近期有個關於離線安裝軟件修改windows註冊表的工作,基於這個工作,首先要搞明白在線安裝軟件時,windows註冊表都做了哪些修改以支持軟件的安裝運行,這裏我選擇了ProcessMonitor來進行監視。
簡介:Process Monitor一款系統進程監視軟件,總體來說,Process Monitor相當於Filemon+Regmon,其中的Filemon專門用來監視系統 中的任何文件操作過程,而Regmon用來監視註冊表的讀寫操作過程。 有了Process Monitor,使用者就可以對系統中的任何文件和 註冊表操作同時進行監視和記錄,通過註冊表和文件讀寫的變化, 對於幫助診斷系統故障或是發現惡意軟件、病毒或木馬來說,非常 有用。 這是一個高級的 Windows 系統和應用程序監視工具,由優秀的 Sysinternals 開發,並且目前已併入微軟旗下,可靠性自不用說。
我主要用到的就是ProcessMonitor的註冊表監視功能,所以這裏只介紹ProcessMonitor的註冊表監視功能。我測試的安裝百度雲網盤時註冊表的修改情況,這裏把步驟附上:
1、在安裝過程開始後,打開Process Monitor;
2、單擊工具欄的Filter圖標,在彈出的Process Moniter Filter窗口中,先把列表中內容Remove;
3、在選擇Process Name is 你的安裝程序的進程名,勾選 Includ,單擊Add後,在下面的列表框看到綠色勾圖標就表示添加成功了,單擊OK按鈕;
4、這個時候就會在Monitor的主窗口顯示監控的信息,可以通過工具欄的 Register來只顯示註冊表信息;
5、執行安裝過程,註冊表的修改信息就會被記錄下來。
記得要點亮工具欄的Capture按鈕哦,不如不會捕捉(叉叉表示停止捕捉)
另外利用filter過濾器還可以篩選自己所要查看的對應的操作,選中對應的operation後,點擊add按鈕,當左側的綠色對號出現,點擊應用、確定就可以進行對內容的篩選了。
我這裏主要關心註冊表的修改信息,所以我主要篩選出了有關註冊表修改的項目:
通過monitor的監視內容就可以看出在百度雲網盤安裝時都對註冊表進行了哪些操作。指定其中的某一個監視項右擊進行jump to,就可以跳轉到windows註冊表編輯器對應的鍵值中。
另外,最後我附上有關ProcessMonitor的事件翻譯:
