Программа для отслеживания изменений реестра

Как отследить изменения в системе после установки программы?

Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» — до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)

А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st,
это Process Monitor от Sysinternals — это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂 ) И спрятать какие либо движения от этой утилиты, при правильной ее настройке — крайне затруднительно. (Хотя возможно, знаю как но не скажу — ибо нехер)

PS: Единственное — внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки — отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).

toster.ru

Монитор Установки Программ

Во время установки программы, Монитор Установки следит за всеми изменениями в Вашей системе.

Как отследить установку программы

Это можно сделать тремя способами:

Устанавливайте программу как обычно, в то время, как Uninstall Tool будет отслеживать изменения. Отслеживание будет прекращено автоматически, если будут завершены все процессы, иначе Вам придется сделать это вручную.

После успешной установки, программа появится в списке программ с иконкой в колонке ‘Отслежено’, означающей, что отслеженные данные будут удалены с Вашего ПК (при использовании Мастера Удаления) во время деинсталляции после запуска стандартной программы удаления (либо при использовании функции Принудительного Удаления):

Прогресс Установки

Во время отслеживания инсталляции Uninstall Tool свернута в значок в области уведомлений (трей). Вы можете посмотреть лог установки, выполнив двойной щелчок по значку либо используя контекстное меню.

Вы можете остановить отслеживание с возможностью Откатить изменения:

Установка нескольких программ (вложенная инсталляция)

Некоторые инсталляционные пакеты могут установить за раз сразу несколько программ (они могут быть включены в инсталлятор или скачаны в процессе установки из Интернет). Монитор Установки ПО умеет корректно отслеживать такие ситуации и поступает следущим образом: по окончании установки, Uninstall Tool отобразит список установленных программ с возможностью выбора Основного элемента. Именно этот основной элемент будет отображен в списке с пометкой в колонке ‘Отслежено’. При удалении отслеженных данных этого элемента через Мастер Удаления, будут удаленны также все отслеженные данные зависимых программ (установленных в процессе вместе). Перед этим пользователю будет отображено специальное информирующее сообщение.

Добавление данных к отслеженным программам

Используйте пункт контекстного меню Отслеженные данные для уже отслеженной программы. Добавление данных к уже отслеженным программам полезно, когда:

  • Вам нужно запустить вручную исполняемый файл отслеженной программы, чтобы она себя настроила и внесла необходимые ей изменения в Вашу системе.
  • Вам нужно обновить уже отслеженную программы на более новую версию (раньше нужно было деинсталлировать отслеженную программу и снова запускать отслеживание установки).

После указания исполняемого файла, Монитор Установки начнет отслеживание и добавит новые данные после окончания работы.

Скачайте полнофункциональную версию сейчас.
Бесплатный испытательный период 30 дней.

www.crystalidea.com

Как следить за изменениями файлов и папок в Windows

Если вы не единственный пользователь компьютера или просто хотите узнать, какие изменения произошли с вашими папками и файлами за определенный период времени, можно воспользоваться полезной утилитой FolderChangesView от Nirsoft .

Эти разработчики вообще предлагают массу замечательных бесплатных приложений, а самое главное, не обвешивают установщик тоннами бесполезных дополнительных панелей и программ «в нагрузку», как любят делать другие компании.

Что такое FolderChangesView?

FCV – это маленькая портативная утилита от Nirsoft Labs, позволяющая отслеживать содержимое папок или всего жесткого диска на наличие изменений. Программа выдает полный список созданных, измененных и удаленных файлов за весь период наблюдения. Можно следить не только за локальными дисками, но и за сетевыми (при наличии прав на их чтение).

Скачать FolderChangesView можно с официального сайта Nirsoft . Ссылка для загрузки ZIP-архива с исполняемым файлом находится внизу страницы. Скачав программу, создайте на рабочем столе папку «FCV» (или с любым другим подходящим названием) и извлеките в нее содержимое архива.

Запуск и использование FolderChangesView

Поскольку FCV – портативная утилита, устанавливать ее не требуется. Просто откройте папку, в которую распаковали архив, и дважды щелкните на файле «FolderChangesView.exe». Возможно, потребуется подтвердить запуск приложения в окне контроля учетных записей.

После запуска выберите, за какой папкой хотите наблюдать, и нажмите «OK». После этого утилита начнет следить за папкой и всеми ее подпапками в соответствии с заданными параметрами. Например, мы решили понаблюдать за папкой «Downloads». Для этого мы указали ее адрес, как показано на скриншоте ниже.

После выбора папки можно изменить параметры мониторинга, показанные на скриншоте выше. Мы решили ничего не менять, но вы можете потом поэкспериментировать с настройками самостоятельно. И не волнуйтесь: настройки операционной системы от этого никак не изменятся, поэтому можно не бояться что-нибудь напортить.

Итак, мониторинг настроен, теперь можно изменить пару-тройку файлов и посмотреть, как это отразится в приложении. Мы, например, удалили из папки «Downloads» один файл, создали новую подпапку и переместили в нее существующие файлы.

Вот что FCV сообщает нам об этих изменениях:

• Файл «Paragon Partition Ma…» удален.
• Папка «New Folder» создана и изменена (изменение – это переименование папки).
• Файл «VirtualBox-4.3.20-9699…» удален и создан. Другими словами, он был перемещен – то есть, удален из оригинальной папки «Downloads» и добавлен в папку «New Folder».
• Файл «Oracle_VM_VirtualBox…» удален и создан – тоже по причине перемещения в другую папку.

Информация о файлах

Утилита показывает не просто сведения об операциях, но и исчерпывающую информацию об измененных файлах в папке (все столбцы можно посмотреть, прокручивая окно мониторинга вправо). Вот какие данные сообщает приложение:

1. Имя файла (Filename).
2. Количество изменений (Modified Count).
3. Количество созданий ( Created Count).
4. Количество удалений (Deleted Count).
5. Полный путь к файлу (Full Path).
6. Расширение измененного файла (Extension).
7. Владелец файла (File Owner).
8. Время первого изменения (First Time Event).
9. Время последнего изменения (Last Time Event). Эти два столбца пригодятся в том случае, когда нужно узнать, сколько времени было потрачено, например, на редактирование документа Word.
10. Размер файла (File Size).
11. Время изменения (Modified Time). Этот столбец немного отличается от №№8 и 9: здесь указано время переименования или изменения различных атрибутов файла, а не время его открытия и сохранения.
12. Время создания (Created Time).
13. Атрибуты (Attributes).

Для удобства можно нажать на любом файле правой кнопкой мыши и выбрать пункт «Properties» («Свойства») – тогда всю эту информацию можно будет посмотреть в одном окне. Только не перепутайте с пунктом «File Properties» («Свойства файла»).

Теперь вы знаете, как наблюдать за изменениями файлов, и впредь вам будет легко узнать, что делали посторонние за вашим компьютером. Кроме того, таким способом можно отследить любые изменения, внесенные вредоносным программным обеспечением, и удалить заразу. В общем, экспериментируйте с настройками и смотрите, что из этого получится. А если программа вам надоест, просто удалите папку «FCV» – никакой деинсталляции не требуется.

www.winblog.ru

Программа для отслеживания изменений реестра

Отслеживание загрузки шпионских программ в системе Windows

Последнее время в Интернете часто встречаются вопросы о том, что при использовании Internet Explorer происходит смена стартовой страницы, при загрузке по ссылке открываются совершенно другие страницы. Я сам столкнулся с этим и поэтому изучал проблему на себе. Первое, что советовали, это воспользоваться специальными программами типа Ad-aware и Антивирус Касперского с новыми базами. Это правильно и на какое-то время решает проблему, но потом опять все повторяется. Я же решил выяснить вручную где прописывается шпион и как мне кажется выяснил это. Я не писатель и не журналист, стиль моей писанины прошу не критиковать, пишу потому что сам не нашел в одном месте подробного описания как и что происходит и решил восполнить это. Может кому будет интересно.

