В этой статье показаны действия, с помощью которых вы сможете стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.

Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы» . Это обычно происходит из-за того что у группы «Администраторы» нет соответствующих разрешений (прав) на запись в этот раздел реестра. Есть несколько причин, почему вы не можете редактировать раздел реестра:
 ■ Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
 ■ Владельцем раздела является системная служба TrustedInstaller . В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.

 ■ Владельцем раздела является системная учетная запись «Система» TrustedInstaller .

Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется

При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.

Рассмотрим первый пример , когда группа «Администраторы» является владельцем раздела, но не имеет полных прав на него:
 1 Разрешения...
 2 . Выделите группу «Администраторы» :

Если доступен флажок Полный доступ , установите его и нажмите кнопку ОК . Этого может оказаться достаточно, если группа является владельцем раздела.

Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.

  Второй пример , когда владельцем раздела является системная служба TrustedInstaller

В окне Разрешения для группы нажмите кнопку Дополнительно

В следующем окне нажмите ссылку Изменить введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК

Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК

Выделите группу «Администраторы» , установите флажок Полный доступ , нажмите кнопку OK

Теперь у вас есть полный доступ к разделу реестра и вы можете редактировать все его параметры.

  Третий пример , когда владельцем раздела является системная учетная запись «Система» . В этом случае действия будут такими же, как и с TrustedInstaller .

Возвращение исходных прав и восстановление владельца

В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller .
 1 . Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения...

 2 . В окне Разрешения для группы нажмите кнопку Дополнительно

 3 . В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: "Пользователь" или "Группа" введите имя учетной записи:

Нажмите кнопку OK

 5 . В окне Разрешения для группы выделите группу «Администраторы» , снимите флажок Полный доступ , нажмите кнопку OK

Исходные права и владелец раздела реестра восстановлены.

 ■ Если владельцем раздела являлась учетная запись Система (в английской варианте System ), то вместо
 NT Service\TrustedInstaller введите Система (в английской варианте System ).

Можно вносить изменения в реестр путем внесения новых значений для нужных параметров в самом редакторе реестра или при помощи импорта. Но есть и другой способ. Можно заранее подготовить файл в заданном формате, и нужные параметры автоматически установятся в реестре. Для этих целей используются текстовые файлы с расширением reg .

Формат REG-файла

Вот как выглядит пример REG-файла, который позволит создать раздел(Test ) с параметрами ("CatName" ).

;Устанавливаем новые параметры для раздела Test

"CatName"="reestr"
"CatAge"=dword:00000008

Синтаксис REG-файлов

Рассмотрим формат REG -файлов. Сначала идет заголовок файла

Windows Registry Editor Version 5.00

Нужно заметить, что в более ранних операционных системах, Windows 98 и Windows NT 4.0 , использовал ся заголовок REGEDIT4 . Если у вас сохранились подобные старые файлы, то не пугайтесь. поймет этот файл и корректно обработает информацию. А вот обратный процесс будет недоступен - Windows 98 не сможет распознать новый заголовок и выдаст ошибку. Одна немаловажная деталь - после заголовка обязательно идет пустая строка.

Если вам нужно включить в документ комментарий, чтобы не забыть о назначении параметра, то поставьте вначале символ ";" (точка с запятой). Комментарий служит для удобства самого пользователя и в реестр не вносится.

Создание REG-файла

Писать REG-файл можно в любом текстовом редакторе, например в Блокноте. Создайте новый текстовый документ, наберите приведенный выше код (рис. 1.1) и сохраните файл с расширением REG. Если вы хотите потренироваться в создании подобных файлов, то проще сгенерировать их при помощи экспорта из редактора реестра, а затем внести изменения в Блокноте.

Рис. 1.1.

Внесение изменений в реестр при помощи REG-файла

Выше мы уже рассматривали поведение системы при выполнении двойного щелчка по файлу с расширением .reg . При двойном щелчке на REG-файле у вас запускается редактор реестра, которому передается в качестве параметра имя файла.

