C'è un modo per vedere tutti i file e le voci di registro che un'applicazione installa?

32

Sto cercando di capire se esiste un modo per installare un'applicazione in una sandbox, in modo da poter vedere facilmente tutti i file che ha creato e tutte le voci di registro aggiunte senza cercare il computer alla ricerca di file.

Non deve essere un sandbox, purché mi dirà tutto ciò che l'installer ha fatto. Sicuramente ci deve essere qualcosa là fuori che lo fa. So che il mio A / V mi dice quando accede a determinati file e cartelle, ma sto cercando un approccio più preciso che registri tutto in modo da poterlo analizzare dopo.

windows-7  windows  installation  windows-registry  sandbox 
user1632018
fonte
Puoi controllare le modifiche del registro in Windows 7, ma ciò dipende dalla versione specifica utilizzata.
Doktoro Reichard,

Risposte:

33

  1. Scarica, scompatta ed esegui Process Monitor .

  2. Esegui il tuo programma di installazione. Sto usando FileZilla per questo esempio.

    enter image description here

  3. Mentre il programma di installazione è in esecuzione, è possibile utilizzare il mirino e trascinarlo nella finestra del programma di installazione. Ciò creerà un filtro che risulta in Process Monitor che mostra solo gli eventi relativi a quel processo.

    enter image description here

    Puoi anche attendere il completamento dell'installer e selezionarlo tu stesso dagli eventi registrati. È possibile fare clic con il pulsante destro del mouse sul Nome processo e creare facilmente un filtro Includi .

  4. Ora avrai un registro di ogni file system o accesso al registro dell'installer. Ora puoi creare filtri aggiuntivi per analizzare ulteriormente i dati o utilizzare le funzioni disponibili dal menu Strumenti .

    Soprattutto il Riepilogo File e il Riepilogo Registro potrebbero essere di interesse in questo contesto.

    enter image description here

Tuttavia, si noti che quando si filtrano gli eventi solo per un processo specifico, è possibile che vengano perse operazioni che non sono direttamente causate dal processo di installazione stesso. Il programma di installazione potrebbe chiamare alcune API di Windows che causano indirettamente modifiche ai valori del registro.

Allo stesso modo, il programma di installazione potrebbe semplicemente generare un processo figlio che apporta modifiche al file e / o al registro. Anche questo processo figlio non viene visualizzato quando si filtra solo il processo padre.

Quando un processo genera un processo figlio, questo verrà indicato dall'operazione di creazione processo in Process Monitor.

Der Hochstapler
fonte
Ciao Oliver, grazie per il tutorial dettagliato. Lo apprezzo molto. Sto solo disinstallando il software e lo proverò subito dopo la reinstallazione. Vi terrò informati su come funziona per me.
user1632018,
Caspita, questa risposta fa vergognare la mia. +1 per te!
MonkeyZeus,
Ho finito con questo approccio. Ha funzionato benissimo una volta capito. Mi sono reso conto che è meglio impostare i filtri prima o altrimenti ci vuole molto tempo per filtrare gli oggetti nella visualizzazione elenco.
user1632018,
@ user1632018: se disponi di un set di filtri che funziona per te, potresti anche voler abilitare l' opzione Elimina eventi filtrati dal menu Filtro . Quindi gli eventi filtrati non vengono nemmeno memorizzati.
Der Hochstapler,
9

Penso che potresti cercare qualcosa come la disinstallazione totale

Questo software deve essere installato prima dell'applicazione che si desidera monitorare.

Mantiene un registro di tutte le voci di registro e dei file creati e modificati.

Fornisce una GUI per la navigazione dei programmi appena installati e monitorati.

MonkeyZeus
fonte
Le risposte di solo collegamento non sono adatte per SU. Fornire una spiegazione in qualche modo dettagliata su come funziona il programma e su come risolve il problema del PO.
Doktoro Reichard,
Sembra un bel software, ma ero incline a un approccio libero. Sembra promettente come un programma di disinstallazione però. Qualche tempo fa stavo cercando un programma di disinstallazione che adottasse questo approccio. Ho finito con Revo Uninstaller perché non riuscivo a trovarne uno. Revo cerca solo chiavi e file che contengano il nome. Che non è sempre preciso e può eliminare importanti chiavi di registro se l'utente non sta attento. Quindi grazie per questo, se mi stufo di revo probabilmente comprerò questo programma di disinstallazione. Per questo uso, tuttavia, vado con l'approccio Process monitor.
user1632018,
In bocca al lupo! Facci sicuramente sapere come va.
MonkeyZeus,
7
  1. Esporta l'intero registro prima dell'installazione
  2. Esporta l'intero registro dopo l'installazione

Utilizzare un file diff per ottenere le differenze tra i due registri.

http://support.microsoft.com/kb/171780

Puoi scaricare il software per farlo per te (vedi sotto)

http://www.aplusfreeware.com/categories/util/registry.html

Un'altra cosa che puoi fare è scaricare "Sysinternals Process Monitor". Quindi è possibile filtrare le operazioni eseguite dall'installer. Puoi persino filtrare fino a qualunque operazione tu voglia vedere (RegWrite, RegQueryValue, ecc.) E salvare la cattura per una successiva visualizzazione.

il software è divertente
fonte
Sto provando l'approccio del monitor di processo mentre parliamo. Ti farò sapere se funziona bene per me.
user1632018,
La probabilità che un altro programma modifichi il registro in quel momento è troppo alta perché questo approccio sia ragionevole
Developerbmw
1

Un modo più intuitivo di ProcessMonitor è utilizzare un vero programma di monitoraggio dell'installazione. Quello che ho sempre usato e preferito è PCMagazine PCMagazine . Una volta era gratuito e mentre hanno iniziato a caricare le loro utility diversi anni fa, potresti essere ancora in grado di trovare una copia da qualcuno che l'ha scaricato mentre era gratuito e aveva la licenza gratuita. Lo hanno anche aggiornato in InCtrlX che è presumibilmente migliore, ma non gratuito.

Un altro che mi piace è ZSoft Uninstaller . Delle dozzine di tali programmi che ho testato, questo è stato il migliore in seguito in InCtrl5. È anche gratuito.

Questi programmi funzionano eseguendo un'istantanea del registro e del file system prima e dopo l'installazione, quindi effettuando un confronto per scoprire cosa è cambiato (aggiunto, rimosso, modificato). A differenza di un programma come ProcessMonitor che monitora semplicemente gli accessi al sistema, questi filtrano le modifiche effettive al sistema e quelli migliori filtrano persino i falsi positivi come i file temporanei e le modifiche avviate dal sistema operativo.

Synetech
fonte
+1 per InCtrl5. Modo molto intuitivo per farlo.
Ryan_S,
0

È possibile utilizzare VMware ThinApp per installare un'applicazione in una sand box. Registra e virtualizza la tua applicazione in una cartella separata dove puoi monitorare tutto il suo contenuto. Questo è il link:

http://www.vmware.com/products/thinapp/

Zeeshan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.