Registry monitor что это за программа в автозагрузке
Что скрывается в автозагрузке?
Чеботарев Игорь
Ну, что, очередной раз решили включить компьютер и полазить в Интернет? Ну и как компьютер грузится? Медленно? И при этом жужжит винчестером как майский жук? Ничего удивительного. А что у вас грузится каждый раз при старте системы? Как не знаю?! Тогда пора просвещаться, а заодно проверим, нет ли где хитрых троянов, нагло ворующих пароли от Интернет.
Сперва выясним, как Windows узнает о программах, которые надо запустить во время старта системы. Всего есть три места, где хранятся эти сведения: папка Автозагрузка из меню "Пуск", файл win.ini и реестр. Ну, с Автозагрузкой все понятно - это наиболее простое и доступное место для запуска программ, а вот на win.ini и реестре стоит остановиться поподробнее.
Начнем, пожалуй, с файла. Хоть Microsoft и усиленно призывает разработчиков хранить все настройки в реестре, отказываясь от INI-файлов, уверяет пользователей в том, что эти файлы оставлены только для совместимости со старыми программами, тем не менее, сами продолжают ими пользоваться. Сам файл находится в каталоге, где установлена операционная система. Откройте его любым текстовым редактором. В самом начале файла вы увидите раздел [windows]. В этом разделе есть два параметра, отвечающие за автоматическую загрузку программ - load и run. Обычно они пустые, но если там есть какая-то запись, обязательно проверьте, что за программу она запускает, и не затесалось ли туда что-то вроде kernel16.exe :).
С win.ini все просто - там есть только одно интересующее нас в данный момент место. С реестром дело обстоит несколько сложнее. Там уже гораздо больше пространства, куда может спрятаться незваный гость. Итак, открываем реестр и начинаем поиски.
Сперва откройте раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion. Найдите там подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо - то с параметрами. Обратите внимание на разделы, в названии которых присутствует "Once". Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются.
Внимательно проверьте, что за программы у вас запускаются. Сразу после установки Windows в разделе Run присутствуют ключи с названиями internat.exe, LoadPowerProfile, ScanRegistry, SystemTray, TaskMonitor. В разделе RunServices - ключ LoadPowerProfile. Другие разделы пустые. Остальные ключи, которые могут присутствовать у вас в реестре, были добавлены другими установленными программами. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows.
Но это не единственный раздел, откуда запускаются программы. Перейдем к другой ветви, а именно к HKEY_CURRENT_USER и откроем там раздел SOFTWARE\Microsoft\Windows\CurrentVersion. Там есть только два подраздела, отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи там сделаны другими программами.
Следует помнить, что из реестра программы запускаются в первую очередь, затем из файла win.ini и самыми последними из "Автозагрузки". Так что если у вас стоит в автозагрузке антивирусный монитор, то это еще не факт, что он отловит запуск троянца, т.к. вирусы имеют гораздо меньший по размеру файл и грузятся не в пример быстрее.
Вот, пожалуй, и все об автоматически запускаемых в Windows программах. Если вы хотите ускорить загрузку вашего компьютера, то удалите все лишнее из перечисленных разделов. А когда вы устанавливаете какую-то подозрительную программу или запускаете неизвестный файл, проверьте, не добавилось ли там чего лишнего: уж больно много в последнее время развелось троянов и слишком широкие массы пользователей получили к ним доступ. Так что лишняя осторожность никогда не повредит.
Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.
- File:
- Open открывает ранее собранный и сохраненный лог-файл для анализа в Registry Monitor-е. Будьте внимательны, открывая лог, текущие собранные данные будут потеряны, поэтому, если они нужны, то сохраните предварительно собранные данные в файл.
- Save сохраняет собранные данные в файл.
- Save as. сохраняет собранные данные в файл.
- Process Properties. свойства процесса. Если в окне, где отображены собранные данные, выделить любую строку, то данный пункт меню станет доступен и при его выборе откроется окно с информацией о том процессе, обращение которого к реестру выделено. Пример окна с информацией о процессе показан ниже.
- Capture Events переключатель, который включает или приостанавливает сбор сведений об обращениях к реестру.
- Exit выход.
- Copy копирует в буфер обмена выделенную строку.
- Delete удаляет выбранную строку.