ВНИМАНИЕ
Перед импортом в реестр REG-файла обязательно сделайте резервную копию реестра или точку восстановления системы! Данный способ не очень удобен для автоматизации задач. Например, мы хотим создать сценарий автоматической установки системы с использованием REG -файлов. Если таких файлов будет слишком много, то пользователю постоянно придется нажимать кнопку OK , что, согласитесь, не доставит ему удовольствия. Можно подавить появление диалогового окна, запустив команду с параметром /S:

REGEDIT /S D:\test.reg

Именно этот способ используется программистами и системными администраторами при создании своих программ и сценариев, использующих REG-файлы . Правда, служба контроля учетных записей Windows выведет запрос о разрешении операции, но службу контроля можно отключить на время подобных действий, и тогда пользователь ничего не увидит. C помощью REG-файла также можно удалять разделы. Для этого необходимо поставить знак минуса перед названием раздела. Откроем в Блокноте наш файл cat.reg и внесем следующие изменения:

Windows Registry Editor Version 5.00
:ставим минус для удаления раздела
[-HKEY_CURRENT_USER\Software\Test]

Теперь нужно дважды щелкнуть на REG-файле, чтобы запустить его и импортировать записи в реестр. Проверьте в редакторе реестра, что заданный раздел был удален.

ВНИМАНИЕ
Обратите внимание, что удалять можно только те разделы, которые не содержат в себе подразделов. В противном случае необходимо последовательно удалить все входящие в его состав подразделы и только потом приступать к удалению нужного раздела.

Также можно удалить параметр. Для этого следует поставить знак минуса (-) после знака равенства (=).

Пользователи персональных компьютеров иногда интересуются, как зайти в реестр Windows 10. Обычно он используется для резервного копирования базы данных, создания и открытия новых файлов REG, а также многих других операций. Windows 10 как новейшая операционная система содержит реестр в качестве одного из своих ключевых компонентов. Эта иерархическая база данных содержит настройки ОС, параметры приложений, сведения о драйверах устройств и паролях различных пользователей, а также другую важную системную информацию.

Когда новая программа установлена, какая-то ее часть сохраняется в файле реестра RegEdit.exe.

Чтобы создать и редактировать файл, который должен войти в реестр Виндовс 10, потребуются некоторые навыки. Перед внесением любых изменений важно создать резервную копию всей базы данных. Благодаря этому вы сможете импортировать исходные настройки из файла, если что-то пойдет не так.

Как создать новый файл

Если вас интересует, как открыть реестр в Windows 10, нужно ввести regedit в строке поиска. Затем следует нажать правой кнопкой мыши на результате поиска и выбрать из выпадающего меню «Открыть как администратор». В качестве альтернативы можно нажать комбинацию кнопок Windows + R, в результате чего откроется диалоговое окно «Выполнить». В этом поле можно ввести regedit и нажать OK. Необходимо выбрать «Файл» и «Экспорт», затем ввести имя и сохранить его. Вы можете сохранить всю базу данных или выбрать определенный диапазон. Экспортированные файлы реестра автоматически получают расширение REG по умолчанию.

Файл реестра - это простой текстовый документ с расширением REG, который можно посмотреть через приложение «Блокнот». Если он настроен правильно, то можно просто нажать на него и внести изменения в реестр Windows. Для создания нового файла можно открыть блокнот и ввести необходимый синтаксис. Нужно сохранить текстовый документ на своем компьютере, затем нажать на нем правой кнопкой мыши и изменить расширение на REG. После этого, если 2 раза нажать на файл, он внесет изменения в реестр. К примеру, такой документ может позволить вам выполнить автоматический запуск службы DNS. Чтобы вручную запустить службу, нужно изменить значение данных на 00000003.

Чтобы отключить ее, изменить значение на 00000004.

Как внести изменения

Пользователи, которые интересуются, как открыть реестр Windows 10, должны знать, что редакторы позволяют внести изменения в текущие файлы. В качестве примера можно изменить домашнюю страницу своего браузера. Это может быть полезно, если вредоносная программа получила контроль над обозревателем, что затрудняет посещение желаемого веб-сайта. Сначала вызываем редактор, набрав regedit в панели поиска или применив комбинацию Windows + R.

Нажать на символ «+» рядом с надписью HKEY_CURRENT_USER и выбрать Software Microsoft Internet Explorer. Затем щелкнуть правой кнопкой мыши на Main и выбрать Export, чтобы сохранить файл на компьютере вошедшего пользователя. После этого останется только нажать правой кнопкой мыши на файле, выбрать «Открыть с помощью» и «Блокнот».

