Мониторинг системного реестра Windows
АрхивСистемаНаблюдение за реестром в реальном масштабе времени позволяет составить четкую картину обращений к этому ключевому компоненту системы.
Системный реестр Windows, как известно, представляет собой базу данных, хранящую в своих цифровых недрах многочисленные параметры операционной системы и установленных приложений, а также настройки зарегистрированных пользователей. Реестр четко отражает всю картину функционирования системы в целом и может использоваться в различных практических целях.
Сегодня в качестве инструмента для онлайнового мониторинга реестра мы будем использовать небольшую утилиту под названием Regmon от Марка Руссиновича и Брайса Когсвелла.
Почему наш выбор пал именно на эту программу? Ну, во-первых, она бесплатная. Во-вторых, не требует инсталляции, состоит из одного только исполняемого файла и занимает скромные 405 кбайт на жестком диске компьютера. И, в-третьих, Regmon крайне проста в боевом применении.
В чем, собственно, смысл мониторинга реестра? Опять-таки, ответим простым перечислением аргументов. Например, программисты могут использовать Regmon для анализа работы и отладки своих программ. Борцам за информационную чистоту изучение реестра в реальном масштабе времени поможет выявить подозрительные процессы в системе и заранее предпринять какие-либо шаги по их дальнейшему устранению. А кто-то может воспользоваться этой утилиткой ради спортивного интереса и заценить, к примеру, сколько раз обращается к реестру тот же Word во время своей работы.
Общение с Regmon, как мы уже говорили, проще простого. Загрузившись, утилита полностью акцентирует свой стремительный программный взгляд на реестре и перехватывает любые обращения к этой функциональной части Windows. В поле зрения Regmon попадают:
- временные параметры обращения к реестру;
- название процесса (с возможностью просмотра его характеристик);
- результаты запроса к реестру, включая полный путь "потревоженных" веток с указанием ключей и внесенных изменений (если таковые имели место).
Кроме того, Regmon позволяет фильтровать события по имени процесса и отдельным веткам системного реестра. Для активизации фильтра можно использовать контекстное меню программы, либо комбинацию клавиш "Ctrl + L". Процесс, название которого фигурирует в поле фильтра "Highlight", будет подсвечиваться иным цветом, облегчая тем самым рекогносцировку совершенных ею действий.
И, наконец, заключительный момент. Утилита предоставляется разработчиками в нескольких версиях: для линейки ОС 9x/ME, для NT/2000/XP и отдельно для 64-битных версий Windows.