- Include Process быстрая настройка фильтра. После применения этого пункта меню будут отслеживаться обращения к реестру только указанного процесса. Чтобы отменить эту настройку исправьте фильтр (о чем будет рассказано ниже).
- Exclude Process исключить процесс. Обращения данного процесса более не будут попадать в собранные данные и он, таким образом, будет исключен из мониторинга.
- Include Patch будут собираться данные только при обращении к выделенному в момент применения команды меню разделу реестра и его подразделам. Для отмены отслеживания только определенного раздела реестра исправьте фильтр, о чем более подробно будет рассказано далее.
- Find. поиск строки в собранных данных в окне Registry Monitor.
- Regedit Jump. если выделить в окне Registry Monitor строку и выбрать этот пункт меню, то будет запущен редактор реестра RegEdit и в нем будет автоматически развернуто дерево разделов того раздела, имя которого находится в выделенной строке Registry Monitor-а. Двойной клик мышью по любой строке собранных данных в RegMon выполняет такое же действие, т.е. открывает RegEdit сразу на том ключе, к которому было зафиксировано обращение процесса.
- Clear Display очищает экран от собранных данных. Будьте осторожны, если данные представляют интерес, то не забудьте предварительно сохранить их в файл.
- Log Opens включает или отключает сбор информации о процессах, которые открывают ключи реестра.
- Log Reads включает или отключает сбор информации о процессах, которые читают ключи реестра.
- Log Writes включает или отключает сбор информации о процессах, которые пишут в ключи реестра.
- Log Successes включает или отключает сбор информации о процессах, любое обращение которых к реестру было удачно (т.е., к примеру, процесс смог успешно считать или записать значение).
- Log Errors включает или отключает сбор информации о процессах, любое обращение которых к реестру закончилось ошибкой (например, процесс не нашел определенный ключ реестра).
RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.
Итак, запустим RegMon. Настраивать пока фильтр не будем. Включим опцию Always On Top, чтобы окно RegMon не «убегало» на задний план. При запущенном RegMon-е откроем Outlook Express. Сразу после окончания его загрузки нажмем кнопку Capture или выберем пункт меню File Capture Events, чтобы остановить сбор данных. Пример окна Registry Monitor после запуска Outlook Express с остановленным процессом сбора информации показан ниже.
В данном случае интересны обращения к реестру только процесса msimn.exe, поэтому щелкнем на нем правой кнопкой и выберем Include Process, либо выберем в меню Edit Include Process. На запрос о том, хотим ли мы применить этот фильтр к уже собранным данным можно ответить и положительно и отрицательно, это не имеет значения. Теперь нужно очистить окно Registry Monitor. Для этого выберите Edit Clear Display. Последний штрих в подготовке сбора данных донастройка фильтра. Для этого выберем Options Filter/Highlight. В настройке фильтра, внизу, снимем все галки за исключением Log Writes и Log Successes, настроив, таким образом, отсеивание всех обращений к реестру за исключением успешной записи в реестр значений процессом msimn.exe. Пример настройки фильтра показан ниже.
После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.
Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK. Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.
Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Patch Registry Monitor. Подведите курсор по очереди к каждому значению в столбце Patch и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это HKEY_CURRENT_USERIdentitiesSoftwareMicrosoftOutlook Express5.0RulesMail 00. Щелкните в окне Registry Monitor по записи с самым коротким путем два раза левой кнопкой мыши. Откроется редактор реестра, в котором автоматически будет развернуто дерево разделов до раздела, по которому был выполнен двойной щелчок. Окно реестра показано на следующем рисунке.
Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.
Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.
Что делает RegMon?
Эта программа позволяет отследить ВСЕ обращения к реестру. Неважно, что вы делаете: устанавливаете какой-то софт, работаете с программами или просто запускаете их, Windows постоянно обращается к реестру. И все эти обращения можно зафиксировать с помощью Regmon. По-моему нет необходимости говорить о том, насколько такая информация может быть полезной. Теперь, проведя любые изменения в настройках системы, вы сможете узнать, где именно в реестре они отражаются. А куда в реестре обращается при запуске ваша любимая программа? И не прописывает ли при установке свежескачанная утилитка какой-нибудь непонятный файл в автозагрузку ;)? А сколько раз бывало, что заканчивался срок работы триальной программы, и для дальнейшей работы она требовала регистрации. Посмотрите с помощью Regmon, куда она обращается при запуске, и вы без труда найдете в реестре параметр, где указана дата инсталляции. Ну, а дальше все в ваших руках.