Верхняя строка «Редактирование реестра Windows 10» сообщает операционной системе, что этот документ является файлом RegEdit. Следующая строка - это данные конфигурации, которые сообщают системе, что нужно добавить и изменить в реестре. Чтобы изменить домашнюю страницу на конкретный веб-сайт (например, Microsoft), нужно осуществить вход в:

1. HKEY_CURRENT_USER.
2. Software.
3. Microsoft.
4. Internet Explorer.
5. Main.

Затем установить флажок в правой части окна и 2 раза нажать на Start Page. В разделе Value Data ввести адрес веб-сайта и нажать OK. Если после внесения изменений что-то пойдет не так, нужно 2 раза нажать на экспортированном файле, чтобы сбросить его до исходных настроек.

Когда вы удаляете программу, есть вероятность, что некоторые параметры не будут стерты.

Чтобы полностью удалить программу, вам необходимо убрать ее запись из реестра. Для этого нужно вызвать редактор и нажать на значок «+» рядом с HKEY_LOCAL_MACHINE. Затем нажать на Software и определить программу, которую необходимо стереть. Для этого следует нажать правой кнопкой мыши на нужной записи и выбрать «Удалить».

Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.

Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.

Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.

Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe . Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.

Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду

fc c:\1.reg c:\2.reg > c:\log.txt

В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с .

Выше я использовал MS Word и формат.doc.

Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку был добавлен параметр Primer . Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в regedit ).

Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff . Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, .

Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%\System32 . Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду

windiff C:\1.reg C:\2.reg

Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.

• Строки на белом фоне означают совпадение содержимого файлов;
• Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
• Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).

У нас есть желтая строка с содержимым «Primer»=»» . Это говорит о том, что во втором файле появился параметр Primer с пустым значением. И находится он в HKEY_LOCAL_MACHINE\SOFTWARE\Test . Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.

Перейдем к сторонним утилитам мониторинга реестра.

Популярным бесплатным решением является программа Regshot . Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.

Сперва нужно сделать первый снимок реестра.

После чего их можно сравнить.

После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты. Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.

Более ненужные снимки можно удалить, нажав кнопку Очистить в интерфейсе программы. Скачать программу Regshot можно .

Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch . Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.

Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor .

Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно .

Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export , синтаксису которой посвящена . Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.

Существует специальная утилита SysTracer специально разработанная для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» - до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки» (н/п групповые политики, трасе системных утилит aka netsh)
(Честно вам скажу, что собирает она не всё, хотя в большинстве случаев ее достаточно)

А уж если Вы «боритесь со защитой злом», то там используются некоторые трюки, которые обычным трейсом не запалить 🙂
Иначе было бы все уж очень просто, в таком случае, самый полезный инструмент, в чем я поддерживаю участника l0calh0st ,
это Process Monitor от Sysinternals - это именно то, что нужно. (Эти ребята используют, судя по всему, некоторые не документированные возможности, Марк Руссинович знает толк 🙂) И спрятать какие либо движения от этой утилиты, при правильной ее настройке - крайне затруднительно. (Хотя возможно, знаю как но не скажу - ибо нехер)

PS: Единственное - внимательно ознакомьтесь с документацией в отношении фильтрации, так как Process Monitor by default протоколирует все события. В первую очередь Вам нужно нацелить его на ID процесса инсталятора, а так же (если он не используется в процессе установки - отключить сетевой дамп в нем очень много «мусора» сильно мешает разобраться).

Программы для Windows

ИТ Новости

Активация Windows 7

Приложения

Андроид

Программы

Мы Вконтакте

SysTracer Pro для Windows (Portable)

SysTracer – утилита, способная отслеживать всевозможные изменения операционной системы. Изначально программа сканирует и анализирует ОС, а затем предлагает пользователю отчет о найденных изменениях, внесенных в систему программами и их установщиками. SysTracer чаще всего используется в кругах опытных пользователей, поскольку отчеты, составляемые программой, будут понятны далеко не каждому.

SysTracer эффективна не только в процессе отслеживания поведения одного конкретного установщика, но и в процессе анализа работы приложений и системы в целом. Мониторинг изменений в операционной системе можно осуществлять многократно. Также пользователь получает возможность отследить изменения в определенный временной отрезок.

