Наблюдение за действиями с реестром

Использование программы Regmon 

Большинству администраторов и специалистов защиты приходится изме­нять или читать установки реестра для решения некоторой задачи, будь то из­менение параметра, непредусмотренного пользовательским интерфейсом или запрещение/разрешение (disable/enable) возможностей, нерегулируемых сред­ствами утилит Windows. В общем случае, решить эту задачу легко. Нужно за­пустить Regedit, или другую программу редактирования реестра, и внести не­обходимые изменения. Но что делать в том случае, если некоторый параметр продолжает изменяться, а какая программа вносит эти изменения неизвестно? Что если необходимо изменить конфигурацию программы, но отсутствует документация и неизвестно, где хранятся соответствующие установки. Вот где пригодится возможность контролировать в реальном времени дейст­вия с реестром. Располагая такой возможностью, можно наблюдать за обраще­нием различных программ к реестру, за тем, что они делают и где. Вот тут то и нужен Regmon для наблюдения за действиями с реестром.

При запуске Regmon автоматически начинает перехватывать любые текущие операции с реестром и выводить их в виде списка. В список Regmon выводит все перехватываемые действия с реестром. 

Работать с Regmon очень просто. Чтобы запустить или остановить перехват действий, нужно просто сделать щелчок по кнопке с лупой на инструменталь­ной панели. Если Regmon находится в режиме перехвата, то после щелчка по кнопке ее перечеркнет наклонная красная черта, означающая, что процесс пе­рехвата остановлен. Чтобы возобновить процесс перехвата, нужно всего лишь Щелкнуть по той же кнопке еще раз.

Если есть желание собственноручно изменить отдельный элемент реестра, можете сделать двойной щелчок по этому элементу. Это приведет к запуску ре­дактора regedit.exe, который сразу же переместится к ключу, соответствую­щему выбранному элементу списка. В редакторе реестра можно будет увидеть ключ и связанные с ним значения.

2016  Командная строка Windows  
top Яндекс.Метрика