaux.
Capture d'écran
Le programme le plus connu pour suivre les modifications dans le registre est Regshot. Nous lançons l'utilitaire, cliquons sur le bouton « 1er instantané », effectuons les réglages, installons le logiciel, etc., puis cliquons sur le bouton « 2ème instantané », puis sur « Comparer ».
Les résultats seront affichés dans un fichier texte brut ou HTML (au choix du comparateur).
Le programme montre quelles sections et paramètres ont été créés et supprimés, lesquels ont été modifiés et le nombre total de modifications. Malheureusement, Regshot ne vous permet pas d'analyser certaines partitions et clés, c'est pourquoi les modifications apportées par Windows lui-même sont enregistrées dans le fichier de rapport.
Surveillance en direct du registre
Un autre utilitaire gratuit, Registry Live Watch, propose une approche légèrement différente pour suivre les modifications apportées au registre. Contrairement à Regshot, il ne compare pas deux instantanés du registre, mais surveille les modifications apportées à ses sections en temps réel, affichant les données dans un champ de texte spécial dans sa fenêtre. De plus, Registry Live Watch vous permet de suivre les modifications apportées par un fichier exécutable spécifique.
Mais ce programme a aussi son inconvénient. Il ne peut pas surveiller l'intégralité du registre ni même ses sections, mais uniquement des clés individuelles.
Comparaison du registre
Quelque chose de similaire à Regshot est un programme gratuit appelé CRegistry Comparison. Après le lancement, il vous invite à sélectionner un répertoire pour enregistrer l'image originale, après quoi il la crée et l'enregistre immédiatement.
Même un administrateur travaillant dans l'éditeur de registre, qui s'exécute avec tous les droits, ne peut pas modifier certaines sections du registre Windows. Cela se produit car le groupe Administrateurs n'a pas d'accès en écriture à cette clé de registre. Il peut y avoir deux raisons à cela :
- Le groupe Administrateurs est propriétaire de la section, mais n'en possède pas tous les droits. Dans ce cas, il suffit simplement de donner tous les droits au groupe Administrateurs.
- Le propriétaire de la partition est le compte système Système ou Installateur de confiance(Le second fait partie d'un complexe visant à renforcer la sécurité du système d'exploitation, mais pour ceux qui aiment « choisir » le registre, il représente un obstacle gênant sur le chemin du but). Dans ce cas, vous pouvez d'abord devenir propriétaire de la section puis donner tous les droits à votre groupe. Mais il existe des alternatives plus intéressantes : des utilitaires permettant d'exécuter des fichiers exécutables au nom de ces comptes.
Sur cette page
Sous Windows 8 légèrement L'interface graphique de changement de propriétaire a changé, ce qui est devenu un obstacle insurmontable pour nombre de lecteurs, à en juger par les commentaires. Je déteste quand des instructions presque identiques sont dupliquées sur une seule page, mais d'autres options sont encore pires. Par conséquent, choisissez les instructions correspondant à votre système d’exploitation. Je suppose que vous avez déjà la clé de registre requise ouverte dans l'Éditeur du Registre.
Obtention de tous les droits et changement de propriétaire
Au fur et à mesure, vous verrez à qui appartient la clé de registre. Si ce Système ou Installateur de confiance, vous pouvez utiliser l'utilitaire approprié ↓
Windows 8 et versions ultérieures
- Faites un clic droit sur la clé de registre et sélectionnez dans le menu Autorisations.
- Sélectionnez le groupe « Administrateurs » :
Windows 7
Désormais, rien n'empêche d'écrire sur cette clé de registre. Cependant, je recommande de restaurer les droits lorsque vous avez terminé de modifier la section.
Restitution des droits d'origine et restauration de la propriété
Après avoir apporté des modifications au registre, je vous conseille de restituer les droits d'origine et de restaurer le propriétaire afin de ne pas réduire la sécurité du système. De plus, les gens se sont tournés à plusieurs reprises vers le forum pour obtenir de l'aide lorsque le bon fonctionnement du système a été perturbé après la suppression du compte système. Installateur de confiance la possession a été retirée.
Windows 8 et versions ultérieures
Windows 7
Les droits d'origine et le propriétaire de la clé de registre ont été restaurés.
Apporter des modifications au registre au nom du compte « Système »
Si le propriétaire de la clé de registre est le compte spécial "Système", il existe un moyen d'apporter des modifications à la clé sans changer le propriétaire ni les autorisations. Pour ce faire, utilisez l'utilitaire PsExec, qui fait partie de l'ensemble d'utilitaires PsTools de Mark Russinovich. L'essence de la méthode est de lancer l'éditeur de registre au nom du système.
- Téléchargez la suite PsTools et extrayez l'utilitaire PsExec dans votre dossier Windows afin de ne pas avoir à spécifier le chemin d'accès sur la ligne de commande.
