Как посмотреть к каким файлам обращается программа
Зачастую пользователям и системным администратором необходимо отслеживать, к каким файлам обращается приложение. В Linux-е уже есть все средства для этого, и тем удивительнее постоянно слышать на форумах — есть ли аналог Sysinternal Filemon. В данной статье я опишу использование утилиты strace, и рассмотрю ряд моментов, которые ускользают от некоторых пользователей, полагающих, что приложениям надо ограничивать права даже на чтение, например, ограничить доступ mplayer-а только к показываемому фильму.
strace — это трассировщик системных вызовов и сигналов. Для работы с файлами используется системный вызов «open», и соответственно, необходимо отслеживать только его. Пример команды:
$ strace -xf -eopen -o /path/to/log /path/to/program
Здесь мы указываем отслеживать все дочерние процессы, заменять непечатаемые символы на шестнадцатеричное представление и сохранять лог вызовов в файл /path/to/log. Потом полученный лог можно обработать соответствующими инструментами. Далее будут приведены примеры, как можно вычленить из лога всю нужную информацию.
Мониторинг текстового редактора nano
- Конфигурация nano (nanorc, ~/.nano_history)
- Динамические библиотеки, используемые программой (libc и др.)
- Файлы локализации
- И собственно редактируемый файл
Мониторинг видеопроигрывателя mplayer
Теперь попробуем запустить mplayer и проверить те файлы, в которые он только пишет. Возможно, это нам даст возможность составить нужный безопасный профиль работы программы.
$ strace -xf -eopen -o out.log mplayer test.mp4
$ sed -n 's/.*open(\(.*\))\s*=.*/\1/p' out.log | grep -v O_RDONLY | sort
"/dev/3dfx", O_RDWR
"/dev/fb0", O_RDWR
"/dev/mga_vid", O_RDWR
"/dev/mga_vid", O_RDWR
"/dev/shm/pulse-shm-3056117003", O_RDWR|O_CREAT|O_EXCL|O_NOFOLLOW|O_CLOEXEC, 0400
"/home/nuald/.mplayer/config", O_WRONLY|O_CREAT|O_EXCL, 0666
"/home/nuald/.pulse-cookie", O_RDWR|O_CREAT|O_NOCTTY, 0600
Здесь мы командой grep ограничили вывод, и не включали файлы, которые были открыты с флагом O_RDONLY (только на чтение). Как видите, и здесь не все так гладко — mplayer-у приходится писать в другие файлы, и возможно ограничение доступа полностью его сломает, и он не сможет воспроизводить видео. Так что приведенную выше идею об ограничении доступа не так просто будет реализовать, и точно не реализовать в ее изначальном смысле.
Заключение
В этом небольшом эскурсе была приведена лишь одна область применения strace. У данной программы есть много замечательных способностей, и она может позволить избавиться от бессонных ночей в поисках причин неработоспобности приложений даже без применения отладчика. Это инструмент, который должен знать любой Linux-разработчик, и надеюсь, что это принесет вам пользу в борьбе с многочисленными багами, и повысить качество разрабатываемого программного обеспечения.
Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.
Как узнать, где программа хранит свои настройки в реестре
После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe
После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку "Agree"
Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe .
Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe , для этого мы выбираем пункт меню "Filter" и в нем опцию с одноименным названием "Filter. ".
После чего выбираем из раскрывающегося меню пункт "Process Name", вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку "Add", чтобы наш фильтр добавился:
Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку "Apply" и потом на "OK", для закрытия окна настроек.
В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы:
Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.
Разработчики из Windows Sysinternals выпустили новую версию утилиты Process Monitor 3.0, популярной утилиты для мониторинга системы. Этот полезный инструмент предоставит подробную и актуальную информацию об активности всех приложений, выполняемых на вашем ПК. В том числе пользователь сможет узнать, к каким файлам обращаются программы, с какими ключами реестра взаимодействуют, какие процессы запускаются от их лица и многое другое. Предлагаемая версия не может похвастаться большим количеством новых функций, однако некоторые предложенные изменения наверняка вызовут интерес у пользователей.
К примеру, с помощью предлагаемого инструмента пользователь сможет выявлять причины утечек системных ресурсов, происходящих в его отсутствие. Для решения указанной задачи запустите Process Monitor, выберите опцию «Capture Events» в меню «File» и изучите имена процессов в левой части экрана. На этой панели можно найти информацию о файлах, открываемых и закрываемых различными процессами, и узнать к каким ключам реестра обращается интересующая вас программа. Эта информация поможет обнаружить нежелательные программы, например приложения, работающие в фоновом режиме и удалить их с целью высвобождения ресурсов системы. Не менее полезной утилита окажется при решении проблем в работе компьютера. Допустим, вы пытаетесь запустить программу под названием app.exe, однако приложение неожиданно завершает свою работу сразу же после запуска. Благодаря Process Monitor вы сможете идентифицировать отсутствующие файлы или неправильно настроенные параметры приложения.
При запуске новой процедуры трассировки, пользователь нередко получает отчет внушительных размеров, содержащий сотни и тысячи строк. Размер отчета можно слегка сократит с помощью специальных фильтров, однако, даже после этого можно будет наблюдать некоторый переизбыток информации. Вниманию пользователей версии Process Monitor 3.0 предлагается поддержка закладок, предназначенных для выделения наиболее важных данных (опция «Toggle Bookmark» в контекстном меню). Новая функция может использоваться даже со старыми отчетами. Выбранные пользователем строки для лучшей видимости выделяются полужирным шрифтом. А переход между закладками осуществляется одним нажатием на кнопку. Благодаря этому нововведению, владелец компьютера сможет быстро и без лишних усилий обнаружить всю интересующую его информацию.
В версии Process Monitor 3.0 был усовершенствован механизм записи переменных окружения, в особенности в момент запуска процесса. Выберите приложение и выполните операцию «Process Start», после чего вы увидите папку, из которой запускается конкретная программа и полную копию его текущего окружения. Разработчики также сообщают, что выпущенная версия утилиты может похвастаться более тесной совместимостью с новой операционной системой Windows 8.
Я просматривал рабочий календарь, когда почтовая программа Outlook 2010 внезапно сообщила об ошибке и закрылась. После перезапуска она не смогла открыть OST-файл, и сегодня я расскажу, как решил эту проблему за три минуты.
При запуске программа выдавала такую ошибку:
На работе у меня ОС и программы с английским интерфейсом, поэтому я приведу эквивалентный текст ошибки из русской версии Office.
Выполнен выход из Microsoft Outlook без правильного закрытия файла данных Outlook. Необходимо перезапустить Microsoft Outlook. Если ошибка повторится, обратитесь в службу поддержки.
В Process Explorer я нажал Ctrl + F и ввел в поиск .ost. В результатах немедленно отобразился «захватчик». Щелкнув по нему, я перешел в нижнюю панель Process Explorer и выбрал в контекстном меню команду Close Handle.
Это решило проблему! Почтовая программа запустилась нормально, и я вернулся к работе.
Что делать, если веб-камера используется другим приложением
В комментариях читатель Игорь задал вопрос, можно ли использовать Process Explorer, чтобы определить, какое приложение использует веб-камеру. Да, процесс аналогичный, но искать нужно:
Я в курсе, что существует Unlocker, но его надо было еще скачать, а утилита Process Explorer находилась под рукой. К тому же, мораль записи не только в этих двух программах. Ведь прежде чем применять их, нужно было выйти на причину проблемы.
Upd. 11-Мар-13. Хотелось бы дополнить заметку моментами, всплывшими в ее обсуждении:
- Если ничего нет под рукой, можно попытаться переименовать файл. Проводник может подсказать программу, использующую его.
- В Windows 7 и выше можно воспользоваться встроенной программой «Монитор ресурсов» (resmon), где на вкладке CPU есть поиск дескрипторов.
- Утилита NoVirus Thanks FileGovernor (описание)
- Утилита NirSoft OpenFilesView (работает с ограничениями на х64).
А вам приходилось использовать Unlocker или Process Explorer в подобных ситуациях? Напишите в комментариях, какую из утилит вы применяли и в чем была проблема!
Метки: sysinternals, диагностика Информация в статье применима к Windows 7 и новее
Вадим - владелец этого блога, и почти все записи здесь вышли из-под его пера. Подробности о блоге и авторе здесь. Поддержать автора вы можете тут.
Вас также может заинтересовать:
Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.
комментарий 91
Для таких целей пользуюсь анлокером — давно скачан и, по-моему, более удобен: ничего лишнего кроме драг-энд-дроп заблокированного файла и нажатия одной кнопки в программе.
Годится! Согласны? +22
Афанасий, дискуссия на тему специализированных инструментов против универсальых может быть вечной. Вопрос лишь в том, что позволяет решить задачу эффективнее.
В данном случае эффективность одинакова, а наглядность Unlocker является преимуществом, скорее, для менее опытных пользователей.
Годится! Согласны? +11
Афанасий,
аналогично. и на флешке со зверевской сборки unloсker самоустанавливающийся висит.
Ваша оценка: -3
Анлокером часто пользовался, особенно, при «невозможности» извлечь флешки и удаления файла.
Ваша оценка: +3
Здравствуйте.
Не знаю, в тему или нет — на некоторых сайтах
имела место блокировка браузера , выход из ситуации
только диспетчером задач(процесс эксплорер то же сгодится)
процедурой «снять задачу».
Ваша оценка: -2
Вот за это мне и нравится ваш блог. Я за то, чтоб понять проблему. Да согласен unloсker быстро и не заморачиваться не надо.
Ваша оценка: +3
Process Explorer постоянно. Видно и что работает и что тормозит. Встроенное меню удобно.
Unlocker — «не думай, я сделаю всё сам». Не моё.
Ваша оценка: 0
Gofast,
Gofast: Афанасий,
аналогично. и на флешке со зверевской сборки unloсker самоустанавливающийся висит.
»
Ну, это уже не то самое. Сборки vs. Лицензии )))
Ваша оценка: 0
А я не понял, что это, собственно, за процесс такой и что ему нужно от этого файла.
Ваша оценка: 0
Алексей, хорошие вопросы. Я действительно надеялся, что кто-нибудь их задаст!
Ответ на первый я узнал прямо в Process Explorer — в свойствах процесса, после чего сразу стал более-менее понятен ответ и на второй. Но вы можете нагуглить оба ответа. Попробуйте провести свое расследование и напишите результат :)
Upd. Судя по минусованию комментария, людям даже погуглить лень :) Между тем, ниже отписал человек, который не поленился.
О как! А вы что думаете? +2
Вадим, подскажите, а можно ли решить подобную проблему средствами самой системы. Я конечно понимаю что Анлокер, что Proccess Explorer скачать недолго, но ситуации ведь разные могут быть.
Ваша оценка: 0
Еще один отличный вопрос :) Думаю, вторую часть задачи можно было решить системными средствами в Windows 7 и 8 (в Vista не помню, а в XP — вряд ли). Подумайте, в каком направлении надо действовать — подсказка есть в диспетчере задач.
Ваша оценка: +3
Я пользовался Unlocker в нескольких случаях. Сейчас по ненадобности даже не имею его установленным. Большинство задач не показывают необходимости ни одной из вышеупомянутых программ, но когда я прочитал, что у Вадима не открывался файл Outlook, то меня словно осенило! Эта же проблема была у меня! Только я почему то пошёл более трудными путями её решения.
Ваша оценка: +2
Вадим, и как же вы решали задачу?
Ваша оценка: 0
К Process Explorer пока себя только приручаю.
Годится! Согласны? +8
Алексей, интересный вариант. Я как-то и не подумал про него :)
Ваша оценка: +2
Unlocker.
Раньше по не знаю просто перезагружался. Наверное и в случае с почтовой программой можно было избавится от проблемы перезагрузкой.
Ваша оценка: 0
Да, мне в Facebook именно перезагрузку и советовали :) И да, я ее выполнил при первом возникновении проблемы. А диагностику проводил уже во второй раз. В третий раз я перезапускал уже только виновника проблемы, а не всю систему, что сопряжено со значительной потерей рабочего времени.
Ваша оценка: +1
Vadim Sterkin, а навсегда устранить проблему нельзя?
Ваша оценка: 0
Можно, но я ж не могу переписать приложение, которое создает проблему :)
Ваша оценка: +1
Vadim Sterkin: Можно, но я ж не могу переписать приложение, которое создает проблему :) »
Ваша оценка: 0
Vadim Sterkin,
Vadim Sterkin: Вадим, и как же вы решали задачу?
»
Очень просто, коллега — покупкой нового ноутбука! Хахахахаха! Нет, я честно как раз покупал ноутбук в то время. Но на другом компьютере проблема решилась при перезагрузке и «пересоздании» самого файла данных из оутлука. Для чего сначала надо было запустить настройки учтёнок почты из Панели Управления и удалить загружаемый профиль по умолчанию, так, как он был «corrupted». Да, может это неверное решение, но мне помогло.
Ваша оценка: 0
Вадим, не похоже, что ноги у наших проблем росли из одного места, но мне нравится ваше решение :)
Ваша оценка: 0
В данном случае достаточно просто перезагрузить компьютер и лок снимется. :)
Вариант еще проще — в диспетчере задач убиваем Outlook.exe
Ваша оценка: -1
Алексей, про перезагрузку я объяснял выше, а ваш вариант с диспетчером задач намекает, что вы не вникли в проблему.
Ваша оценка: 0
Ваша оценка: 0
Алексей, проблема возникает не регулярно, а изредка. Каких-то определенных условий я не отловил.
Ваша оценка: 0
Приходится, практически регулярно, на разных машинах встречаться с подобным явлением. Посему, в ремнаборе на флешке must have freeware портативные версии: 1) AnVir Task Manager; 2) Unlocker; 3) Autoruns; 4) System Explorer; 5) Process Explorer; 6) Process Monitor; 7) AVZ. и etc.
Ваша оценка: +1
Vadim Sterkin,
wbxcolex.exe процесс принадлежит Cisco Jabber for Windows. Среди заявленных в нем функций есть:
Search Outlook contacts from Jabber search box
Add Outlook contacts to Jabber contact list
Initiate voice calls to outlook contacts
Display Outlook photo in Jabber
Display Contact details in Jabber
Reverse Number lookup for Outlook Contacts
Судя по всему именно при работе с этими задачами и был заблокирован файл.
Годится! Согласны? +4
На рисунке процесс немного другой — wbxcOIEx.exe. Это WebEx mapi component, действительно являющийся частью Cisco WebEx Connect, построенного на Jabber.
Ваша оценка: 0
Alanter,
Можно еще использовать команду
openfiles /query /FO List /V
тогда будет отображен список всех процессов и открытые в них файлы.
Но к сожалению предварительно должна быть выполнена команда openfiles /Local on которая включит построение списка обьектов. Выполнение этой команды требует перезагрузки. Следовательно ее надо было включить заранее.
Ваша оценка: 0
Угу, но проблема возникает изредка, так что это не пройдет. Да и вообще путь не самый короткий.
Ваша оценка: 0
я так полагаю что нам поможет «Монитор Ресурсов», который можно вызвать из диспетчера семерки и, наверно, восьмерки. кокретно вкладка «Диск» + сортировка по имени в колонке с путем в какой файл что-то пишется. в первой колонке будет имя процесса.
Ваша оценка: +2
Валерий, верно! Только на диск может ничего не писаться, зато на вкладке CPU есть Связанные дескрипторы — Поиск дескрипторов.
P.S. Handle — дескриптор.
Ваша оценка: 0
Как всегда что- то новое о Process Explorer. Отличный инструмент. Хоть часть функционала и можно заменить другими утилитами, но их понадобится десяток, чтобы заменить одну программу весом меньше мегабайта))
Ваша оценка: 0
Виталий, согласен. Хотя в моем блоге Process Explorer чаще появляется для объяснений, в то время как Process Monitor — для диагностики.
Ваша оценка: 0
Unlocker против Диспетчера задач, на мой взгляд, проигрывает (к тому же, может нести в себе вредоносный код). Мне системного Диспетчера вполне хватает.
Ваша оценка: -2
Игорь, Unlocker не несет в себе вредосного кода и обладает функциями, отсутствующими в диспетчере задач. Да, тот может завершить процесс, но сначала его нужно определить…
Ваша оценка: +1
Unlocker — использую часто для разблокировки файлов для удаления (и не только). А вторая программа тоже имеется — использую как второй диспетчер задач.
Ваша оценка: 0
Вчера вечером попал в примерно такую ситуацию. При удалении программы никак не мог удалить одну DLL-ку. Раньше пользовался Unlocker-ром. Что не говорите, а программка удобна. Но под рукой её не оказалось, а перезагружать систему не хотелось. Запустив Process Explorer не чего не выявил, но при повторном удалении заметил как проскакивал диспетчер очереди печати и моя DLL-ка. «Убив процесс» с легкостью удалил DLL.
Ваша оценка: 0
Process Explorer универсальная утилита, лично мне как ит специалисту удобней она. Вообще универсальные/от производителя утилиты лучше.
Ваша оценка: 0
Всем привет ! Вопрос : Как в диспетчере задач можно решить проблему ? Если там можно только завершить процесс или ждать когда же он ответит !
Ваша оценка: 0
Андрей, диспетчером задач проблему не решить.
Ваша оценка: 0
Дима,
несколько раз натыкался на такие сайты, нашел нетривиальное решение без выключение браузера в процессах — открываю исходный код и выкашиваю все строчки. после чего нажимаю «уйти» в предложении мозиллы покинуть или закрыть вкладку.
Ваша оценка: 0
Пользуюсь обееми прогами, обе хороши. Unlocker быстро находит причину и справляется с ней, а Process Explorer прекрасно мониторит процессы и их дерево запуска. Первая особенно удобна когда нужно из под администратора удалить набор файлов, у которых отсутствуют права доступа. Никаких лазаний по безопасности файлов и папок, прога сама всё делает. Очень удобно.
Ваша оценка: 0
А какая там тогда подсказка ? Если не трудно подскажити ?
Ваша оценка: 0
Андрей, там есть кнопка «Монитор ресурсов», а объяснение уже есть выше в комментариях.
Ваша оценка: 0
В поддержку системных инструментов скажу, что Unlocker не всегда способен разанлочить файл.
Равно как и NoVirusThanks FileGovernor, и остальные анлокеры.
Сам же для всех подобных вещей использую AnVir, хотя разблокировывать им не приходилось. Собственно, он дескрипторы только показывает. Да и вообще я не большой знаток таких тонкостей. Был. Спасибо Вадиму.
А почему АнВир? Да по привычке — в родном диспетчере винды продвинутые возможности появились лишь недавно — в 7 и 8, а «кушать хотелось всегда». АнВир предоставлял мне много лет возможности отсутствовавшие в стандартной поставке Windows. Кроме того, у него много дополнительных разных вкусностей, и я без него просто не могу сегодня.
Но за суперспособности Process Explorer’a все равно спасибо!
Ваша оценка: 0
Только если указанное приложение само себя зарегистрировало для этих целей (т.е. сказало Windows, «я могу лочить файлы, если что, спрашивай меня»).
Ваша оценка: 0
Сергей, расскажите, как выполняется эта регистрация.
Ваша оценка: 0
Я в курсе, что существует Unlocker, но его надо было еще скачать, а утилита Process Explorer находилась под рукой. К тому же, мораль записи не только в этих двух программах. Ведь прежде чем применять их, нужно было выйти на причину проблемы.
Если бы у Вас «под рукой» был Unlocker было бы еще проще. Он сразу показывает заблокированный путь, путь процесса и еще и дескприптор, через который можно получить доступ к потоку ввода-вывода, ну это если очень надо :-)
Пользоваться приходилось и не раз. Обычно при удалении. Похожая ситуация
тоже случалась пару раз. Просто в Unlocker или lockhunter, стоят обе, выбирал разблокировку и перезапускал «споткнувшуюся» программу. Все сразу работало.
