Как узнать, какая программа изменила реестр в Windows?

811
vikram

В Windows Server 2016 Technical Preview 4 создается несколько записей для оценки стоимости MSI.

В разделе HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall запись EstimatedSize создается во время выполнения MSI, но через некоторое время автоматически создается другая запись "sEstimatedSize2". Проблема заключается в том, что при удалении куста остается с этим реестром sEstimatedSize2.

Есть ли способ узнать, кто изменил реестр? Я могу узнать, когда этот ключ был создан с помощью regscanner.

1
Существуют инструменты «удаления», которые следят за каждой модификацией реестра и диска, чтобы они могли отменить их ... Jan Doggen 8 лет назад 0

1 ответ на вопрос

1
Jonno

Я бы порекомендовал использовать ProcMon - это покажет вам, какие процессы создают, читают и изменяют файлы, папки и записи реестра. Вы можете отфильтровать его по записям реестра, соответствующим определенной маске (вам придется это сделать, поскольку он очень быстро спамит со всем, что происходит на вашем компьютере).

Надеюсь, это поможет вам понять, в чем заключается ваша проблема.

Есть ли способ использовать ** ProcMon ** для отображения результатов в определенном диапазоне дат, потому что я не могу повторить вышеупомянутую проблему сейчас? vikram 8 лет назад 0
Извините, из-за вашего вопроса вы могли воссоздать проблему. Я не знаю, где эта информация регистрируется где-либо. Jonno 8 лет назад 0
Это может быть воспроизведено, потому что я не знаю, когда это будет создано. Впервые он был создан через 4 дня после того, как я установил свой продукт, и он создается для всех продуктов, установленных на машине. Для моего продукта я удалил оставшуюся запись реестра, а затем снова установил свой продукт, но до сих пор этот ключ не был создан. vikram 8 лет назад 0
Если вы знаете, какой процесс может создавать ключ, вы можете включить его в фильтр и продолжить работу ProcMon. spherical_dog 8 лет назад 0
Или добавьте фильтр для имени ключа, который вы хотите найти (`sEstimatedSize2`), пока он работает. Jonno 8 лет назад 0
Да, это было бы намного лучше, поскольку ProcMon использует слишком много виртуальной памяти, если у вас слишком много записей в журнале. spherical_dog 8 лет назад 0
Сделаю это и сообщу, найду ли я какую-либо информацию. vikram 8 лет назад 0
Согласно [этой ссылке] (https://social.msdn.microsoft.com/Forums/en-US/10cb99f9-c751-4298-8e1f-af135d9aafba/sestimatedsize2-registry-getting-created-in-uninstallproductcode-hive?forum = windbg), трассировка стека в Process Monitor показывает, что значение реестра "sEstimatedSize2" было создано StorSvc.dll во время входящего RPC. Я не думаю, что это связано с установщиком Windows. StorSvc.dll реализует службу «Служба хранения», но я не проверял, будет ли отключение этой службы препятствовать созданию значения. Установщик Windows не удаляет значение реестра при удалении vikram 8 лет назад 0

Похожие вопросы