Existe uma maneira de ver todos os arquivos e entradas do Registro que um aplicativo instala?

32

Estou tentando descobrir se existe uma maneira de instalar basicamente um aplicativo em uma sandbox, para que eu possa ver facilmente todos os arquivos criados e todas as entradas de registro adicionadas sem procurar no computador procurando por arquivos.

Ele não precisa ser uma caixa de areia, desde que me diga tudo o que o instalador fez. Certamente tem que haver algo lá fora que faça isso. Sei que meu A / v me diz quando acessa determinados arquivos e pastas, mas estou procurando uma abordagem mais precisa que registre tudo para que eu possa analisá-lo depois.

windows-7 windows installation windows-registry sandbox user1632018
fonte
Você pode auditar as alterações do registro no Windows 7, mas isso depende da versão específica usada.
Doktoro Reichard

Respostas:

33

  1. Baixe, descompacte e execute o Process Monitor .

  2. Execute seu instalador. Estou usando o FileZilla para este exemplo.

    insira a descrição da imagem aqui

  3. Enquanto o instalador é executado, você pode usar a mira e arrastá-la para a janela do instalador. Isso criará um filtro que resulta no Process Monitor mostrando apenas eventos relacionados a esse processo.

    insira a descrição da imagem aqui

    Você também pode esperar o instalador terminar e selecioná-lo dos eventos gravados. Você pode clicar com o botão direito do mouse no Nome do processo e criar um filtro Incluir facilmente.

  4. Agora você terá um log de todos os sistemas de arquivos ou acesso ao registro do instalador. Agora você pode criar filtros adicionais para analisar mais os dados ou usar as funções disponíveis no menu Ferramentas .

    Especialmente Resumo de arquivos e Resumo do registro podem ser interessantes nesse contexto.

    insira a descrição da imagem aqui

No entanto, observe que ao filtrar eventos apenas para um processo específico, você pode perder operações que não são causadas diretamente pelo próprio processo do instalador. O instalador pode chamar alguma API do Windows que indiretamente faz com que os valores do registro sejam alterados.

Da mesma forma, o instalador pode gerar um processo filho que faz modificações no arquivo e / ou no registro. Esse processo filho também não seria visto quando você filtrasse apenas o processo pai.

Quando um processo gera um processo filho, isso será indicado pela operação Process Create no Process Monitor.

Der Hochstapler
fonte
Olá Oliver, obrigado pelo tutorial detalhado. Eu realmente gostei disso. Estou apenas desinstalando o software e o testarei logo após a reinstalação. Vou mantê-lo informado sobre o quão bem ele funciona para mim.
user1632018
Uau, essa resposta deixa a minha com vergonha. +1 para você!
MonkeyZeus
Acabei adotando essa abordagem. Funcionou muito bem quando eu peguei o jeito. Percebi que é melhor definir os filtros antes da mão ou então leva muito tempo para filtrar os objetos na lista.
user1632018
@ user1632018: Se você tiver um conjunto de filtros funcionando para você, também poderá ativar a opção Soltar eventos filtrados no menu Filtro . Em seguida, os eventos filtrados nem são armazenados.
Der Hochstapler
9

Eu acho que você pode estar procurando algo como Total Uninstall

Este software precisa ser instalado antes do aplicativo que você deseja monitorar.

Ele mantém um log de todas as entradas e arquivos do registro criados e alterados.

Ele fornece uma GUI para navegar nos programas recém-instalados e monitorados.

MonkeyZeus
fonte
As respostas somente de link são inadequadas para SU. Forneça uma explicação um pouco detalhada sobre como o programa funciona e como resolve o problema do OP.
Doktoro Reichard
Parece um bom software, mas eu estava me inclinando para uma abordagem livre. Parece promissor como desinstalador. Um tempo atrás, eu estava procurando por um desinstalador que adotasse essa abordagem. Acabei com o Revo Uninstaller porque não consegui encontrar um. Revo apenas procura por chaves e arquivos que contenham o nome neles. O que nem sempre é preciso e pode excluir chaves importantes do registro se o usuário não for cuidadoso. Então, obrigado por isso. Se eu ficar de saco cheio da revo, provavelmente comprarei este desinstalador. Para este uso, embora eu esteja seguindo a abordagem do monitor de processo.
user1632018
Boa sorte! Certamente deixe-nos saber como vai.
MonkeyZeus
7
  1. Exporte todo o registro antes da instalação
  2. Exporte todo o registro após a instalação

Use um arquivo diff para obter as diferenças entre os dois registros.

http://support.microsoft.com/kb/171780

Você pode baixar o software para fazer isso por você (veja abaixo)

http://www.aplusfreeware.com/categories/util/registry.html

Outra coisa que você pode fazer é baixar o "Sysinternals Process Monitor". Em seguida, você pode filtrar as operações realizadas pelo instalador. Você pode filtrar até as operações que deseja ver (RegWrite, RegQueryValue, etc) e salvar a captura para visualização posterior.

software é divertido
fonte
Estou tentando a abordagem do monitor de processo enquanto falamos. Avisarei se funcionar bem para mim.
user1632018
A probabilidade de um outro programa como modificar o registo em que o tempo é muito alto para esta abordagem para ser razoável
developerbmw
1

Uma maneira mais amigável que o ProcessMonitor é usar um programa de monitoramento de instalação real. O que eu sempre usei e preferi é o InCtrl5 da PCMagazine . Costumava ser gratuito e, enquanto eles começaram a cobrar por seus utilitários há vários anos, você ainda pode encontrar uma cópia de alguém que fez o download enquanto estava livre e tinha a licença gratuita. Eles também o atualizaram para o InCtrlX, o que é presumivelmente melhor, mas não gratuito.

Outro que eu gosto é o ZSoft Uninstaller . Das dezenas de programas que testei, esse foi o próximo melhor para o InCtrl5. Também é grátis.

Esses programas funcionam tirando um instantâneo do registro e do sistema de arquivos antes e após a instalação e, em seguida, fazendo uma comparação para descobrir o que foi alterado (adicionado, removido, modificado). Ao contrário de um programa como o ProcessMonitor, que simplesmente monitora os acessos ao sistema, eles filtram as alterações reais no sistema e as melhores ainda filtram os falsos positivos, como arquivos temporários e alterações iniciadas pelo SO.

Synetech
fonte
+1 para o InCtrl5. Maneira muito amigável de fazer isso.
21813 Ryan_S
0

Você pode usar o VMware ThinApp para instalar um aplicativo em uma caixa de areia. Ele gravará e virtualizará seu aplicativo em uma pasta separada, onde você poderá monitorar todo o seu conteúdo. Aqui está o link:

http://www.vmware.com/products/thinapp/

Zeeshan
fonte