版权归作者所有,转载请注明出处
ProcessMonitor文件以及注册表监视器的使用
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
近期有个关于离线安装软件修改windows注册表的工作,基于这个工作,首先要搞明白在线安装软件时,windows注册表都做了哪些修改以支持软件的安装运行,这里我选择了ProcessMonitor来进行监视。
简介:Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。
我主要用到的就是ProcessMonitor的注册表监视功能,所以这里只介绍ProcessMonitor的注册表监视功能。
这里测试组策略修改之后,对应注册表的变化。
1、在运行gpedit.msc后,打开Process Monitor; gpedit.msc的进程为mmc.exe
2、单击工具栏的Filter图标,在弹出的Process Moniter Filter窗口中,先把列表中内容Remove;
3、在选择Process Name is 你的安装程序的进程名,勾选 Includ,单击Add后,在下面的列表框看到绿色勾图标就表示添加成功了,单击OK按钮;
4、这个时候就会在Monitor的主窗口显示监控的信息,可以通过工具栏的 Register来只显示注册表信息;
5、执行安装过程,注册表的修改信息就会被记录下来
。
记得要点亮工具栏的Autoscroll按钮哦,不然不会捕捉(叉叉表示停止捕捉)另外利用filter过滤器还可以筛选自己所要查看的对应的操作,选中对应的operation后,点击add按钮,当左侧的绿色对号出现,点击应用、确定就可以进行对内容的筛选了。
我这里主要关心注册表的修改信息,所以我主要筛选出了有关注册表修改的项目:
通过monitor的监视内容就可以看出在修改组策略时候对注册表进行了哪些操作。指定其中的某一个监视项右击进行jump to,就可以跳转到windows注册表编辑器对应的键值中。
资料参考:https://blog.csdn.net/wcs_sdu/article/details/80065386
