Installazione di un'applicazione in una sandbox per rilevare la manipolazione del registro di Windows

9

Vorrei sapere se esiste un modo per rilevare quali impostazioni del registro interessano un programma di installazione. Esistono altre opzioni oltre a eseguire una macchina virtuale full-size e quindi confrontare in qualche modo gli snapshot degli hive del registro? Se questo è l'approccio migliore, condividi le tue esperienze.

L'obiettivo qui è capire dove nel registro un determinato programma memorizza le impostazioni. Durante l'installazione e in caso contrario. Potrebbe sembrare una buona idea chiedere agli sviluppatori, ma ho già affrontato questa situazione (non sapendo dove nel registro un programma memorizza le impostazioni) e vorrei trovare un approccio generale a questo problema.

windows  windows-registry  sandbox 
Ярослав Рахматуллин
fonte
Possibile duplicato del file system diff diff .
Karan,

Risposte:

12

Ho avuto buone esperienze con queste piccole applicazioni portatili.
RegFromApp mostra solo le modifiche apportate dall'applicazione di destinazione

RegFromApp v1.30 (NirSoft)

RegFromApp monitora le modifiche al Registro di sistema apportate dall'applicazione selezionata e crea un file di registrazione RegEdit standard (.reg) che contiene tutte le modifiche al Registro di sistema apportate dall'applicazione. È possibile utilizzare il file .reg generato per importare queste modifiche con RegEdit quando è necessario.

inserisci qui la descrizione dell'immagine

RegShot v1.90

Regshot è un'utilità di confronto del registro open-source (LGPL) che consente di acquisire rapidamente un'istantanea del registro e quindi confrontarla con una seconda, eseguita dopo aver apportato modifiche al sistema o aver installato un nuovo prodotto software.

inserisci qui la descrizione dell'immagine

Altre esperienze da solo:

  • WhatChanged : troppo lento, anche su un SSD
  • MJRegWatcher : difficile determinare quali modifiche al registro fossero importanti e quali no

Un secondo approccio consiste nell'utilizzare Sandboxie insieme a SandboxDiff.
Questo ti dà la possibilità di vedere cosa cambierà prima di toccare il tuo sistema live.

Sandboxie

Sandboxie esegue i tuoi programmi in uno spazio isolato che impedisce loro di apportare modifiche permanenti ad altri programmi e dati nel tuo computer. È inoltre possibile accedere a tutte le modifiche apportate durante l'esecuzione del programma.

SandboxDiff

SandboxDiff consente di tenere traccia delle modifiche nel registro e nei file quando si utilizza "Sandboxie" (una fantastica applicazione creata da Ronen Tzur). Tutte le voci di registro e il file system creati / modificati da un programma in modalità sandbox (o qualsiasi azione in modalità sandbox) sono monitorati ed elencati con SandboxDiff. Molto utile quando gli utenti desiderano (prima di installare un'applicazione) conoscere tutte le modifiche apportate dal programma di installazione nel registro e nel file system.

nixda
fonte
Bella risposta. Li controllerò. Molte grazie!
Ярослав Рахматуллин
1

Puoi provare a eseguire Process Explorer (uno strumento gratuito di Microsoft), che puoi utilizzare per mostrarti tutti i file e le chiavi a cui accedi durante l'installazione.

Verranno presentate molte informazioni, ma è possibile filtrare per applicazione (è necessario conoscere l'applicazione in esecuzione durante l'installazione che potrebbe essere qualcosa di simile a setup.exe o msiexec).

misterjaytee
fonte
Penso che intendessi Process Monitor .
Spettrale
0

Systracer fa perfettamente quello che vuoi:

SysTracer è uno strumento di utilità di sistema in grado di scansionare e analizzare il computer per trovare i dati modificati (aggiunti, modificati o eliminati) nel registro e nei file.

Esistono versioni sia gratuite che a pagamento.

http://www.blueproject.ro/systracer

Tristan CHARBONNIER
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.