Instalando um aplicativo em uma sandbox para detectar a manipulação do registro do Windows

Gostaria de saber se existe uma maneira de detectar quais configurações de registro um instalador afeta. Existem outras opções além de executar uma VM em tamanho normal e comparar de alguma forma as capturas instantâneas das seções do registro? Se essa é a melhor abordagem, compartilhe suas experiências.

O objetivo aqui é descobrir onde, no registro, um determinado programa armazena configurações. Durante a instalação e caso contrário. Pode parecer uma boa idéia apenas perguntar aos desenvolvedores, mas já enfrentei essa situação antes (sem saber onde o programa armazena configurações no registro) e gostaria de encontrar uma abordagem geral para esse problema.

Tive boas experiências com esses pequenos aplicativos portáteis.
RegFromApp mostra apenas as alterações feitas pelo seu aplicativo de destino

RegFromApp v1.30 (NirSoft)

O RegFromApp monitora as alterações do Registro feitas pelo aplicativo que você selecionou e cria um arquivo de registro RegEdit padrão (.reg) que contém todas as alterações do Registro feitas pelo aplicativo. Você pode usar o arquivo .reg gerado para importar essas alterações com o RegEdit quando necessário.

RegShot v1.90

O Regshot é um utilitário de comparação de registro de código-fonte aberto (LGPL) que permite tirar rapidamente um instantâneo do seu registro e compará-lo com um segundo - feito após fazer alterações no sistema ou instalar um novo produto de software.

Outras experiências por conta própria:

• WhatChanged : Muito lento, mesmo em um SSD
• MJRegWatcher : Difícil determinar qual alteração no registro era importante e quais não

Uma segunda abordagem é usar o Sandboxie junto com o SandboxDiff.
Isso permite que você veja o que será alterado antes de tocar no seu sistema ativo.

Sandboxie

O Sandboxie executa seus programas em um espaço isolado, o que os impede de fazer alterações permanentes em outros programas e dados no seu computador. Você também pode acessar todas as alterações que foram feitas durante a execução do programa.

SandboxDiff

O SandboxDiff permite rastrear alterações no Registro e nos arquivos ao usar o 'Sandboxie' (um aplicativo incrível criado por Ronen Tzur). Todas as entradas do Registro e o sistema de arquivos criado / modificado por um programa em área restrita (ou qualquer ação em área restrita) são monitorados e listados com o SandboxDiff. Muito útil quando os usuários desejam (antes de instalar um aplicativo) conhecer todas as alterações feitas pelo instalador no sistema de registro e arquivos.

Você pode tentar executar o Process Explorer (uma ferramenta gratuita da Microsoft), que pode ser usada para mostrar todos os arquivos e chaves acessados ​​durante a instalação.

Serão apresentadas muitas informações, mas é possível filtrar por aplicativo (você precisará saber o aplicativo que está sendo executado durante a instalação, que pode ser algo como setup.exe ou msiexec).

O Systracer faz perfeitamente o que você deseja:

O SysTracer é uma ferramenta utilitária do sistema que pode digitalizar e analisar o seu computador para encontrar dados alterados (adicionados, modificados ou excluídos) em registros e arquivos.

Existem versões gratuitas e pagas.

http://www.blueproject.ro/systracer