Ваша оценка: 0
Ваша оценка: 0
Как практически официальный адвокат сторонних утилит должен назвать еще один прекрасный инструмент для данного случая — Nirsoft OpenedFilesView:
Как и все у НирСофта, минималистично и функционально.
Ваша оценка: 0
Ваша оценка: 0
вот почему (в том числе) я не люблю х64 ;-)
Ваша оценка: 0
Вадим, возможно ли проделать такой же фокус с Process Explorer для того что бы определить, какое приложение использует веб-камеру? Просто у меня регулярно встает такой вопрос(например, в скайпе камера перестает включаться или при работе вырубается) , но в Process Explorer вроде не наблюдается процесс, который мог бы такое сделать(( , да и сообразить у меня не выходит, как применить к железу методику, описанную в статье.
Ваша оценка: 0
Ваша оценка: 0
Vadim Sterkin,
Вадим, спасибо большое за подсказку! Виновником оказался один из handle (по русски, наверное, дескриптор) Проводника: после его отключения камера на скайпе заработала!!
Ваша оценка: 0
Игорь, спасибо за вопрос :)
Ваша оценка: 0
rodocop: В поддержку системных инструментов скажу, что Unlocker не всегда способен разанлочить файл.
Равно как и NoVirusThanks FileGovernor, и остальные анлокеры.
»
Удивительно,но я отказался от Unlocker,как раз в пользу NoVirusThanks FileGovernor,за два года она меня еще ни разу не подвела.
небольшая статейка для ознакомления
Ваша оценка: 0
Vadim Sterkin, может быть, это и очевидно, но не считаете ли нужным упомянуть о перезагрузке как об одном из способов решения проблемы в тексте статьи?
Ваша оценка: 0
Дмитрий, а как тогда ответить на вопрос, вынесенный в заголовок? :) И тема перезагрузки уже обсуждалась в комментариях.
Ваша оценка: 0
Можно ли в Process Explorer узнать, что мешает извлечь флэшку или внешний жёсткий диск? Поиск по строке типа «F:» не даёт результатов.
Большинство программ, которые вы устанавливаете на компьютер, хранят часть своих файлов в папке Program Files , а часть - в разных служебных папках пользователя. А вот настройки свои они предпочитают хранить в системном реестре. Знать, где именно хранит свои настройки та или иная находящаяся в активном состоянии программа бывает полезно, но как определить ветку реестра, в которую эти самые настройки записаны?
С помощью Procmon или иначе Process Monitor — маленькой портативной тулзы, входящей в состав пакета утилит Sysinternals , предназначенного для обслуживания и системного администрирования Windows. Хорошо, предположим, что мы хотим узнать, к каким ключам реестра у нас обращается программа ClipClip или какая-либо иная программа. Первым делом запускаем от имени администратора Procmon, а затем и отслеживаемое приложение, заодно определяя полное название его исполняемого файла в Диспетчере задач.
Фильтруем ненужные процессы
В нашем примере исполняемый файл приложения называется ClipClip.exe , отфильтруем его, убрав из поля зрения все ненужные нам процессы.
Для этого в Process Monitor идем в меню «Filter».
Выбираем в нём опцию с тем же названием и выбираем в выпадающих списках в полях следующие параметры:
Остальные настройки не меняем и жмем кнопку «Add», чтобы добавить наш фильтр, а затем нажимаем кнопки «Apply» и «OK», дабы применить фильтр.
Обратите внимание на колонку «Operation»: пункты, в названии которых имеется элемент строки «Reg» это и есть ключи реестра, к которым обращается программа.
Кстати, на панели инструментов утилиты можете отключить отображение других типов активности процесса, оставив только обращение к реестру. Вот таким нехитрым способом можно легко выяснить, к каким ключам реестра обращается программа в процессе своей работы.
Читайте также: