Czy istnieje sposób, aby zobaczyć wszystkie pliki i wpisy rejestru instalowane przez aplikację?


32

Próbuję dowiedzieć się, czy istnieje sposób, aby po prostu zainstalować aplikację w piaskownicy, aby móc łatwo zobaczyć wszystkie utworzone przez nią pliki i wszystkie dodane wpisy rejestru bez przeszukiwania komputera w poszukiwaniu plików.

Nie musi to być piaskownica, o ile powie mi wszystko, co zrobił instalator. Z pewnością musi być coś, co to robi. Wiem, że moje A / v mówi mi, kiedy uzyskuje dostęp do niektórych plików i folderów, ale szukam bardziej precyzyjnego podejścia, które rejestruje wszystko, aby móc je później przeanalizować.


Możesz kontrolować zmiany rejestru w systemie Windows 7, ale zależy to od używanej konkretnej wersji.
Doktoro Reichard

Odpowiedzi:


33
  1. Pobierz, rozpakuj i uruchom Process Monitor .

  2. Uruchom instalatora. W tym przykładzie używam FileZilla .

    wprowadź opis zdjęcia tutaj

  3. Podczas działania instalatora możesz użyć krzyżyka i przeciągnąć go do okna instalatora. Spowoduje to utworzenie filtra, w wyniku którego Monitor procesu będzie wyświetlał tylko zdarzenia związane z tym procesem.

    wprowadź opis zdjęcia tutaj

    Możesz także poczekać na zakończenie pracy instalatora i wybrać go z nagranych zdarzeń. Możesz kliknąć prawym przyciskiem myszy nazwę procesu i łatwo utworzyć filtr Uwzględnij .

  4. Będziesz teraz mieć dziennik każdego systemu plików lub dostęp do rejestru instalatora. Możesz teraz utworzyć dodatkowe filtry w celu dalszej analizy danych lub skorzystać z funkcji dostępnych w menu Narzędzia .

    W tym kontekście interesujące mogą być zwłaszcza Podsumowanie pliku i Podsumowanie rejestru .

    wprowadź opis zdjęcia tutaj

Należy jednak pamiętać, że podczas filtrowania zdarzeń tylko dla określonego procesu można pominąć operacje, które nie są bezpośrednio spowodowane przez sam proces instalatora. Instalator może wywołać interfejs API systemu Windows, który pośrednio powoduje zmianę wartości rejestru.

Podobnie instalator może po prostu odrodzić proces potomny, który dokonuje modyfikacji plików i / lub rejestru. Ten proces potomny również nie będzie widoczny, jeśli filtrujesz tylko proces nadrzędny.

Gdy proces spawnuje proces potomny, zostanie to zasygnalizowane przez operację Process Create w Process Monitor.


Cześć Oliver, dziękuję za szczegółowy samouczek. Bardzo to doceniam. Właśnie odinstalowuję oprogramowanie i wypróbuję je zaraz po ponownej instalacji. Będę Cię informować o tym, jak dobrze to dla mnie działa.
user1632018,

Wow, ta odpowiedź zawstydza moją. +1 dla Ciebie!
MonkeyZeus

Skończyło się na tym podejściu. Działało świetnie, kiedy się zorientowałem. Uświadomiłem sobie, że najlepiej ustawić filtry ręcznie, bo inaczej filtrowanie obiektów w widoku listy zajmuje bardzo dużo czasu.
user1632018,

@ user1632018: Jeśli masz zestaw filtrów, który działa dla Ciebie, może również chcieć włączyć opcję Usuń filtrowane zdarzenia z menu Filtr . Wtedy odfiltrowane zdarzenia nawet nie są zapisywane.
Der Hochstapler

9

Myślę, że szukasz czegoś takiego jak Total Uninstall

To oprogramowanie należy zainstalować przed aplikacją, którą chcesz monitorować.

Prowadzi dziennik wszystkich wpisów rejestru oraz plików utworzonych i zmienionych.

Zapewnia GUI do poruszania się po świeżo zainstalowanych i monitorowanych programach.


Odpowiedzi tylko z łączem nie pasują do SU. Proszę podać nieco szczegółowe wyjaśnienie, w jaki sposób program działa i jak rozwiązuje problem PO.
Doktoro Reichard

Wygląda na niezłe oprogramowanie, ale skłaniałem się ku swobodnemu podejściu. Wygląda jednak obiecująco jako deinstalator. Jakiś czas temu szukałem dezinstalatora, który zastosowałby takie podejście. Skończyło się na Revo Uninstaller, ponieważ nie mogłem go znaleźć. Revo wyszukuje tylko klucze i pliki, które zawierają w nich nazwę. Co nie zawsze jest dokładne i może usunąć ważne klucze rejestru, jeśli użytkownik nie jest ostrożny. Dziękuję za to. Jeśli mam dość revo, prawdopodobnie kupię ten deinstalator. Do tego celu używam podejścia do monitorowania procesu.
user1632018,

Powodzenia! Na pewno daj nam znać, jak to idzie.
MonkeyZeus

7
  1. Wyeksportuj cały rejestr przed instalacją
  2. Wyeksportuj cały rejestr po instalacji

Użyj pliku różnic, aby uzyskać różnice między dwoma rejestrami.

http://support.microsoft.com/kb/171780

Możesz pobrać oprogramowanie, które zrobi to za Ciebie (patrz poniżej)

http://www.aplusfreeware.com/categories/util/registry.html

Inną rzeczą, którą możesz zrobić, to pobrać „Sysinternals Process Monitor”. Następnie możesz filtrować operacje wykonywane przez instalatora. Możesz nawet filtrować w dół do dowolnych operacji, które chcesz zobaczyć (RegWrite, RegQueryValue itp.) I zapisać przechwytywanie do późniejszego przeglądania.


Podczas rozmowy próbuję zastosować podejście do monitorowania procesu. Dam ci znać, czy to działa dobrze dla mnie.
user1632018,

Prawdopodobieństwo innego programu modyfikującego rejestr w tym czasie jest zbyt wysokie, aby to podejście było uzasadnione
developerbmw

1

Bardziej przyjazny dla użytkownika sposób niż ProcessMonitor polega na użyciu rzeczywistego programu do monitorowania instalacji. Tym, którego zawsze używałem i preferowałem, jest InCtrl5 PCMagazine . Kiedyś był darmowy i chociaż kilka lat temu zaczęli pobierać opłaty za swoje narzędzia, nadal możesz znaleźć kopię od osoby, która go pobrała, gdy była bezpłatna i miała bezpłatną licencję. Zaktualizowali go również do InCtrlX, który jest prawdopodobnie lepszy, ale nie darmowy.

Innym, który lubię, jest ZSoft Uninstaller . Z dziesiątek takich programów, które przetestowałem, był to kolejny najlepszy program InCtrl5. Jest również bezpłatny.

Programy te działają poprzez wykonanie migawki rejestru i systemu plików przed i po instalacji, a następnie dokonanie porównania, aby dowiedzieć się, co się zmieniło (dodano, usunięto, zmodyfikowano). W przeciwieństwie do programu, takiego jak ProcessMonitor, który po prostu monitoruje dostęp do systemu, te filtry filtrują rzeczywiste zmiany w systemie, a te lepsze nawet odfiltrowują fałszywe alarmy, takie jak pliki tymczasowe i zmiany inicjowane przez system operacyjny.


+1 dla InCtrl5. Bardzo przyjazny dla użytkownika sposób to zrobić.
Ryan_S,

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.