Что RegMon не делает?
Возможности программы большие, но не безграничные. Программа только отслеживает обращения к реестру.
Где скачать?
Как пользоваться RegMon?
Все обращения к реестру выводятся в основном окне программы в виде семи колонок. Я думаю, описывать их нет смысла, все и так понятно. Основные функции по работе с программой вынесены в виде кнопок на переднюю панель - нет ничего лишнего и все нужное под рукой. Пройдемся по всем этим кнопкам:
1. Save (Ctrl+S) - ну, тут все понятно - вы можете сохранить лог работы программы в отдельном файле, чтобы потом на досуге изучить его;
2. Capture (Ctrl+E) - временная приостановка/начало слежения за обращениями к реестру;
3. Autoscroll (Ctrl+A) - запрещение/разрешение слежения за последней записью. Если эта функция включена, то список обращений будет автоматически прокручиваться на экране таким образом, чтобы всегда была видна последняя строка;
4. Clear (Ctrl+X) - очистка списка (кто бы мог подумать?). Одно неприятно - если этот список достаточно большой, то он очень долго очищается, даже иногда виснет;
5. Time Format (Ctrl+T) - переключение между режимами отображения времени во втором столбце. Первый вариант - показывает системное время, в которое произошло обращение к реестру, второй вариант - время в секундах прошедшее с момента запуска regmon'a;
6. Filter/Highlight (Ctrl+L) - установка фильтров. Вы можете отслеживать обращения к реестру только конкретных программ, можете отключить слежение за определенными программами. Для установки фильтров надо указывать имя программы, при этом можно использовать маску. Так, например, фильтр "i*" будет применен и для icq, и для iexplore. Жаль нельзя использовать "?";
7. History Depth (Ctrl+H) - устанавливает количество отображаемых на экране строк. Если значение равно 0, то ограничения нет;
8. Find (Ctrl+F) - поиск в списке;
9. Regedit Jump (Ctrl+J) - при выборе строки в списке обращений и нажатии на эту кнопку, будет открыт раздел в реестре, куда было обращение.Что делает RegMon?
Эта программа позволяет отследить ВСЕ обращения к реестру. Неважно, что вы делаете: устанавливаете какой-то софт, работаете с программами или просто запускаете их, Windows постоянно обращается к реестру. И все эти обращения можно зафиксировать с помощью Regmon . По-моему нет необходимости говорить о том, насколько такая информация может быть полезной. Теперь, проведя любые изменения в настройках системы, вы сможете узнать, где именно в реестре они отражаются. А куда в реестре обращается при запуске ваша любимая программа? И не прописывает ли при установке свежескачанная утилитка какой-нибудь непонятный файл в автозагрузку ;)? А сколько раз бывало, что заканчивался срок работы триальной программы, и для дальнейшей работы она требовала регистрации. Посмотрите с помощью Regmon , куда она обращается при запуске, и вы без труда найдете в реестре параметр, где указана дата инсталляции. Ну, а дальше все в ваших руках.
Что RegMon не делает?
Возможности программы большие, но не безграничные. Программа только отслеживает обращения к реестру.
Где скачать?
Как пользоваться RegMon?
