Пример сформированного отчета о сравнении снимков в текстовом формате приведен на рис. 5.58.
Рис. 5.58. Отчет о сравнении снимков реестра
Кратко проанализируем содержимое данного отчета.
Первая строка отчета содержит информацию о названии и версии программы Regshot.
Далее в строке Комментарий отображается комментарий к отчету (в этом случае – Отчет) в соответствии со значением, введенным в поле Добавить комментарий к отчету в окне настройки параметров отчета. Надо отметить, что в соответствии с заданным значением называется и файл отчета (см. рис. 5.58).
В строке Текущая дата указывается дата и время создания каждого снимка (через разделитель).
В строке Имя компьютера отображается имя компьютера, на котором был сделан каждый снимок (через разделитель).
Строка Имя пользователя указывает имя пользователя, создавшего каждый снимок (через разделитель).
Примечание
В рассматриваемом примере имя компьютера для каждого снимка идентично; это же касается и имени пользователя.
Далее в отчете следует информация, подробно характеризующая обнаруженные изменения. Все элементы списка сгруппированы в зависимости от изменений и функционального назначения. В частности, отдельно собраны новые разделы реестра, измененные разделы, удаленные разделы, новые параметры, измененные параметры, удаленные параметры и т. д. Если включен режим учета папок (для этого в окне настройки параметров сравнения (см. рис. 5.57) должен быть установлен флажок Учет папок), то отдельно показываются изменения в папках (приводится перечень новых, измененных и удаленных файлов). При этом для каждой группы показывается количество содержащихся в ней элементов списка.
Последняя строка отчета содержит информацию об общем количестве выявленных изменений.
Теперь рассмотрим, какие возможности по мониторингу реестра предоставляет рассмотренный ранее редактор реестра RegWorks. Чтобы запустить мониторинг реестра, необходимо воспользоваться командой Монитор → Запустить монитор.
Если вы запускаете монитор реестра в первый раз, то после открытия вкладки Монитор программа предложит вам создать фильтр (рис. 5.59). К этому же действию приводит выбор команды Монитор → Мастер создания фильтров. В противном случае будет использоваться фильтр, созданный ранее.
Рис. 5.59. Окно создания фильтра
Создание фильтра заключается в выборе имени и типа фильтра, а также дополнительных параметров, которые зависят от типа фильтра. Тип определяется в раскрывающемся списке Вам нужно, который содержит следующие пункты.
• Отслеживать активность некоторых или всех процессов – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать операции чтения некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, кроме их изменения (мониторинг использования функций RegOpenKey, RegEnumKey, RegCloseKey, RegQueryInfoKey, RegEnumValue, RegQueryValue).
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать операции записи некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, которые приводят к их изменению (мониторинг использования функций RegSetValue, RegLoadKey, RegCreateKey, RegDeleteKey, RegDeleteValue, RegFlushKey, RegUnloadKey).
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.
• Отслеживать доступ к разделу – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.
При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться, а также шаблон ветви реестра, доступ к которой будет отслеживаться.
После того как фильтр создан, будет запущен мониторинг реестра (рис. 5.60). Чтобы остановить мониторинг реестра, достаточно воспользоваться командой Монитор → Остановить монитор. После этого вы можете сохранить результаты мониторинга с помощью команды Монитор → Сохранить. Результаты сохраняются в формате XML.
Рис. 5.60. Мониторинг реестра запущен
Помимо сохранения результатов работ мониторинга, вы можете отобразить их в окне браузера. Для этого достаточно воспользоваться командой Монитор → Открыть журнал в браузере.
Напоследок рассмотрим еще один способ создания/изменения фильтра, который более полезен, чем использование мастера. Это применение команды Монитор → Редактировать фильтры, после выбора которой перед вами отобразится окно Фильтры.