Итак, встретившись с тем, что ваш Internet Explorer стал загружать не те ссылки, первое что можно посоветовать — это поставить Ad-aware и Антивирус Касперского с новыми базами и просканировать компьютер. Но если вы хотите сами решить эту проблему, то моя статья для Вас. Также я постараюсь описать свои действия подробно, может кому из начинающих пригодится в качестве методики поиска шпионов. Специалистам это может будет излишне. Они и без меня это знают, поэтому я адресую статью в первую очередь для начинающих.

Для наблюдений я использовал два компьютера: на работе Windows XP без сервис паков и дома сначала также Windows XP без сервис паков, потом поставил последовательно SP-1 и SP-2.

Когда я впервые столкнулся с этой проблемой, то для выяснения где же что грузиться стал проверять, во-первых, пункт «Автозагрузка». У
меня в нем стоит только загрузка офиса. Во-вторых, ключи реестра ответственные за автозагрузку программ: это раздел реестра

а в нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once». Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз после следующей загрузки системы. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются. В параметре

я нашел одну программу с именем из произвольного набора букв. Программа была записана в папке Windows, дата создания оказалась свежая. Поняв что это шпион, решил потом с ним разобраться. Владельцам линейки Win98 рекомендую заглянуть еще и в файл win.ini в раздел [windows]. В нем есть два параметра load и run. Если в них записаны какие то программы, то стоит проверить какие именно и нужны ли они Вам. Кроме этого в реестре есть параметр

В нем можно прописать DLL которые будут грузиться при всех загрузках во все запускаемые Windows процессы, которые используют библиотеку User32.DLL. У меня этот параметр пустой.

Таким образом все проверив я нашел только одного шпиона в параметре реестра, отвечающего за автозагрузку программ. Перезагрузив компьютер я сразу вывел на экран диспетчер задач Windows и понаблюдал, как этот процесс загрузившись при старте системы отработал несколько минут и выгрузился. Решив что он загружает DLL в память и уже потом она играет роль шпиона, я этот параметр удалил из реестра и из папки Windows.

Проверил ключи реестра:

Значение параметра по умолчанию должно быть «http://»

Там должны быть следующие значения параметров:

и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил.

Решив, что со шпионом покончено, я успокоился и некоторое время работало все нормально, но через несколько дней повторилось опять то же самое, что было сразу заметно т.к. менялась стартовая страница. Решив, что работая в Интернете я опять ловлю заразу, я также вручную убрал из автозагрузки появившийся файл, в имени которого были уже другой набор букв, но сравнение файлов с предыдущим выдавало, что они одинаковы. Удалил файл и исправил ключи реестра, т.к. там опять прописывались url. Конечно можно было сразу накатить сервис паки, но я решил наблюдать что же будет дальше. Дома поставил SP-1. Поработав я стал более внимательно следить и обратил внимание, что в один день произошли изменения страницы и url в то время, когда я не был подключен к Интернету. Заражение так же произошло и на домашнем компе при работе в Интернет. До этого он не был заражен из чего я сделал вывод что SP-1 не является защитой от используемой шпионом дыры.

Вывод: шпион так и сидел на рабочем компе; на домашнем только что произошло заражение, только вносил изменения он видимо не сразу, а через несколько дней, видимо чтобы привлекать меньше внимания. Если бы он сразу вносил изменения после меня, то я бы раньше сообразил, что шпион продолжает работать и не прекратил бы поиски. А так я потерял несколько недель, думая что ловлю шпиона из Интернета, в то время, как он сидел у меня и продолжал работать.

Проверяя компьютер, и, в первую очередь, папку Windows по дате создания файлов, я обратил внимание на файл qwe7972.ini в папке Windows\System32. Особенность его была в том, что после каждой перезагрузки у него менялась дата и время создания файла, т.е. при каждой загрузке какая-то программа пишет в файл информацию. Причем информация в файле была нечитаемая — просто набор символов в строках. По виду похож на другие ini файлы, т.е. также в файле [разделы], в разделах параметр=значение_параметра, только информация была зашифрована. Сразу вывод, что информацию пытаются от нас скрыть и, естественно, таким файлом надо заинтересоваться. Если бы это была система, то были бы обычные записи хотя бы и на английском. Отсортировав файлы в папке по имени я увидел файл qwe7972.dll. Естественно напрашивается вывод что именно эта библиотека и пишет информацию в файл, учитывая что у них одинаковые имена и дата создания DLL свежая, а систему я ставил давно и никаких обновлений не проводил, во всяком случае на рабочем компе. Поэтому файл с такой датой никак не мог попасть на компьютер в результате моих действий. Осталось разобраться как библиотека грузится. Убрав шпиона из автозагрузки (как я уже писал файл с именем из набора букв) и перезагрузившись я увидел, что время файла qwe7972.ini изменилось, следовательно библиотека продолжает грузиться и работать. Попробовал удалить библиотеку, но система выдала, что объект заблокирован, что подтвердило догадку о работе библиотеки в данный момент. Воспользовавшись программой ProcessInfo из прилагаемых к книге Рихтера «Windows для профессионалов», я посмотрел какие процессы грузят эту DLL. Это оказался EXPLORER и только он ей пользовался (есть и другие программы для просмотра информации о процессах, но я в то время читал книгу Рихтера и для опыта использовал его программы). Я сравнил файл EXPLORER с рабочего компьютера с заведомо исправным файлом с дистрибутива Windows. Оказалось, что они одинаковы и на тот момент у меня не возникло версий как же грузится библиотека, т.е. изменений в заголовок файла не вносились. Перезагрузив комп в безопасном режиме я эту библиотеку удалил. Из антивирусников на то время я использовал Нортон Антивирус с новыми базами, обновляемыми раз в неделю, но Нортон на эту библиотеку не ругался. Я поставил Касперского 5 с новыми базами. В копии этой библиотеки Каспер увидел шпиона.

Около месяца все было нормально пока у меня не был решен один вопрос — как же библиотека грузилась? Через месяц на рабочем компе я опять увидел проблемы, стартовая страница уже так явно не менялась, но происходили изменения url в реестре и при работе в IE открывались совсем другие ссылки, а не те, на которые я нажимал. Идя проторенным путем я обнаружил в папке Windows\System32 библиотеку qweХХХХ.dll,где вместо «ХХХХ» уже другие цифры, а также ini файл с тем же именем. Стоящий на компе Каспер уже не видел в ней шпиона.

Перезагрузившись в безопасном режиме я эту библиотеку удалил. Все опять встало на места. Обновил базы Каспера. Но мне все не давала покоя мысль как библиотека грузилась. Я проверял все ключи ответственные за автозагрузку программ, там удалял все подозрительное, и, даже когда там оставались только необходимые программы, которым я доверяю, библиотека все равно грузилась. Читая литературу я встретил информацию, что есть и еще возможность загрузки которую я не проверял.

В Internet Explorer встроена технология Browser Object Helper. Данная технология позволяет встраивать другим программам свои плагины в IE и выполнять какие-то действия во время его работы. Так, например, поступают качалки. У меня стоит FlashGet. Данная технология может быть использована и для наблюдения за действиями пользователя в IE и вместо его действий выполнять свои, в том числе для загрузки других страниц вместо тех на которые хотим перейти по ссылке.

Объекты загружаемые через BHO хранятся в ключе:

где перечислены значения с именем равным CLSID загружаемого объекта. В ключе

находим по CLSID раздел с именем этого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)=»путь до загружаемого объекта».

Посмотрев данные ключи я увидел, что через них грузились эти DLL, и хотя фактически сами файлы я удалил, но ключи ответственные за загрузку остались на месте. Т.е. EXPLORER не изменялся, он оставался именно тем каким и был при установке WINDOWS, другие программы не грузили библиотеки, использовалось то, что было встроено разработчиками. При загрузке EXPLORER просматривал ключи реестра и подгружал библиотеки. Если какой-то из них не было, то это просто пропускалось не выводя никаких сообщений.