- Ouvrez une invite de commande en tant qu'administrateur et exécutez la commande : psexec -i -s regedit
L'éditeur de registre démarrera et au nom du système, spécifié par le paramètre -s(paramètre -je permet le lancement interactif de l'application).
Registre Windows
est peut-être le composant le plus dynamique du système d’exploitation. Il reflète toutes les modifications, même les plus mineures, apportées au système par des programmes standard et tiers. Les utilisateurs expérimentés peuvent suivre ces changements en utilisant des utilitaires spéciaux à cet effet, dont l'un sera discuté aujourd'hui. C'est appelé. Ce petit utilitaire portable de Nirsoft
vous permet de surveiller le fonctionnement des programmes installés sur votre ordinateur.
Ou plutôt, enregistrez toutes les modifications qu'ils apportent dans le registre du système au cours de leur travail et, si nécessaire, comparez les résultats obtenus précédemment avec les résultats ultérieurs. Les exceptions incluent les applications Windows universelles, se connectant à leurs processus dans le plus souvent, cela échoue.
Remarque : à des fins de suivi 32 bits les programmes doivent être utilisés 32 bits version , même sur 64 bits système.
L'utilisation de l'utilitaire est assez simple. Après l'avoir lancé, il vous sera demandé de sélectionner un processus à surveiller et de cliquer sur D'ACCORD . Vous pouvez également sélectionner le processus manuellement à partir du menu graphique principal du programme. Après cela, la surveillance démarrera en arrière-plan. Dès que le programme surveillé apporte des modifications au registre, celles-ci apparaîtront immédiatement dans la fenêtre principale de l'utilitaire. Les données modifiées peuvent être copiées dans le presse-papiers ou enregistrées dans un fichier RÉG.
Mode d'affichage dans deux. Par défaut, l'utilitaire affiche uniquement les dernières valeurs modifiées, mais il est également possible de définir l'affichage des valeurs d'origine. Il n'y a pas d'autres paramètres importants dans le programme.
Comment faire Instantanés du registre Windows comparer et suivre les changements ?
Vous pouvez suivre les modifications du registre de différentes manières, manuellement ou à l'aide de programmes spéciaux. Dans cet article, je vais vous expliquer comment procéder à l'aide de programmes, ce qui, à mon avis, est beaucoup plus pratique.
Comme je l'ai promis, dans l'article « », avec cette publication, nous commençons une série d'articles consacrés à l'analyse des malwares. Dans ces articles je parlerai des outils qui permettent d'étudier les virus et leur comportement.
L'article d'aujourd'hui sera utile non seulement aux chercheurs en virus, mais également aux utilisateurs ordinaires qui souhaitent devenir plus avancés dans l'utilisation d'un ordinateur. Je vais vous expliquer comment utiliser le programme Regshot pour prendre des instantanés du registre Windows afin de comparer et de suivre les modifications.
Qu’est-ce que le registre Windows ?
Le registre est l'un des principaux éléments du système d'exploitation Microsoft Windows. Malgré cela, la plupart des utilisateurs utilisent le système d’exploitation et ignorent l’existence du registre.
Un utilisateur inexpérimenté ne se rend même pas compte que lors de la modification de tous les paramètres : installation de programmes, modification de Windows lui-même et des appareils qui y sont connectés, toutes les modifications sont apportées au registre Windows.
En un mot, le registre est, en un sens, le cœur du système d'exploitation, dans lequel tous les paramètres et modifications sont enregistrés.
Pourquoi analyser le registre et suivre les modifications ?
Disons que vous n'êtes plus seulement un utilisateur passif d'ordinateur et que vous souhaitez découvrir ce qui se passe dans les coulisses lors de l'installation d'un nouveau programme ou analyser le comportement d'un virus. Afin de découvrir les modifications apportées par tous les logiciels, vous avez besoin de programmes pour suivre le registre. L'un de ces outils est RegShot.
Instantané du registre à l'aide de RegShot
RegShot est un petit programme gratuit et open source qui vous permet de prendre des instantanés du registre et de les comparer. Toutes les modifications survenues dans le registre peuvent être enregistrées dans un fichier texte ou un fichier HTML.
Télécharger RegShot
Vous pouvez télécharger gratuitement le programme RegShot en utilisant un lien direct.
Installation de RegShot
Une fois le programme téléchargé, décompressez l'archive et accédez au dossier contenant les fichiers. Il y aura plusieurs fichiers dans le dossier.
Lorsque vous choisissez un fichier exécutable, faites attention au nombre de bits de votre système d'exploitation.
Configuration et utilisation de RegShot
Après le lancement, une petite fenêtre du programme apparaîtra dans laquelle nous changeons immédiatement la langue du skin en russe. Il existe également une langue d'interface ukrainienne.
