Монитор процесса позволит Вам отследить действие Реестра в в реальном времени.
Я использую regshot (бесплатное программное обеспечение), это позволяет создавать снимки прежде и после изменения (например, установка) Впоследствии, можно сравнить снимки и найти все изменения.
diff
.
– Zoredache
23 August 2010 в 21:53
Монитор процесса также позволяет несметному числу фильтров быть установленным - таким образом, Вы могли, например, отфильтровать процессом и только видеть, что эффекты от Symantec обработали Вас упомянутый.
И если Вы не уверены, которые обрабатывают, чтобы контролировать, Обработать Проводник (другой инструмент SysInternals) позволяет Вам перетащить мишень по приложению для идентификации процесса в окне Process Explorer.
Анализатор поверхности атаки Microsoft является свободным (бета в данный момент) инструмент, который берет снимки и сравнивает не только ключи реестра, но также и большую другую важную информацию как сервисы, ACLs, открытые / порты прослушивания, и т.д., и сообщает о любых различиях между снимками.
Оборотная сторона - то, что это только совместимо с Win7/2008.
при экспорте реестра, прежде чем изменение и сравнении РАЗНОСТИ после не нашло изменение, возможно, что изменение, которое Вы вносите, не хранится в реестре, который является, где procmon входит. Проследите действие процесса, вносящего изменения, и Вы будете видеть или файл или действие реестра, которое происходит, когда изменение настроек сохраняется. Антивирус Symantec использует HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\для хранения многих из, его - настройки, если это помогает