Таким образом можно вручную разобрать что нам надо в данных ключах реестра, а что нет, и удалить шпиона. А можно воспользоваться спецпрограммами, например, BHO Captor или WinPatrol. Последняя мне особенно понравилась, так как кроме этого выдает много другой полезной информации по тому что запускается на компе. Но первая, что хорошо, имеет в комплекте исходные тексты на DELPHI. Во всяком случае, та версия которую я скачал. По исходникам можно посмотреть используемые ключи реестра.

Вот в принципе и все, что я хотел рассказать в своей статье. Технология загрузки BHO для меня была открытием. Если о вышеописанных ключах и методах загрузки я слышал ранее и при поиске шпиона их использовал, то BHO я открыл для себя впервые, и ранее в общедоступных местах я не встречал описания этого, поэтому решил восполнить пробел.

Конечно, если использовать более новые версии программ для наблюдения за системой и регулярно обновлять базы, то эти шпионы будут удалены (Каспер также сообщает, что объект DLL заражен и удалить его невозможно, т.к. он заблокирован. Приходилось перезагружать в безопасном режиме и удалять вручную), но для меня было интересно разобраться самому где это происходит. Кроме того хочется сказать слово в пользу установки сервис паков: хотя SP-1 позволял шпиону пролезть в систему, то SP-2, стоящий у меня дома, пока не дает этого сделать. Видимо дыру, через которую шпион лез на компьютер, он закрывает. Сейчас подумываю и на работе установить сервис паки.

Еще раз повторюсь — моя статья для начинающих, специалистов прошу меня не ругать. Возможно Вам это было уже давно известно, но ранее среди ответов на решение данной проблемы ссылку на технологию BHO я не видел.

whatis.ru

Программы для Windows

  • ИТ Новости
  • Активация Windows 7
  • Приложения
  • Андроид
    • Игры
    • Программы
  • Мы Вконтакте
  • SysTracer Pro для Windows (Portable)

    SysTracer – утилита, способная отслеживать всевозможные изменения операционной системы. Изначально программа сканирует и анализирует ОС, а затем предлагает пользователю отчет о найденных изменениях, внесенных в систему программами и их установщиками. SysTracer чаще всего используется в кругах опытных пользователей, поскольку отчеты, составляемые программой, будут понятны далеко не каждому.

    SysTracer эффективна не только в процессе отслеживания поведения одного конкретного установщика, но и в процессе анализа работы приложений и системы в целом. Мониторинг изменений в операционной системе можно осуществлять многократно. Также пользователь получает возможность отследить изменения в определенный временной отрезок.

    Программа работает по достаточно простому алгоритму. Изначально делается снимок реестра и всей файловой системы ОС. Как только пользователь устанавливает новое приложение, SysTracer вновь делает снимок и анализирует изменения, опираясь на разницу двух снимков. Сканирование, осуществляемое утилитой, можно дополнительно настраивать (есть возможность исключить отдельные файлы, папки, ключи реестра и подобное). Вы можете делать снимки в отдельные дни и сравнивать извинения в необходимый для вас временной отрезок, например, с 15го по 20е число и т.д.

    После инсталляции и запуска инструмента вы увидите перед собой рабочее окно, в котором имеются шесть основных вкладок: Снимки, Реестр, Файлы, Приложения, Удаленное сканирование и Помощь.

    Во вкладке «Снимки» можно совершать различные операции со снимками, например, создавать, переименовывать, удалять или сравнивать их. Привлекает внимание возможность экспорта снимков в веб-формате или snp-расширении. Более того, именно здесь пользователи настраивают параметры и просматривают свойства снимков. В «Реестре» предлагается изучение одного снимка реестра или сравнение двух. Пользователь может более детально изучить состояние ключей разделов. В SysTracer довольно просто определять изменения благодаря цветной маркировке. Например, зеленым цветом будут подсвечены новые элементы, синим цветом – модифицированные, красным – удаленные файлы, приложения, компоненты реестра, черным – неизмененные, а серым – те элементы, которые не сканировались.

    Скачать SysTracer – это получить невероятно удобный инструмент на ПК. Загрузить софт можно посредством ссылки ниже этого обзора.

    relizua.com

    admin