Использование программы Regmon
Большинству администраторов и специалистов защиты приходится изменять или читать установки реестра для решения некоторой задачи, будь то изменение параметра, непредусмотренного пользовательским интерфейсом или запрещение/разрешение (disable/enable) возможностей, нерегулируемых средствами утилит Windows. В общем случае, решить эту задачу легко. Нужно запустить Regedit, или другую программу редактирования реестра, и внести необходимые изменения. Но что делать в том случае, если некоторый параметр продолжает изменяться, а какая программа вносит эти изменения неизвестно? Что если необходимо изменить конфигурацию программы, но отсутствует документация и неизвестно, где хранятся соответствующие установки. Вот где пригодится возможность контролировать в реальном времени действия с реестром. Располагая такой возможностью, можно наблюдать за обращением различных программ к реестру, за тем, что они делают и где. Вот тут то и нужен Regmon для наблюдения за действиями с реестром.
При запуске Regmon автоматически начинает перехватывать любые текущие операции с реестром и выводить их в виде списка. В список Regmon выводит все перехватываемые действия с реестром.
Работать с Regmon очень просто. Чтобы запустить или остановить перехват действий, нужно просто сделать щелчок по кнопке с лупой на инструментальной панели. Если Regmon находится в режиме перехвата, то после щелчка по кнопке ее перечеркнет наклонная красная черта, означающая, что процесс перехвата остановлен. Чтобы возобновить процесс перехвата, нужно всего лишь Щелкнуть по той же кнопке еще раз.
Если есть желание собственноручно изменить отдельный элемент реестра, можете сделать двойной щелчок по этому элементу. Это приведет к запуску редактора regedit.exe, который сразу же переместится к ключу, соответствующему выбранному элементу списка. В редакторе реестра можно будет увидеть ключ и связанные с ним значения.