Analýza registrů Windows

[ondraaaa]

Ahoj snažím se proniknout do tajů registrů Windows.
Problém je takový, sháním nějaký nástroj pro analýzu registrů Windows a zároveň aby monitoroval změny v registrech.
Projíždím internet a nic nemůžu najít.

[Reklama]

[JardaP .]

Monitorovat registry by mel umet https://docs.microsoft.com/en-us/sysinternals/downloads/procmon . S tou analyzou to bude horsi, podeziram, ze v tom bordelu se nevyzna ani MS, tak si dejte pozor, aby vas neodvezli do blazince.

[ondraaaa]

Jo dám super nástroj dík.
Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.

[MD]

Případně by měl na starších systémech (a 32bitových) fungovat i RegMon (taková starší obdoba Procmonu, která umí jen registry), ale nebude asi úplně jednoduché jej najít.

[j]

Jo dám super nástroj dík.
Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.

Tak to se z toho brzo zblaznis, protoze tam se neco zapisuje neustale.

[Reklama]

[JardaP .]

Ještě musím najít nějaký nástroj který mě upozorní o novém zápisu do registru.

Tak to prave dela ProcMon. Pise a cte se v jednom kuse a pri trose stesti to jde filtrovat podle aplikace, jako v starem RegMonu.

[Lol Phirae]

Kód: [Vybrat]

<analýza>
binární bordel
</analýza>

[?]

A co se tam snažíš najít?

[Lojza]

na realtime sledovani muze pomoci i MJ Registry Watcher
https://jacobsm.com/mjsoft.htm

na staticke porovnavani 2 snapshotu, exportovani zmen a tim i snadne odstraneni zmen
https://www.nirsoft.net/utils/registry_changes_view.html

nebo take starsi
https://sourceforge.net/projects/regshot/

[nobody(ten pravej)]

ad regmon http://www.stahuj.centrum.cz/utility_a_ostatni/systemove_nastroje/monitoring/regmon/

[ondraaaa]

Díky všem kdyby vás ještě napadli nějaké nástroje nebo zajímavé zkušenosti s analýzou registry Windows budu rád se přiučím od zkušenějších.

[MD]

kdyby vás ještě napadli nějaké nástroje nebo zajímavé zkušenosti s analýzou registry Windows budu rád se přiučím od zkušenějších.

Záleží, co si pod pojmem "analýza" představujete. Obvykle, pokud nějaké udělátko (specializované) v této oblasti potřebuji,  tak si jej jednorázově stvořím.

A ano, registrových operací se provádí opravdu hodně. Berte registr jako strukturované (a teoreticky typované) úložiště malých objemů dat, které je celé načtené v paměti, takže přístupy jsou rychlé. Takže tam najdete nejen čistě konfigurační data, ale některé aplikace je mohou využívat i jako takovou persistencní cache.

Nebo vás zajímá., jak je obsah registru uložen na disku, popř. jaké všechny vylomeniny s ním WIndows API dovolují provádět?

[ondraaaa]

děkuji za odpověď.

[nobody(ten pravej)]

pokud by te zajimala prace z windows registru z GNU/Linuxu:
http://libguestfs.org/hivex.3.html

[Miroslav Šilhavý]

děkuji za odpověď.

1. Regstry obecně nelze analyzovat. Registry jsou jen služba pro ukládání informací, a je na (verzi) systému a aplikaci, aby věděli, jak s uloženou informací naložit.
2. Jsou větve, které mají jasně popsanou funkci, ale neexistuje žádný superkatalog větví registru. Zásahy do registru se řeší ad hoc.
3. Sledovat zápisy do registru "jen tak z principu" je stejně hloupá myšlenka, jako sledovat zápisy do souborů "jen tak z principu". Pro obojí najdete na sysinternals správné a jednoduché nástroje.