Программа работает по достаточно простому алгоритму. Изначально делается снимок реестра и всей файловой системы ОС. Как только пользователь устанавливает новое приложение, SysTracer вновь делает снимок и анализирует изменения, опираясь на разницу двух снимков. Сканирование, осуществляемое утилитой, можно дополнительно настраивать (есть возможность исключить отдельные файлы, папки, ключи реестра и подобное). Вы можете делать снимки в отдельные дни и сравнивать извинения в необходимый для вас временной отрезок, например, с 15го по 20е число и т.д.

После инсталляции и запуска инструмента вы увидите перед собой рабочее окно, в котором имеются шесть основных вкладок: Снимки, Реестр, Файлы, Приложения, Удаленное сканирование и Помощь.

Во вкладке «Снимки» можно совершать различные операции со снимками, например, создавать, переименовывать, удалять или сравнивать их. Привлекает внимание возможность экспорта снимков в веб-формате или snp-расширении. Более того, именно здесь пользователи настраивают параметры и просматривают свойства снимков. В «Реестре» предлагается изучение одного снимка реестра или сравнение двух. Пользователь может более детально изучить состояние ключей разделов. В SysTracer довольно просто определять изменения благодаря цветной маркировке. Например, зеленым цветом будут подсвечены новые элементы, синим цветом – модифицированные, красным – удаленные файлы, приложения, компоненты реестра, черным – неизмененные, а серым – те элементы, которые не сканировались.

Скачать SysTracer – это получить невероятно удобный инструмент на ПК. Загрузить софт можно посредством ссылки ниже этого обзора.

Программа просмотра изменений реестра после установки программ

Вы никогда не задумывались, а что именно изменяют устанавливаемые программы на ваш компьютер? Какие именно изменения они вносят в системный реестр Windows и системные файлы? И вам никогда не приходилось сравнивать две вроде бы похожие системы?

Конечно, такие вопросы возникают только тогда, когда на это есть причины. Например, две вроде бы одинаковые системы по разному реагируют на возникновение одного и того же события. Или, например, вы стали замечать, что после установки программы, ваш компьютер начинает странно себя вести: медленная загрузка, зависания системы при определенных действиях и так далее.

Для поиска ответов на эти и другие вопросы, Microsoft выпустила специальный инструмент под названием «Windows System State Analyzer». Программа входит в состав пакета «Windows Software Certification Toolkit», который не так уж и просто найти. Учтите, что программе требуется «.NET Framework 2.0». Утилита поставляется в 32-разрядной и 64-разрядной версиях и ее можно использовать для всех текущих версий Windows. Найти подробное описание и ссылку на скачивание вы можете найти по этой ссылке на блог Microsoft (для перевода страницы на русский язык, в правой части странице перейдите к блоку «Перевести эту страницу» и выберите нужный язык; перевод, конечно, не совсем литературный, но, тем не менее, его достаточно для нормального восприятия текста).

В конце статьи блога Microsoft вы увидите две ссылки на загрузку файла под названием «Server Logo Program Software Certification Tool» — x86 для 32-разрядных систем и x64 для 64-разрядных систем. Не пугайтесь названия, во время установки выберите выборочную установку, и уже там, среди устанавливаемых компонентов, выберите «System State Analyzer». На рисунке ниже показано диалоговое окно для выбора установки только анализатора.

Примечание : Вы так же можете установить «Windows System State Monitor», который позволяет запускать мониторинг изменений в реальном времени.

В статье блога Microsoft достаточно подробно описывается, как именно необходимо использовать анализатор. Конечно, если вы технически подкованы, то вы и сами быстро разберетесь в том, как утилита действует. Учтите, что создание первого снимка системы может занять некоторое время, особенно если вы решите контролировать все изменения на вашем компьютере.

Тем не менее, вам не обязательно выбирать все пункты, вы можете включить в анализ только те файлы и ключи реестра, которые считаете нужным. Пример использования вы можете увидеть на следующем рисунке:

Теперь вы сможете узнать обо всем том, что происходит на вашем компьютере.

ida-freewares.ru

Что лучше: слежение в реальном времени или снимки системы при установке программ?

Существует 2 подхода к слежению за инсталляциями программ (для последующей чистой очистки их данных). Первый, достаточно старый — это использование снимков реестра и файловой системы до и после установки, потом их сравнение. Второй, который используется в Uninstall Tool — мониторинг изменения в реальном режиме используя Монитор Установки ПО. Второй способ является самым прогрессивным по следующим очевидным причинам: