Как отследить изменения в реестре Windows. Анализ программных средств для работы с реестром

В Windows вся информация о конфигурации компьютера (профили пользователей, сведения об оборудовании системы, установленных программах и параметрах настройки) хранится в системном реестре. Поэтому от его состояния зависит то, насколько быстро и стабильно будет работать операционная система (и будет ли она работать в принципе).

Сразу после переустановки операционная система (ОС) отличается стабильным функционированием и выполняет операции достаточно быстро (хотя в некоторых случаях и может быть настроена на большее быстродействие). Со временем ситуация кардинально меняется. Постепенно реестр переполняется устаревшими данными (неверными ключами в реестре, ссылками на несуществующие файлы и отсутствующие драйверы устройств, битыми ярлыками и пр.), в нем могут появляться записи, сделанные вирусами и шпионскими модулями, часть параметров может быть испорчена в результате экспериментов с настройками ОС и пр. Все это медленно, но неуклонно приводит к ухудшению работы операционной системы вплоть до полной ее неработоспособности. Поэтому необходимо принимать определенные меры для избавления системного реестра от подобной информации. Профессионалы могут производить подобную очистку реестра в штатной программе - редакторе реестра RegEdit. Но это предполагает наличие соответствующей подготовки и требует предельной внимательности при выполнении действий (поскольку любой неверный шаг может привести к полной неработоспособности системы), поэтому обычным пользователям с правкой реестра в RegEdit лучше не экспериментировать. Однако дело не только в том, что редактирование реестра встроенными средствами Windows требует профессиональных знаний, - на эту операцию также необходимо очень много времени. А ведь это время можно потратить с гораздо большей пользой, если поручить выполнение хотя бы части реестровых операций специализированным утилитам. Причем некоторые из подобных утилит совершенно не требуют профессиональной подготовки и рассчитаны на широкий круг пользователей. Наиболее интересным решениям данного плана и посвящен настоящий обзор.

Виды программ для работы с системным реестром

Все программы для работы с системным реестром можно разбить на три большие группы. В первую входят утилиты-твикеры, предназначенные для комплексной настройки и оптимизации ОС и позволяющие очищать реестр от захламляющей его устаревшей информации. Основным их преимуществом перед другими решениями является расширенный инструментарий для работы с ОС: помимо чистки реестра, они предоставляют еще массу возможностей по управлению производительностью и безопасностью системы. Наиболее популярны среди твикеров с подобной функциональностью пакеты System Mechanic и Ace Utilities.

Вторую группу программных продуктов образуют пакеты, предназначенные для чистки и дефрагментации реестра, такие, например, как jv16 PowerTools 2006 и Registry Mechanic. Лучшие решения данной группы обеспечивают гораздо более эффективную чистку, чем твикеры (табл. 1), хотя последние и сравнимы с ними в плане разнообразия выявляемых дефектов (табл. 2). Кроме того, специализированные пакеты для чистки дополнительно могут сжимать реестр (удаляя из него пустые записи, неизбежно образующиеся при удалении ключей) и дефрагментировать реестровые файлы, записывая их на диск последовательно. И то и другое может привести к повышению скорости работы с реестром, а следовательно, и скорости работы ОС в целом. Что касается других возможностей для управления ОС, то в таких решениях они зачастую также присутствуют, но реализованы сравнительно слабо.

Таблица 1. Сравнение пакетов для чистки реестра с точки зрения количества найденных
ошибок (тестирование проводилось на одной и той же версии ОС)

И наконец, третью группу решений составляют менеджеры системного реестра. Они представляют собой удобные инструменты для комплексного управления реестром и могут рассматриваться как расширенная альтернатива стандартному редактору реестра RegEdit. В отличие от приложений из первых двух групп (интересных как профессионалам, так и обычным пользователям), менеджеры реестра ориентированы на профессионалов - в первую очередь на администраторов, нуждающихся в более эффективных инструментах для поддержания работоспособности компьютерных систем, разработчиков ПО, которым требуется управлять регистрацией в реестре создаваемых ими приложений, и продвинутых пользователей, желающих вручную вносить в реестр изменения, например, для того, чтобы удалить записи, сделанные вирусными и шпионскими программами. Наиболее интересными решениями в данной группе нам представляются Registrar Registry Manager, Registry Workshop и Advanced Registry Tracer.

Таблица 2. Сравнение широты анализа реестровых элементов на предмет выявления дефектов

			jv16 Power Tools	Registry Mechanic
Настройки Active X - OLE COM
Библиотеки динамической компоновки (DLL)
Системные драйверы
Драйверы виртуальных устройств (VxD Section)
Расширения файлов
Файловые ассоциации
Программы, загружающиеся вместе с Windows
Деинсталлированные программы
Пути программ
Секция Classes
Устаревшие пункты в меню
Устаревшие записи ПО
Автозапускаемые программы
Ключи в реестре
Целостность реестра

Утилиты-твикеры

System Mechanic 7

Разработчик : Iolo Technologies, LLC

Размер дистрибутива: 16,61 Мбайт

Работа под управлением: Windows 98/Me/2000/XP/Vista

Способ распространения: http://www.iolo.com/sm/7/std/download.aspx)

Цена: 49,95 долл.

System Mechanic - эффективный инструмент для комплексного управления ОС, позволяющий настроить более сотни системных параметров, которые определяют внешний вид интерфейса, производительность и безопасность системы. Программа может проанализировать разнообразные параметры системы и выдать детальный отчет о скорости, безопасности, наличии беспорядка (компьютерного мусора, ошибок в системном реестре и т.п.) с рекомендациями о возможной коррекции ситуации. С ее помощью несложно произвести полную очистку системы от временных файлов и файлов-дубликатов, оптимизировать настройки Windows и интернет-соединение, ускорить работу с оперативной памятью, дефрагментировать жесткий диск и т.д.

За непосредственное управление системным реестром в данной утилите отвечают модули Repair Registry Problems и Repair Broken Shortcuts. Первый поможет выполнить полную очистку реестра от устаревшей информации (неверных ключей в реестре, ссылок на несуществующие файлы и пр.), а второй избавит от битых ярлыков. Предусмотрены три режима сканирования реестра на наличие устаревших записей: Quick Optimization and Repair (Быстрая оптимизация и восстановление), Complete Optimization and Repair (Комплексная оптимизация и восстановление - рис. 1) и Custom Optimization and Repair (Пользовательская оптимизация и восстановление). В первых двух режимах сканирование производится полностью автоматически. При быстром сканировании исследуются выборочные ветви реестра (наиболее важные с точки зрения стабильности работы системы). При комплексном сканировании (которое может занимать довольно много времени) проводятся все тесты, при этом допускается определение типов данных, на которые следует обращать внимание при сканировании. В режиме Custom Optimization and Repair пользователь может не только задать типы анализируемых данных, но и выбрать, следует ли сразу исправлять найденные ошибки или выдавать отчет о них на экран и ожидать реакции пользователя. В любом режиме сканирования возможен отказ от восстановления всех или некоторых найденных проблем.

Рис. 1. Полное сканирование реестра программой
System Mechanic

Ace Utilities 3.2

Разработчик : AceLogiX

Размер дистрибутива: 2,24 Мбайт

Работа под управлением: Windows 98/Me/2000/XP/2003/Vista

Способ распространения: shareware (30-дневная демо-версия - http://www.acelogix.com/download.html)

Цена: 29,95 долл.

Ace Utilities - популярный набор утилит, объединенных под одной оболочкой и предназначенных для обслуживания и оптимизации системы. Данные утилиты помогут деинсталлировать ненужные программы и удалить неработающие ссылки из меню «Пуск», обеспечат контроль за загружающимися вместе с Windows приложениями (ненужные из них можно будет из автозагрузки удалить) и позволят легко избавиться от мусорных файлов, пустых папок и файлов дубликатов. С их помощью несложно также очистить историю компьютерной деятельности (кэш интернет-браузера, cookies, список последних рабочих документов и историю работы более чем 200 приложений) и произвести гарантированное уничтожение ранее удаленных файлов и любых других файловых данных.

За работу с системным реестром в данной утилите отвечают модули Clean System Registry и Fix Invalid Shortcuts. Первый предназначен для очистки реестра от устаревшей информации (неверных ключей в реестре, ссылок на несуществующие файлы и пр.), а второй отвечает за выявление и удаление битых ярлыков. Сканирование может проводиться либо в стандартном (Standard) - рис. 2, либо в тщательном (Thorough) режиме. Первый ограничен просмотром лишь тех ветвей реестра, ошибки в которых наиболее критичны с точки зрения стабильности работы системы, второй обеспечивает анализ всего реестра. В обоих случаях перечень выявляемых дефектов может корректироваться пользователем. Подробный список найденных при сканировании ошибок выводится в виде отчета, в котором можно указать программе, какие из найденных проблем следует устранить. Опытным пользователям предоставляется возможность на любой ошибке переключиться в редактор реестра RegEdit и внимательно просмотреть всю ветвь реестра с ошибкой. Следует отметить, что Ace Utilities находит в системном реестре больше ошибок, чем другие твикеры (уступая лишь специально предназначенным для чистки реестра решениям), и отличается очень высокой скоростью сканирования.

Рис. 2. Быстрое сканирование реестра средствами
Ace Utilities

Утилиты для очистки и дефрагментации реестра

jv16 PowerTools 2006 (версия 1.5)

Разработчик: Macecraft, Inc.

Размер дистрибутива: 1,6 Мбайт

Работа под управлением: Windows 98/Me/NT/2000/XP/Vista

Способ распространения: shareware (30-дневная демо-версия - http://www.macecraft.com/downloads/jv16pt_setup.exe)

Цена: 29,95 долл.

jv16 PowerTools представляет собой набор утилит, который может претендовать на звание одного из лучших инструментов для управления системным реестром Windows. Программа очень проста в работе, сопровождается исчерпывающим руководством и имеет русскоязычный интерфейс. В числе ее возможностей - расширенная работа с файлами и папками (удаление мусорных файлов и пустых папок, поиск файлов, пeрeмeщение и пepeимeнoвaние групп файлов и т.д.), удаление персональных данных в соответствии с черным и белым списками, управление установленными и запущенными программами и работа с системным реестром.

За работу с реестром отвечает сразу несколько утилит. Менеджер реестра (рис. 3) позволяет деинсталлировать ненужные программы, управлять расширениями, удалять ненужные пункты из контекстных меню проводника и программы Internet Explorer и т.д. Чистильщик реестра (рис. 4) автоматически находит в реестре все виды устаревших данных и удаляет их, причем перед каждым удалением создается резервная копия данных, из которой при необходимости их можно будет восстановить. При этом сканирование может проводиться в обычном (когда анализируются определенные типы данных, наиболее критичные с точки зрения ошибок в реестре) и тщательном (обеспечивающим анализ всех данных) режимах. При желании список анализируемых данных несложно скорректировать вручную. Результатом сканирования является подробный отчет обо всех найденных ошибках и общем состоянии реестра. Модуль сжатия системного реестра позволяет осуществить его дефрагментацию, что приводит к уменьшению размера реестра за счет исключения пустых мест, появившихся в результате удаления из него данных. Стоит отметить, что jv16 PowerTools использует высокоэффективный алгоритм выявления ошибочных строк реестра и находит гораздо больше ошибок в реестре (за счет охвата широкого диапазона дефектов), чем другие конкурирующие продукты, причем выполняет сканирование очень быстро. В отличие от многих других решений, в данной программе подход к исправлению найденных ошибок гораздо разумнее. Например, обнаружив ссылку на несуществующий файл, она попытается выяснить, не был ли файл перемещен, и если ей удастся установить, что это действительно так, то она обновит соответствующие записи реестра, а не удалит их.

Рис. 3. Работа с менеджером реестра в программе
jv16 PowerTools

Рис. 4. Чистка реестра с помощью jv16 PowerTools

Специальные поисковые инструменты обеспечивают удобный расширенный поиск (по нескольким словам одновременно, по дате и т.д.) и проведение замены в реестре по ключевым словам, что может потребоваться для ручной коррекции данных, например с целью удаления устаревших записей о регистрации ПО. Для всех удаляемых таким образом данных автоматически создается их резервная копия, что гарантирует восстановление тех из них, что были удалены случайно. Мониторинговый модуль обеспечивает создание мгновенных снимков текущего состояния реестра. Это позволяет в дальнейшем сравнивать его новое состояние с сохраненным в снимке (с отображением всех изменившихся данных, что актуально для контроля за приложениями, меняющими настройки без ведома пользователя) и при необходимости осуществлять откат сделанных изменений. А информационный модуль отображает информацию о размере реестра, количестве ключей, точек входа и прочих реестровых данных (рис. 5).

Рис. 5. Информация о реестре, выведенная программой
jv16 PowerTools

Имеются более дешевые упрощенные версии программы jv16 PowerTools - RegSupreme Pro (http://www.macecraft.com/downloads/RegSupremePro_setup.exe ; цена - 16,95 долл.) и RegSupreme (http://www.macecraft.com/downloads/RegSupreme_setup.exe ; цена - 12,95 долл.). Первая позволяет очищать системный реестр от устаревших данных и производить деинсталляцию ненужного ПО, а возможности второй ограничены очисткой реестра.

Registry Mechanic 6.0

Разработчик : PC Tools Software

Размер дистрибутива: 4,75 Мбайт

Работа под управлением: Windows 98/Me/2000/XP/Vista

Способ распространения: shareware (функционально ограниченная демо-версия - http://www.pctools.com/mirror/rminstall.exe)

Цена: 29,95 долл.

Пакет Registry Mechanic предназначен для очистки и оптимизации системного реестра и позволяет практически несколькими щелчками мыши исправить неправильные значения ключей, разделов и прочих параметров в реестре и тем самым повысить стабильность и быстродействие работы компьютера. Программа обладает предельно понятным и привлекательным интерфейсом, не требует сложной настройки, быстро работает и представляет собой легкий способ очистки системного реестра Windows.

Registry Mechanic может производить как быстрое сканирование (Quick Scan), при котором исключается анализ секции HKEY_CLASSES_ROOT, так и полное сканирование (Full Scan) системного реестра (рис. 6). Программа использует высокоэффективный алгоритм обнаружения ошибочных строк реестра, фиксируя широкий диапазон дефектов, список которых может корректироваться, равно как и пути сканирования. Результатом сканирования является подробный список найденных ошибок с отображением уровня их опасности, которые в соответствии с указаниями пользователя могут быть частично или полностью исправлены; предусмотрено и автоматическое исправление ошибок. При каждой очистке реестра Registry Mechanic предварительно создает его резервную копию, из которой в случае необходимости потом его можно будет восстановить. Очищенный от устаревших данных реестр может быть сжат (рис. 7), что позволяет сократить его размеры и повысить быстродействие ОС. Данные о результатах последних очистки и дефрагментации реестра автоматически отображаются программой при запуске. Помимо очистки и дефрагментации реестра, Registry Mechanic может автоматически выполнить оптимизацию ряда системных настроек Windows, благодаря чему сокращается время, затрачиваемое на запуск системы и завершение ее работы, а также увеличивается скорость при выполнении некоторых операций.

Рис. 6. Результат полного сканирования реестра программой
Registry Mechanic

Рис. 7. Сжатие реестра при помощи Registry Mechanic

Reg Organizer 4.0

Разработчик : ChemTable Software

Размер дистрибутива: 1,57 Мбайт

Работа под управлением: Windows 98/Me/NT/2000/XP/2003

Способ распространения: shareware (30-дневная демо-версия - http://www.chemtable.com/files/regon.zip , файл русификации - http://www.chemtable.com/files/russian.exe)

Цена: 39,95 долл., для российских пользователей - 399 руб.

Reg Organizer - это многофункциональный менеджер системного реестра, позволяющий не только выявлять и удалять устаревшие записи (как это делают многие конкурирующие решения), но и редактировать реестр вручную, благодаря чему он может рассматриваться как альтернатива программе RegEdit. Пакет имеет русскоязычный интерфейс, предлагается российским пользователям по весьма привлекательной цене и может быть интересен как новичкам - на них рассчитаны автоматические методы работы с реестром, - так и профессионалам, которых может заинтересовать возможность ручной корректировки реестровых параметров.

Reg Organizer позволяет редактировать и чистить реестр в автоматическом (рис. 8) и ручном (рис. 9) режимах. В автоматическом режиме программа полностью сканирует системный реестр, фиксируя ошибочные записи в соответствии с указанным пользователем списком типов дефектов, и выдает отчет обо всех найденных проблемах. Выявленные ошибочные записи можно попытаться восстановить или удалить, если восстановление оказалось невозможным. Столь же просто избавиться и от битых ярлыков. При ручной очистке несложно удалить ненужные приложения, отрегулировать список автозагрузки, удалить лишние типы расширений, отредактировать контекстные меню, изменить положение в реестре системных папок, удалить лишние библиотеки, обновить пути для запуска файлов приложений и т.д. При желании также можно найти ключи, относящиеся к интересующему приложению, и удалить их при необходимости, что полезно, например, если ненужное приложение было удалено вручную по причине отсутствия у него программы деинсталляции. После окончания очистки реестра Reg Organizer позволяет осуществить оптимизацию файлов, в которых хранится системный реестр, - это подразумевает две операции: дефрагментацию файлов системного реестра и сжатие самого системного реестра. Кроме того, в данном решении реализованы расширенные возможности явного редактирования системного реестра - рис. 10. Помимо таких базовых операций по работе с реестром (имеющихся и в RegEdit), как создание, удаление и редактирование ключей реестра и значений параметров, предусмотрены возможности экспорта/импорта определенного ключа или секции реестра в файл, а также поиск и работа с «Избранным».

Рис. 8. Автоматическая чистка реестра в программе
Reg Organizer

Рис. 9. Очистка системного реестра вручную средствами
Reg Organizer

Рис. 10. Изменение значения ключа в программе
Reg Organizer

В дополнение к функциям работы с системным реестром Reg Organizer поможет очистить жесткий диск от мусорных файлов, отредактировать имеющиеся в системе и импортировать новые конфигурационные файлы и изменить ряд системных настроек Windows.

RegSeeker 1.52

Разработчик: HoverDesk

Размер дистрибутива: 457 Кбайт

Работа под управлением: Windows (все версии)

Способ распространения: freeware (http://download.betanews.com/download/1035382760/RegSeeker.zip)

Цена: бесплатно для некоммерческого использования

RegSeeker - простая, компактная и достаточно эффективная программа для работы с системным реестром. Она позволяет очищать системный реестр от устаревшей информации (рис. 11), причем по уровню выявления ошибок намного превосходит многие платные решения. При сканировании программа просматривает либо все ветви реестра, либо не учитывает те, что были исключены пользователем. В зависимости от настроек, найденные ошибки исправляются автоматически или выводятся в виде отчета, причем любую из найденных устаревших записей реестра можно не только тут же удалить, но и переключиться в RegEdit, чтобы увидеть соответствующую ветвь более наглядно.

Рис. 11. Очистка реестра в программе RegSeeker

Программа RegSeeker поможет провести поиск в реестре по ключевым словам и легко выявит и покажет список удаленных программ, на которые сохранились ссылки в реестре. Она может отобразить приложения, присутствующие в автозагрузке, и позволяет отключить (рис. 12) либо удалить соответствующие ветви реестра. Столь же легко получить доступ и к тем ветвям реестра, где хранятся данные о посещении интернет-сайтов, cookies, список последних рабочих документов, список найденных при поиске файлов и т.д. Любые из доступных при просмотре ветвей реестра можно удалить, экспортировать в файл или открыть в RegEdit. Для более удобного переключения к нужным ветвям в RegSeeker имеется менеджер закладок, в котором хранятся закладки на часто открываемые разделы реестра.

Рис. 12. Отключение загрузки программы
при запуске Windows при помощи RegSeeker

Дополнительно в программе предусмотрена возможность регулирования некоторых системных настроек Windows - можно, например, откорректировать вид контекстного меню проводника, включить/отключить автозапуск CD-ROM, установить очистку корзины при завершении работы системы и т.п.

Менеджеры реестра

Registrar Registry Manager 5.02

Разработчик : Resplendence Software

Сайт программы : http://www.resplendence.com/registrar.htm

Размер дистрибутива: 2,47 Мбайт

Работа под управлением: Windows 95/98/Me/NT/2000/XP/2003 Server

Способ распространения : shareware (Registrar Registry Manager Lite - http://www.resplendence.com/download/rrtri.exe)

Цена : Registrar Registry Manager Pro - 44,95 долл., Registrar Registry Manager Lite - бесплатно

Registrar Registry Manager - удобное решение для управления системным реестром на локальных и удаленных компьютерах, которое может рассматриваться как расширенная альтернатива штатному редактору RegEdit. В пакете, рассчитанном на системных администраторов и подготовленных пользователей, возможности по редактированию реестра объединены с его мониторингом и дефрагментацией. Решение представлено двумя версиями: бесплатной функционально ограниченной версией Registrar Registry Manager Lite (которая вполне работоспособна) и платной Registrar Registry Manager Pro.

Registrar Registry Manager позволяет редактировать значения ключей и параметров реестра, создавать новые, копировать и перемещать уже существующие, переименовывать их и удалять ненужные. Причем для всех произведенных с реестром действий поддерживается многократный откат, поэтому в любой момент можно отменить сделанные изменения. Реализованный в пакете быстрый поиск по реестру, дополненный поддержкой закладок и возможностью совмещения поиска с заменой, обеспечивает быстрый доступ к нужным параметрам и позволяет внести требуемые изменения. Удобный режим просмотра реестра (рис. 13), позволяющий раскрашивать ключи и переменные, а также добавлять к ним описания и присваивать категории, дает наглядное представление обо всех его элементах, в которых становится легче ориентироваться. Возможность резервирования данных и поддержка импорта и экспорта помогут предотвратить крах системы в результате порчи реестра и при необходимости восстановить его из резервной копии. В пакете также имеется функция сравнения различных копий реестра (рис. 14) или их отдельных ветвей на предмет изменений, что будет полезно для контроля за инсталляцией/деинсталляцией приложений и драйверов и для удаления записей, сделанных вирусными и шпионскими программами. Контролировать состояние реестра также поможет специальный модуль Registry Activity Monitor (рис. 15), в реальном времени наблюдающий за всеми запущенными процессами, фиксирующий любые изменения в системном реестре и предоставляющий по ним подробную информацию. Дополнительно Registrar Registry Manager позволяет производить дефрагментацию реестра путем его сжатия и блокировать доступ к изменению параметров реестра другими пользователями.

Рис. 13. Просмотр реестра в пакете Registrar Registry Manager

Рис. 14. Результат сравнения различных копий реестра
при помощи Registrar Registry Manager

Рис. 15. Мониторинг изменений в реестре в режиме
реального времени средствами Registrar Registry Manager

Registry Workshop 3.0.1

Разработчик : TorchSoft

Размер дистрибутива: 735 Кбайт

Работа под управлением: Windows (все версии)

Способ распространения: shareware (30-дневная демо-версия - http://www.torchsoft.com/download/RegistryWorkshop.exe)

Цена: 29,95 долл.

Пакет Registry Workshop представляет собой альтернативу редактору реестра RegEdit и отличается от него более широкими функциональными возможностями, что позволяет быстрее решать стандартные реестровые задачи. Поэтому он ориентирован преимущественно на профессионалов.

Registry Workshop обеспечивает редактирование значений ключей и параметров реестра (рис. 16) напрямую и путем вырезания, копирования и вставки, а также проведение быстрого поиска и замены отдельных параметров (причем в достаточно безопасном режиме благодаря поддержке многократного отката). Пакет позволяет создавать резервную копию всего системного реестра и отдельных его ветвей. Данные копии могут применяться для восстановления системного реестра (только для Windows NT 4/2K/XP/2003) и для сравнения системных реестров, сделанных в разное время. Дополнительно он позволяет производить дефрагментацию системного реестра (рис. 17) с возможностью предварительного просмотра сжатой версии (только для Windows NT 4/2K/XP/2003). Стоит отметить, что Registry Workshop отличается удобством в выполнении различных реестровых операций. Так, многооконный режим позволяет загрузить несколько разных копий реестра одновременно; возможность создания закладок обеспечивает более быстрый доступ к часто открываемым ветвям; широкое использование контекстных меню ускоряет доступ к нужным функциям; поддержка операции drag-and-drop ускоряет перемещение или копирование ключей и переменных и т.д.

Рис. 16. Редактирование системного реестра
в пакете Registry Workshop

Рис. 17. Дефрагментация реестра при помощи
Registry Workshop

Advanced Registry Tracer 2.11

Разработчик : ElcomSoft Co Ltd

Размер дистрибутива: 1,82 Мбайт

Работа под управлением: Windows (все версии)

Способ распространения: shareware (30-дневная демо-версия - http://www.elcomsoft.com/download/art.zip)

Цена: 40 долл. (в Softkey.Ru - 599 руб.)

Advanced Registry Tracer (ART) - удобный инструмент для анализа изменений, происходящих в системном реестре Windows. Программа умеет делать мгновенные снимки реестра и хранит их в своей базе данных - в дальнейшем любые снимки (сделанные в разное время) можно просматривать (рис. 18) и сравнивать между собой на предмет различий. При необходимости можно сделать откат назад, вернув реестр к одному из запомненных предыдущих состояний. Подобное сравнение полезно для решения проблем, связанных с установкой программ либо драйверов или с изменением их настроек в результате каких-то событий. Например, сделав мгновенный снимок реестра до или после установки программы либо драйвера, несложно выявить все изменения, произведенные в ходе установки, и узнать, какие ключи являются ответственными за определенные параметры настройки системы или программы. Данная информация может потребоваться для корректного удаления программы либо драйвера или, наоборот, для установки их на другом компьютере, что прежде всего интересно для администраторов. Кроме того, Advanced Registry Tracer поможет при возникновении проблем с работой программ - так, если сразу после установки приложение функционировало нормально, а позднее начались сбои, то можно вернуть исходное состояние его настроек, сравнив соответствующие снимки реестра (сразу после установки программы и на момент сбоя) и установив изменившиеся параметры в первоначальное состояние. Наличие снимков реестра обеспечивает определенную безопасность при экспериментах с различными настройками системы и может оказаться полезным для выявления троянов.

Рис. 18. Просмотр снимка реестра средствами
Advanced Registry Tracer

Рис. 19. Сравнение снимков реестра
в Advanced Registry Tracer

Сравнение проводится по всему реестру или частично (часть ветвей из сравнения можно исключить), в том числе и из командной строки. Его результаты выводятся в окне утилиты в виде реестра, в котором отличающиеся строки выделяются желтым цветом (одинаковые строки помечаются зеленым цветом) - рис. 19 и указываются все новые, удаленные или измененные ключи либо иные параметры. Предусмотрен расширенный поиск по реестру с учетом даты изменения параметров, причем параметры поиска могут сохраняться в закладках для ускорения его проведения в дальнейшем. Любые ключи реестра несложно сохранить в reg-файле (равно как и импортировать из reg-файла) и открыть в редакторе реестра RegEdit для редактирования. К любому снимку можно добавить комментарии.

Как создать снимок реестра?

Создание и сравнение снимков реестра можно реализовать разными способами. Вы можете использовать утилиту или новую программу RegistryChangesView, о которой я вам подробно расскажу в этой инструкции.

Снимок реестра с RegistryChangesView

Это небольшая бесплатная программа от известного израильского программиста Nir Sofer. У нас на сайте представлено большое количество инструкций к его программам (одна из них ).

Утилита предназначена для создания и сравнения снимков реестра. Она может пригодиться при необходимости проследить изменения во время установки нового софта или для анализа вредоносных программ.

Скачать RegistryChangesView

Скачать RegistryChangesView вы можете бесплатно с сайта разработчика. На данный момент интерфейс программы на английском языке, но как и все другие утилиты NirSoft она вскоре будет переведена на Русский язык, и будет доступна для скачивания с официального сайта.

Существуют версии как для , так и для бит. Узнать разрядность вашего компьютера вы можете в панели управления.

Если не получилось выяснить разрядность, то просто попробуйте запустить оба файла. Один из них должен сработать.

Установка RegistryChangesView

Это портабельная утилита, для ее работы не требуется установка. Просто разархивируйте скаченный архив и запустите файл.

Запуска программы

Использование RegistryChangesView

После запуска утилиты появится главное окно программы. Первым делом необходимо создать снимок реестра Windows.

Перед созданием снимка можно отметить галочкой необходимые ветки реестра. По умолчанию ветка «SAM’ и ветка «Security» не отмечены.

Снимки реестра сохраняются в папке программы. Каждый снимок в отдельной папке.

Изменения в реестре вы увидите в главном окне программы.

Изменение в реестре

Правым кликом открывается контекстное меню, в котором можно редактировать, сохранять записи или просматривать ее свойства:

Свойства

В целом это довольно мощный инструмент для создания и сравнения снимков реестра. К сожалению, нет возможности выполнить операцию восстановления непосредственно из Registry Changes View. Это означает, что вы должны будете использовать сам реестр, чтобы восстановить значения или использовать другие сторонние программы.

Профилактические работы с реестром Windows не менее важны, чем регулярная проверка здоровья жесткого диска и защита системы от вредоносных вирусов. Наверняка любой пользователь после длительного периода работы компьютера замечал, что со временем скорость реакции системы на его действия заметно уменьшается. Это происходит потому, что в реестре скапливается много ненужной информации. Избавиться от мусора системного реестра и призвана программа Reg Organizer компании ChemTable Software.

Рассмотрим режимы работы программы.

Редактирование

Этот режим является аналогом системного редактора regedit. Редактирование реестра в этом режиме ничем существенно не отличается от системного варианта (те же дерево ключей и список параметров), за исключением возможности добавления комментариев для каждого ключа реестра.

Ручная чистка

Ручная чистка предоставляет пользователю возможность самостоятельно удалять ссылки реестра. Все ссылки представлены в виде нескольких групп.

• Деинсталляция . Здесь собрана информация о программах, которые упоминаются в разделе "Установка и удаление программ" панели управления. Отсюда можно деинсталлировать программу либо просто удалить упоминание о ней (например, если программа была удалена вручную).
• Программное обеспечение . Список всех установленных в системе программ, сгруппированных по названиям разработчиков. Отсюда можно удалить упоминание как о всей программе целиком, так и только избранные ключи.
. Здесь пользователь найдет информацию о программах, запускающихся после запуска системы. Кроме того что эти программы можно удалить из автозагрузки, здесь же можно добавить новые либо временно отключить избранные.
• Типы файлов . В этой папке собрана информация обо всех типах файлов, зарегистрированных в системе. Для каждого типа файла можно получить список всех ключей, относящихся к нему, удалить избранные или все целиком. Если в колонке "Описание типов файлов" указано "Нет данных", то такой тип файла системе уже не нужен и его можно удалить.
• Расширения оболочки . В данной папке собраны все команды контекстного меню "Проводника" для всех зарегистрированных типов файлов. Например, для текстовых файлов это будут команды "Открыть", "Напечатать" и "Изменить".
• Меню "Создать" . Здесь располагается список типов файлов, которые можно создать из меню "Создать" "Проводника" Windows.
• Меню "Открыть с помощью..." . В этой группе располагается список программ, с помощью которых система предлагает пользователю открыть неизвестный тип файла.
• Системные папки . Здесь перечислены все системные папки, зарегистрированные для текущего пользователя, такие как "Автозагрузка", "Рабочий стол", "Программы" и прочие. Удалять ссылки на эти папки нельзя. Но их можно изменить. Здесь же можно настроить шаблоны, в соответствии с которыми система создает системные папки пользователей.
• Общие библиотеки . Это список всех зарегистрированных динамических библиотек (DLL-файлов) с указанием количества пользующихся ими программ. Если в колонке "Статус" для текущего файла указано значение "Не существует", то ссылку на этот файл можно удалить.
• Кеш ARP . В этой папке хранится дополнительная информация для раздела "Установка и удаление программ" панели управления. Здесь можно найти такие данные, как путь к исполняемому файлу, его размер и дата последнего использования. Аналогично предыдущему разделу с помощью информации в колонке "Статус" можно увидеть "битые" ссылки на файлы и удалить их.
• Пути приложений . Здесь находится список программ, которые можно запустить из командной строки без указания полного пути.
• Кеш MUI . В этой папке содержится информация о всех исполняемых файлах, которые когда-либо были запущены в системе.
• Инсталлятор MSI . Здесь перечислены приложения, установленные из дистрибутивов с расширением MSI.

Автоматическая чистка

Задача, исполняемая данным режимом, - та же, что и при ручной чистке. Но ведется она в автоматическом режиме. Пользователю нужно только указать, какую информацию необходимо собрать: неверные ссылок на файлы, папки, шрифты или библиотеки, устаревшую деинсталляционную информацию. Словом, с помощью этого механизма можно зараз удалить весь мусор, скопившийся в системе.

Поиск и замена

Поиск - это просто. В данном режиме среди ключей, параметров и их значений ищется заданная строка и при необходимости она заменяется новым значением. Поиск может вестись по избранным корневым ключам либо по указанному ключу, а также включает такие типовые опции, как поиск по целому слову и чувствительность к регистру. Замена строки может производиться автоматически для всех либо индивидуально для каждой найденной строки. Результаты поиска собираются в маркированной таблице, откуда можно перейти к конкретному ключу или параметру в редакторе или удалить отмеченное значение из реестра.

Оптимизация

Оптимизация предназначена для ускорения обращения к реестру. На первом шаге обработки пользователю предлагается выбрать файлы реестра, которые будут оптимизированы, а также виды оптимизации:

• сжатие - из файлов системного реестра удаляется избыточная информация, за счет чего уменьшается их размер;
• дефрагментация - файлы записываются на диск последовательно, что увеличивает скорость обращения к ним.

После сбора информации о файлах, обработка покажет процент будущего сжатия реестра и предложит выбрать файлы, которые будут подвергнуты сжатию (по умолчанию выбраны все). Последним шагом режима оптимизации будет перезагрузка компьютера, чтобы внесенные изменения вступили в силу. Следует заметить, что во время оптимизации реестра большинство работающих программ должно быть закрыто. В особенности это касается антивирусных программ.

Чистка диска

Данная обработка ищет неверные ярлыки, после чего пытается их исправить либо удаляет, а также очищает диск от временных файлов. При поиске временных файлов пользователь может выбирать из списка маски файлов, которые будут включены в поиск. Результирующий список найденных файлов является маркированным. Если среди найденных файлов присутствуют файлы, которые удалять не нужно, можно просто снять с них пометку - удалены они не будут. Поиск может вестись как целиком по дискам, так и по отдельным папкам.

Редактирование файлов

Этот режим представляет собой редактор ini- и reg-файлов. Окно редактора разбито на две части. В левой части располагается дерево секций открытого файла, в правой - список параметров текущей секции и их значения. Редактор позволяет добавлять, изменять, удалять секции и параметры, изменять их значения. При желании файл можно отредактировать в виде текста.

Деинсталляция

Зачастую так случается, что после деинсталляции приложения в реестре все же остаются его ссылки. Избежать такой ситуации поможет режим программы "Деинсталляция". В данном режиме присутствуют две обработки: "Установить приложение" и "Деинсталлировать приложение". Работают они следующим образом. Когда мы хотим установить новую программу, запускаем первую обработку. Она делаем снимок реестра в текущем состоянии, запускает выбранную программу инсталляции и после ее установки делает еще один снимок. Сравнивая эти два снимка, обработка создает список всех изменений реестра, внесенных инсталлированной программой. Изменения можно посмотреть на вкладке "Доступные инсталляции". Эта информация представлена в аналогичном редактору реестра виде - дерево ключей и список параметров. Но отображается здесь только расхождения снимков реестра - добавленные, удаленные, измененные ключи и параметры. Здесь же можно увидеть изменения в системных, ini- и прочих файлах.

Если нам нужно деинсталлировать программу, запускаем обработку "Деинсталляция приложений". Она удалит приложение и восстановит состояние ключей реестра на момент до инсталляции.

Снимки реестра можно создавать и самостоятельно, без инсталляции приложений, и в дальнейшем сравнивать их. Создаются они не целиком по реестру, а по выбранным ключам. Выборку снимаемых объектов можно посмотреть на вкладке "Объекты". Кроме ветвей реестра здесь можно настроить список файлов, изменения которых также будут отслеживаться. И, конечно же, для разных задач можно сохранять различные варианты выборок.

Здесь осуществляются настройки системных библиотек Windows. Среди прочих настроек можно перечислить следующие: показывать ярлыки Windows Update, "Панель инструментов", "Выполнить", "Поиск" в меню "Пуск"; производить автозапуск CD-ROM; включать Num Lock при загрузке; очищать файл виртуальной памяти при выходе из системы; выгружать DLL из памяти, когда они не используются, и многие-многие другие. Большинство из этих настроек доступно только в Windows 2000/XP.

Резюме

Пожалуй, нет смысла говорить, что представленная программа является мощным инструментом по работе с реестром Windows. Даже неопытный пользователь, для которого программа regedit - темный лес, с легкостью разберется с режимами работы данного органайзера и будет содержать реестр своей системы в чистоте и порядке.

Программа Advanced Registry Tracer (сокращенно - ART, раньше программа называлась RegFix) предназначена для анализа изменений в системном реестре Windows путем сравнения двух копий реестра в разное время. Создаются и сравниваются копии реестра, хранящиеся в своем собственном формате, поэтому называть их именно копиями, на мой взгляд, не совсем корректно, и далее я буду называть их "слепками" реестра. ART показывает все новые, удаленные или измененные ключи, также можно создавать REG-файлы для отката или повторения аналогичных обнаруженным изменений реестра.

Программа не поддерживает операции по сравнению разных версий файлов и не производит поиск новых и изменившихся файлов. Для этих целей вы можете использовать файловые мониторы, например, Adinf, KAV Inspector и другие.

Краткие возможности программы

Сканирование реестра в файл с возможностью просмотра и поиска.

Сканирование реестра на удаленном компьютере.

Сравнение различных слепков реестра.

Сравнение отдельных ветвей различных слепков реестра.

Функции отмены и повтора внесенных изменений.

Сохранение любого ключа реестра в REG-файл

Использование закладок.

Открытие выбранных ключей в редакторе реестра RegEdit.

Поддержка параметров командной строки.

Добавление комментариев к каждому слепку реестра.

Сканирование реестра

Прежде всего, необходимо создать первоначальный слепок реестра. Когда вы запускаете ART в первый раз, программа сканирует реестр, создает первоначальный слепок реестра и автоматически записывает его под именем ART_DB.rgf.

Для самостоятельного создания слепка реестра вы можете воспользоваться пунктом New меню File и просканировать состояние реестра в данный момент выбором пункта Scan меню Registry или нажав на кнопку Scan Registry (Сканировать реестр) на панели инструментов. Еще одной возможностью создания нового слепка реестра является его экспорт из REG-файла. Результат сканирования также может быть загружен при открытии сохраненного слепка реестра.

Каждый новый слепок реестра сохраняется в файл автоматически. Одновременно в памяти могут находиться два слепка реестра, называемых активными. Они обозначены желтым цветом, в противовес неактивным, обозначенным белым. Для неактивных слепков доступен единственный пункт контекстного меню с возможностью добавления комментария. Если вы хотите просмотреть, сравнить или осуществить поиск в сохраненном слепке реестра, для этого вам необходимо его открыть, т.е. загрузить в память. Если в память уже загружены два слепка реестра, то при попытке открыть еще один слепок, или создать при сканировании новый, программа, согласно заданным установкам, закрывает один из открытых слепков, или предлагает пользователю самому сделать выбор или отменить операцию.

В зависимости от размера реестра и мощности компьютера, процедура сканирования может занимать от нескольких секунд до минуты (на 486-ых компьютерах). Продолжительность сканирования реестра (в секундах) отображается в статусной строке после сканирования.

Сравнение различных состояний реестра

ART позволяет сравнивать следующие объекты :

два целых слепка реестра (за исключением ветви HKEY_DYN_DATA);
две одинаковых ветви реестра из различных слепков;
две различных ветви реестра из одного и того же или разных слепков реестра;
различные ветви из существующих слепков реестра, и эти же ветви в реестре на данный момент.

В отличие от программ мониторинга реестра типа RegMon или Win-Expose Registry, а также деинсталляторов типа CleenSweep, ART сравнивает именно слепки реестра, а не следит за ключами, к которым обращаются программы. Таким образом, ART выявляет все изменения в реестре (кроме ветви HKEY_DYN_DATA) и к тому же не занимает системных ресурсов.

ART хранит все слепки реестра в одной базе данных, в которой может находиться до 100 слепков реестра, сделанных в разное время (разработчики тестировали программу с 50-ю слепками). База данных имеет расширение ".RDF", что означает аббревиатуру Registry Database File (Файл базы данных реестра). В ней могут выполняться такие операции, как поиск и сравнение.

ART ищет изменения в реестре на всех уровнях: в названиях ключей, названиях строковых или двоичных данных и в самих данных. Результат сравнения показывается в виде трех деревьев - по одному для новых, удаленных и измененных данных.

Добавленные и удаленные данные показываются аналогично редактору реестра, измененные данные показаны в виде дублированного списка со старыми и новыми значениями.

Все изменения в структуре реестра, а также изменения в комментариях к ним автоматически сохраняются в базе данных, поэтому в меню File нет пункта Save (Сохранить). При автоматическом сохранении слепок получает имя, состоящее из даты и времени сохранения.

Базируясь на результатах сравнения при помощи ART можно создавать файлы отката (Undo) и повторного выполнения сделанных изменений (Redo) в формате REG. Эти файлы могут быть использованы для изменения значений реестра и перехода от новых версий реестра к более ранним версиям, и наоборот.
ART проверяет только ветви реестра HKEY_LOCAL_MACHINE и HKEY_USERS, так как:

ветвь HKEY_CURRENT_CONFIG является копией ветви HKEY_LOCAL_MACHINE\Config\000x,

HKEY_CLASSES_ROOT - копия ветви HKEY_LOCAL_MACHINE\Software\Classes,

HKEY_CURRENT_USER - часть HKEY_USERS,

а ветвь HKEY_DYN_DATA обычно используется только системой, что, по мнению автора программы, не должно быть интересно пользователю.

Интерфейс программы

Меню File (Файл) для работы с файлами базы данных и экспортом/импортом REG-файлов.

New - создание нового файла базы данных со слепками реестра.
Open - открыть существующую базу данных со слепками реестра.
Reopen - открыть ранее открывавшуюся базу данных, при этом в этом пункте доступен список из ранее открывавшихся баз данных.
Save As - сохранение базы данных в другом файле. По умолчанию файл с базой данных находится в папке с программой и называется ART_DB.rgf.
Close - закрыть файл с базой данных.
Export to REG file - экспорт выбранной части реестра в REG-файл.
Import from REG file - импорт значений REG-файла в слепок реестра.
Exit - выход из программы.

Меню Edit (Редактировать) для редактирования REG-файлов и реестра.

Edit REG file - открыть в установленном редакторе REG-файл. По умолчанию редактором для REG-файлов является Блокнот, его можно поменять в настройках.
Jump to Regedit

Меню Tree (Дерево) для навигации в древовидной структуре слепков реестра.

Expand - раскрыть ветви дерева реестра, находящиеся в данном ключе.
Collapse - закрыть ветви дерева реестра в данном ключе.
Collapse all
Goto the same key - перейти к такому же ключу в другом слепке реестре.
Switching mode - настройка режима переключения при выборе перехода к другому ключу: переход осуществляется между двумя активными или двумя выбранными пользователем слепками реестра.

Меню Registry (Реестр) для работы с реестром.

Scan Registry - создание слепка реестра путем его сканирования.
Scan Remote Registry - создание слепка путем сканирования реестра на удаленном компьютере.
Find - поиск в слепке реестра заданного значения.

Compare From Here - сравнить два слепка реестра начиная с указанного места.
Compare 2 chosen keys - сравнение двух выбранных ключей.
- сравнение слепка реестра с содержимым реестра на данный момент.
Bookmarks - вызов закладок. Этот пункт меню в зависимости от установок программы может меняться на пункт Exclude From Comparison (Исключить из сравнения). Для исключения из сравнения отдельных отдельных ключей в программе существует список исключений, который также может выполнять роль списка закладок, в зависимости от установок программы.

Expand Marked Keys - раскрытие всех помеченных ключей.
UnMark All Subkeys - снятие пометок со всех ключей, размещенных в заданном ключе.

При нажатии правой кнопки мыши доступно контекстное меню.

Copy Path - копировать путь к выбранному ключу в буфер обмена.
Properties - просмотр свойств выбранного ключа.

Compare here - начать сравнение двух слепков реестра с выбранного ключа.
Compare 2 chosen keys - сравнить два выбранных ключа.
Compare with current registry - сравнить два активных слепка реестра.
Mark key (check) - пометить выбранный ключ.
UnMark All Subkeys - снять пометку со всех вложенных ключей в данном ключе.
Jump to Regedit - открыть выбранный ключ в редакторе реестра Regedit.
UpOneLevel - перейти на один уровень вверх по дереву реестра.
Expand - раскрыть все ветви дерева реестра, находящиеся в данном ключе.
Collapse - закрыть все ветви дерева реестра в данном ключе.
Goto the same key - перейти к такому же ключу в другом реестре.

Контекстное меню для корня реестра немного отличается. Помимо того, что в нем не активна примерно половина пунктов меню и отсутствует Copy Path, наличествует 2 новых пункта:

Delete - удалить данный слепок реестра.
Comment - добавить/редактировать к данному слепку реестра комментарий длиной до 2000 символов. По умолчанию все слепки реестра уже имеют комментарий с именем компьютера.

Как мы видим, в контекстные меню вошли наиболее часто используемые пункты различных меню программы.

Полезной возможностью ART является экспорт выбранной части реестра, начиная с одного ключа и заканчивая целой ветвью. Впоследствии вы можете использовать полученный REG-файл для изменения системного реестра, в том числе и на других компьютерах. Вы можете просмотреть этот файл в указанном вами в свойствах программы текстовом редакторе (по умолчанию им является Блокнот) нажав на кнопку Edit REG file (Редактировать REG-файл) на панели инструментов, или выбрав тот же пункт в меню Edit (Редактировать).

Параметры командной строки

ART поддерживает работу из командной строки. На данный момент из командной строки возможно только сканирование реестра.
art/<команда> .rgf {-o|-a}[-b][-m:\\][-l:<файл отчета>]
Команды :

s - Сканирование реестра. RGF-файл может быть как новым файлом, так и уже содержащим слепки реестра.

Ключи :

-o - перезаписать RGF-файл, если он существует
-а - добавить запись в конец RGF-файла, если он существует
-b - если RGF-файл существует, замещать его, оставляя копию в BAK-файле
-m - сканировать реестр на удаленном компьютере с названием "remote machine".
-l - если при выполнении операции возникнет ошибка, то она сохраняется в файле отчета

Особенности работы под под Windows 2000/NT/XP

При работе под Windows 2000/NT/XP некоторые ключи изначально (по умолчанию) недоступны для чтения или изменения даже с привилегией администратора. Для изменения прав доступа для отдельных ключей реестра используйте Regedt32 (у вас должны быть соответствующие полномочия). С недоступными для изменения ключами функции Undo/Redo не работают. При невозможности прочитать значения ключей ART выдает соответствующие сообщения.

В таких случаях удобно использовать файл отчета, в который будут записываться все подобные сообщения (вместо того, чтобы выдаваться на экран), т.к. их может быть довольно много.

Для примера приведу подобный файл отчета: ссылка

Что нового в версии 1.60

Основным изменением является возможность импорта REG-файла в слепок реестра, при этом поддерживается импорт форматов как regedit 4, так и regedit 5 (Windows 2000).

Остальные изменения :

Выбор формата экспорта в REG файл (regedit 4, так и regedit 5).

Значительно улучшилась читабельность и функциональность созданных при помощи функций Undo/Redo REG-файлов.

За счет использования недокументированных возможностей формата REG-файлов исключена генерация INF-файлов.

Теперь возможно сканирование не только всего реестра, но и любой его части.

В пункте меню Find добавлено открытие ключа по пути (Find Path).

Поддержка стилей XP.

Небольшие изменения в дизайне, улучшены удобства интерфейса некоторых окон.

Исправленные ошибки :

Сканирование в режиме командной строки вызывало ошибку.

После закрытия слепков реестра оставался видимым один корень слепка реестра.

В списке исключений при добавлении пути некорректно определялась подстрока.

Белая иконка главного слепка реестра (если он один), а также невозможность его открытия.

В очень редких случаях после сканирования возникал пустой экран.

Заключение

Программа может быть полезна для создания слепков системного реестра перед и после установки различного программного обеспечения для сравнения и анализа внесенных в реестр изменений. Вы также можете смотреть, какие изменения в системный реестр вносит установка новых аппаратных компонентов. Более того, программа ART может быть использована для сравнения конфигураций различных компьютеров. Вы также можете использовать программу для поиска ключа в реестре, отвечающего за различные системные настройки - сравнивая слепки реестра до и после внесенных изменений. Программу полезно использовать для обнаружения запуска "троянов" и шпионских компонентов, а также для решения различных проблем, связанных с установкой аппаратного и программного обеспечения.

Программа работает под Windows 95/98/Me/NT/2000/XP и распространяется по принципам Shareware. Стоимость однопользовательской лицензии - 40$.

Advanced Registry Tracer 1.60 (размер 990Kb): линк

Более половины всех пользователей ПК в какой-то момент задумываются об автоматизации настроек своей операционной системы. Всем известно, что в операционных системах Windows централизованным хранилищем для большинства настроек самой системы и установленных приложений является системный реестр. В реестре хранятся сотни тысяч параметров, которые отвечают за различные настройки. Зная, что в разделе HKEY_CURRENT_USER расположены настройки учетной записи пользователя, в HKEY_LOCAL_MACHINE - настройки компьютера, а раздел HKEY_CLASSES_ROOT отвечает за запуск необходимой программы при открытии файла с помощью проводника, область поиска необходимого параметра сокращается, хотя найти нужный параметр все равно очень сложно. Использовать твикеры реестра не рекомендуется, так как они могут записывать в реестре ненужные разделы и параметры, а поиск в интернете ничего не дает. В этом случае вам следует воспользоваться программами, предназначенными для мониторинга реестра. В этой статье речь пойдет о RegShot и Process Monitor - утилите Sysinternals, предназначенной для мониторинга операционной системы Windows, которая в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.

Использование программы RegShot

RegShot - это небольшая утилита, предназначенная для фиксации изменений в системном реестре операционных систем Windows. Эта утилита может делать снимки системного реестра, сравнивать два снимка и находить между ними все изменения. Все настройки программы сохраняются в файле конфигурации regshot.inf, а языковые настройки хранятся в файле language.inf. Основным преимуществом программы является то, что она не интегрируется в систему и не записывает в реестр никакой информации. Рассмотрим принципы работы этой утилиты на простом примере.

В этом примере попробуем проследить за изменениями, связанными с одной из настроек браузера Internet Explorer. Для того чтобы проследить за изменениями, выполните следующие действия:

После того как отчет будет сформирован вы можете очистить из буфера программы 1й, 2й снимок, а также очистить оба снимка сразу.

Отчет в формате HTML выглядит аккуратней и является более удобным, так как в нем строки со старым значением выделены зеленым цветом, для лучшего восприятия.

Теперь, после того как изменения видны, можно написать reg-файл, отвечающий за данную настройку. Если вы боитесь сделать в reg-файле ошибку, зайдите в редактор реестра и внесите изменения. После этого экспортируйте изменения в reg-файл и в блокноте удалите все ненужные строки.

В данном случае должен получиться такой reg-файл:

Windows Registry Editor Version 5.00 "Anchor Underline"="no"

Если вам нужно найти сразу несколько параметров реестра, отвечающих за разные настройки, лучше всего находить эти параметры поочередно.

Использование программы Process Monitor

Если утилита RegShot предназначена только для фиксации изменений в системном реестре, то утилита Process monitor от Sysinternals, которая написана на основе утилит FileMon и RegMon, предназначена для мониторинга операционной системы Windows. Она в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. При помощи этой утилиты вы можете выполнять следующие действия:

• отслеживать запуск и завершения работы процессов и потоков, включая информацию о коде завершения;
• собирать данные о параметрах операций ввода и вывода;
• устанавливать фильтры для отображения только нужной информации;
• записывать в журнал все операции во время загрузки системы.

и многое другое.

В этой части статьи я расскажу только о том, как можно следить за изменениями системного реестра при помощи этой утилиты. На примере мы попробуем проследить за изменениями в реестре при изменении браузера, используемого по умолчанию. Для этого выполните следующие действия:

Диалоговое окно фильтра позволяет указывать атрибуты, которые будут отображаться или исключаться событиями, соответствующими значениям атрибутов. В этом примере нужно воспользоваться только тремя типами атрибутов:

• EventClass - тип события, охватывающий один из основных классов событий (FileSystem, Network, Process, Profiling или Registry);
• Operation - действия, которые выполняет система;
• Process Name - имя процесса, за которым необходимо следить.

В этом примере будут использоваться только некоторые значения атрибута Operation . Краткое описание некоторых действий:

RegCloseKey - закрывает дескриптор указанного раздела реестра;

RegOpenKey - открывает дескриптор указанного раздела реестра;

RegCreateKey - создает дескриптор указанного раздела реестра;

RegQueryKey - возвращает значение параметров, связанных с открытым разделом реестра;

RegEnumKey - перечисляет подразделы указанного открытого раздела реестра;

RegDeleteKey - удаляет дескриптор указанного раздела реестра;

RegSetValue - изменяет значение указанного параметра реестра;

В диалоговом окне «Process Monitor Filter» для начала удалите все фильтры. Затем выполните следующие действия:

• «EventClass» «is» . В третьем раскрывающемся списке выберите значение «File System» , а затем выберите «Exclude» . Нажмите на кнопку «Add» .

Повторите эти действия для классов «Network» , «Process» и «Profiling» .

• Из первого раскрывающегося списка выберите атрибут «Process Name» . Во втором раскрывающемся списке оставьте значение «is» . В третьем раскрывающемся списке введите имя процессов, за которыми нужно проследить. В этом примере мы будем следить за процессами iexplore.exe и opera.exe .
• Из первого раскрывающегося списка выберите атрибут «Operation» . Во втором раскрывающемся списке оставьте значение «is». В третьем раскрывающемся списке выберите значения, которые отображены на следующем скриншоте.

Также вместо того чтобы исключать некоторые действия, вы можете просто установить «Include» для действия «RegSetValue» .

После того как нужные фильтры будут выбраны, нажмите на кнопку «ОК» . Во время применения фильтров вы увидите следующий диалог:

Остановите мониторинг реестра до того как вам нужно будет проверять изменения. Для этого нажмите на кнопку «Capture» на панели инструментов, или воспользуйтесь комбинацией клавиш Ctrl+E . Очистите содержимое программы, нажав на кнопку «Clear» или при помощи комбинации клавиш Ctrl+X .

Если у вас установлен по умолчанию браузер Internet Explorer, откройте Opera и дождитесь появления диалога с предложением сделать его по умолчанию. После появления этого диалога перейдите в Process Monitor и включите мониторинг при помощи кнопки «Capture». Снова перейдите в Opera и установите его браузером по умолчанию.

После выполнения этих действий вернитесь в Process Monitor и остановите мониторинг. Окно программы Process Monitor будет выглядеть примерно следующим образом:

Среди отобразившихся значений нетрудно заметить, что все изменения, которые относятся к установке браузера по умолчанию, хранятся в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. Значение измененного параметра вы можете увидеть в столбце Details или открыв диалог свойств события:

В итоге получается следующий твик реестра:

Windows Registry Editor Version 5.00 "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML" "Progid"="Opera.HTML"