Maintenant, mettons-nous au travail. Le suivi des modifications du registre commence par la prise du premier instantané du registre. Cliquez sur le bouton instantané et dans la fenêtre déroulante, nous voyons 3 options :
- Instantané - Instantané uniquement
- Snapshot + Save - Snapshot et sauvegarde du registre
- Ouvrir - Ouvrir un instantané déjà pris du registre
Sélectionnez l'option requise. Dans mon exemple de cas, il n'est pas nécessaire de sauvegarder le registre, je clique donc sur le bouton « Snapshot ». Le programme prendra vie et commencera à créer le premier instantané du registre. Au bas de la fenêtre, vous verrez comment les chiffres changent.
Lorsque les chiffres s'arrêtent et que le programme se calme, vous pouvez commencer à travailler avec des programmes tiers, l'installation et tout ça.
Après avoir terminé, cliquez sur le bouton « Deuxième image » et après quelques secondes, vous pouvez cliquer sur le bouton « Comparer ».
Si le champ « Texte » a été coché au début, vous verrez alors une fenêtre de l'éditeur de texte du Bloc-notes, qui contiendra un rapport complet des modifications du registre.
Je n'ai installé aucun programme, j'ai juste modifié quelques paramètres dans le panneau de configuration de Windows. Comme vous pouvez le voir, l'utilitaire Regshot a enregistré toutes les modifications.
Lors de l'installation du logiciel, le rapport sera bien entendu plus volumineux.
Si vous devez réanalyser le registre, cliquez sur le bouton « Effacer » et recommencez.
Comme vous pouvez le constater, prendre un instantané du registre pour suivre les modifications est très simple, surtout lorsque vous disposez du bon programme. Ceci est très pratique si vous avez besoin de connaître les modifications apportées par le programme au registre lors de l'installation. À propos, vous pouvez ainsi découvrir quels éléments de registre sont responsables d'un paramètre Windows particulier.
En utilisant le système d'exploitation Windows, ce serait une bonne idée de mieux le connaître. Vous pouvez commencer par un article sur un fichier mystique que vous devez simplement connaître !
C'est tout, mes amis. Nous explorerons d’autres outils à l’avenir. Et oui, je n'ai pas oublié que j'avais promis de fournir des instructions détaillées sur la façon de créer un laboratoire isolé fiable sur une machine virtuelle pour vérifier les logiciels et les virus. Alors vous êtes les bienvenus sur nos pages publiques
Parfois, vous souhaiterez peut-être suivre les modifications apportées par des programmes ou des paramètres dans le registre Windows. Par exemple, pour annuler ultérieurement ces modifications ou pour savoir comment certains paramètres (par exemple, les paramètres de conception, les mises à jour du système d'exploitation) sont écrits dans le registre.
Cette revue comprend des programmes gratuits populaires qui facilitent la visualisation des modifications apportées au registre Windows 10, 8 ou Windows 7 ainsi que des informations supplémentaires.
Le service gratuit Registry Live Watch fonctionne selon un principe légèrement différent : non pas en comparant deux échantillons de registre Windows, mais en surveillant les modifications en temps réel. Cependant, le programme n'affiche pas les modifications elles-mêmes, mais signale uniquement qu'une telle modification s'est produite.
Vous pouvez télécharger le programme depuis le site officiel du développeur http://leelusoft.altervista.org/registry-live-watch.html
Qu'est ce qui a changé
Un autre programme qui vous permet de découvrir ce qui a changé dans le registre de Windows 10, 8 ou Windows 7 est WhatChanged. Son utilisation est très similaire à celle du premier programme de cette revue.
Le programme n'a pas son propre site officiel, mais il se trouve facilement sur Internet et ne nécessite pas d'installation sur un ordinateur (juste au cas où, avant de commencer, vérifiez le programme à l'aide de virustotal.com, et gardez à l'esprit qu'il existe un fausse détection dans le fichier original).
Une autre façon de comparer deux options de registre Windows sans programmes
Windows dispose d'un outil intégré pour comparer le contenu des fichiers - fc.exe (File Compare), qui, entre autres, peut être utilisé pour comparer deux variantes de branches de registre.
Pour ce faire, à l'aide de l'éditeur de registre Windows, exportez la branche de registre requise (clic droit sur la section - exporter) avant et après les modifications avec des noms de fichiers différents, par exemple 1.reg et 2.reg.
Utilisez ensuite une commande comme :
Fc c:\1.reg c:\2.reg > c:\log.txt
Où sont indiqués en premier les chemins d'accès aux deux fichiers de registre, puis le chemin d'accès au fichier texte des résultats de la comparaison.
Malheureusement, la méthode n'est pas adaptée au suivi des changements importants (car vous ne pourrez rien distinguer visuellement dans le rapport), mais uniquement pour une petite section de registre avec quelques paramètres où un changement est attendu et, plutôt, pour suivre le fait du changement lui-même.