Все обращения к реестру выводятся в основном окне программы в виде семи колонок. Я думаю, описывать их нет смысла, все и так понятно. Основные функции по работе с программой вынесены в виде кнопок на переднюю панель - нет ничего лишнего и все нужное под рукой. Пройдемся по всем этим кнопкам:
1. Save (Ctrl+S) - ну, тут все понятно - вы можете сохранить лог работы программы в отдельном файле, чтобы потом на досуге изучить его;
2. Capture (Ctrl+E) - временная приостановка/начало слежения за обращениями к реестру;
3. Autoscroll (Ctrl+A) - запрещение/разрешение слежения за последней записью. Если эта функция включена, то список обращений будет автоматически прокручиваться на экране таким образом, чтобы всегда была видна последняя строка;
4. Clear (Ctrl+X) - очистка списка (кто бы мог подумать?). Одно неприятно - если этот список достаточно большой, то он очень долго очищается, даже иногда виснет;
5. Time Format (Ctrl+T) - переключение между режимами отображения времени во втором столбце. Первый вариант - показывает системное время, в которое произошло обращение к реестру, второй вариант - время в секундах прошедшее с момента запуска regmon'a;
6. Filter/Highlight (Ctrl+L) - установка фильтров. Вы можете отслеживать обращения к реестру только конкретных программ, можете отключить слежение за определенными программами. Для установки фильтров надо указывать имя программы, при этом можно использовать маску. Так, например, фильтр "i*" будет применен и для icq, и для iexplore. Жаль нельзя использовать "?";
7. History Depth (Ctrl+H) - устанавливает количество отображаемых на экране строк. Если значение равно 0, то ограничения нет;
8. Find (Ctrl+F) - поиск в списке;
9. Regedit Jump (Ctrl+J) - при выборе строки в списке обращений и нажатии на эту кнопку, будет открыт раздел в реестре, куда было обращение.Конечно, читать о различных настройках реестра очень хорошо - эта информация никогда не будет лишней. И мне неплохо, что вы заглядываете на сайт - чем выше популярность ресурса, тем больше людей он привлечет. Но вот вы столкнулись с какой-то проблемой в реестре, которую вам надо срочно решить. Вы кинулись за информацией в Интернет, но ничего найти не удается, а что-то надо срочно делать. Есть ли выход из этой ситуации? Я открою вам страшную тайну: выход есть и имя его Registry Monitor или regmon для краткости. Эта программа - незаменимый помощник всех исследователей реестра. Именно о ней и пойдет речь в этой статье.
А начну я описание с рассказа о том, что же эта программа делает. А позволяет программа, всего-навсего, отследить ВСЕ обращения к реестру. Неважно, что вы делаете: устанавливаете какой-то софт, работаете с программами или просто запускаете их, Windows постоянно обращается к реестру. И все эти обращения можно зафиксировать с помощью regmon'a. По-моему нет необходимости говорить о том, насколько такая информация может быть полезной. Теперь, проведя любые изменения в настройках системы, вы сможете узнать, где именно в реестре они отражаются. А куда в реестре обращается при запуске ваша любимая программа? И не прописывает ли при установке свежескачанная утилитка какой-нибудь непонятный файл в автозагрузку ;)? А сколько раз бывало, что заканчивался срок работы триальной программы, и для дальнейшей работы она требовала регистрации. Посмотрите с помощью regmon'a, куда она обращается при запуске, и вы без труда найдете в реестре параметр, где указана дата инсталляции. Ну, а дальше все в ваших руках.
Надеюсь, полезностью данной софтины вы уже прониклись, давайте теперь рассмотрим ее поподробнее.
Все обращения к реестру выводятся в основном окне программы в виде семи колонок. Я думаю, описывать их нет смысла, все и так понятно. Основные функции по работе с программой вынесены в виде кнопок на переднюю панель - нет ничего лишнего и все нужное под рукой. Пройдемся по всем этим кнопкам:
1. Save (Ctrl+S) - ну, тут все понятно - вы можете сохранить лог работы программы в отдельном файле, чтобы потом на досуге изучить его;
2. Capture (Ctrl+E) - временная приостановка/начало слежения за обращениями к реестру;
3. Autoscroll (Ctrl+A) - запрещение/разрешение слежения за последней записью. Если эта функция включена, то список обращений будет автоматически прокручиваться на экране таким образом, чтобы всегда была видна последняя строка;
4. Clear (Ctrl+X) - очистка списка (кто бы мог подумать?). Одно неприятно - если этот список достаточно большой, то он очень долго очищается, даже иногда виснет;
5. Time Format (Ctrl+T) - переключение между режимами отображения времени во втором столбце. Первый вариант - показывает системное время, в которое произошло обращение к реестру, второй вариант - время в секундах прошедшее с момента запуска regmon'a;
6. Filter/Highlight (Ctrl+L) - установка фильтров. Вы можете отслеживать обращения к реестру только конкретных программ, можете отключить слежение за определенными программами. Для установки фильтров надо указывать имя программы, при этом можно использовать маску. Так, например, фильтр "i*" будет применен и для icq, и для iexplore. Жаль нельзя использовать "?";
7. History Depth (Ctrl+H) - устанавливает количество отображаемых на экране строк. Если значение равно 0, то ограничения нет;
8. Find (Ctrl+F) - поиск в списке;
9. Regedit Jump (Ctrl+J) - при выборе строки в списке обращений и нажатии на эту кнопку, будет открыт раздел в реестре, куда было обращение.
Читайте также: