Instalowanie aplikacji w piaskownicy w celu wykrycia manipulacji rejestru systemu Windows

Chciałbym wiedzieć, czy istnieje sposób na wykrycie ustawień rejestru, na które wpływa instalator. Czy istnieją inne opcje niż uruchamianie pełnowymiarowej maszyny wirtualnej, a następnie porównywanie migawek uli rejestru? Jeśli jest to najlepsze podejście, podziel się swoimi doświadczeniami.

Celem jest ustalenie, gdzie w rejestrze określony program przechowuje ustawienia. Podczas instalacji i w inny sposób. Może wydawać się dobrym pomysłem po prostu zapytać programistów, ale już wcześniej spotkałem się z tą sytuacją (nie wiedząc, gdzie w rejestrze program przechowuje ustawienia) i chciałbym znaleźć ogólne podejście do tego problemu.

Miałem dobre doświadczenia z tymi małymi przenośnymi aplikacjami.
RegFromApp pokazuje tylko zmiany wprowadzone przez wybraną aplikację

RegFromApp v1.30 (NirSoft)

RegFromApp monitoruje zmiany rejestru dokonane przez wybraną aplikację i tworzy standardowy plik rejestracyjny RegEdit (.reg), który zawiera wszystkie zmiany rejestru wprowadzone przez aplikację. Możesz użyć wygenerowanego pliku .reg, aby zaimportować te zmiany za pomocą RegEdit, gdy jest to potrzebne.

RegShot v1.90

Regshot to narzędzie do porównywania rejestru typu open-source (LGPL), które umożliwia szybkie wykonanie migawki rejestru, a następnie porównanie go z drugim - wykonanym po wprowadzeniu zmian w systemie lub zainstalowaniu nowego oprogramowania.

Inne doświadczenia na własną rękę:

• WhatChanged : Zbyt wolno, nawet na dysku SSD
• MJRegWatcher : Trudno ustalić, która zmiana rejestru była ważna, a która nie

Drugim podejściem jest używanie Sandboxie razem z SandboxDiff.
To daje szansę zobaczyć, co zostanie zmienione przed dotknięciem systemu na żywo.

Piaskownica

Sandboxie uruchamia twoje programy w odizolowanej przestrzeni, co uniemożliwia im stałe wprowadzanie zmian w innych programach i danych na twoim komputerze. Możesz także uzyskać dostęp do wszystkich zmian dokonanych podczas wykonywania programu.

SandboxDiff

SandboxDiff umożliwia śledzenie zmian w rejestrze i plikach podczas korzystania z „Sandboxie” (niesamowita aplikacja stworzona przez Ronena Tzura). Wszystkie wpisy rejestru i system plików utworzone / zmodyfikowane przez program w trybie piaskownicy (lub dowolnej akcji w trybie piaskownicy) są monitorowane i wyświetlane w SandboxDiff. Bardzo przydatne, gdy użytkownicy chcą (przed instalacją aplikacji) znać wszystkie zmiany wprowadzone przez instalatora w rejestrze i systemie plików.

Możesz spróbować uruchomić Process Explorer (bezpłatne narzędzie firmy Microsoft), którego możesz użyć, aby pokazać wszystkie pliki i klucze dostępne podczas instalacji.

Przedstawionych będzie wiele informacji, ale możesz filtrować według aplikacji (musisz wiedzieć, że aplikacja jest uruchamiana podczas instalacji, co może być jak setup.exe lub msiexec).

Systracer doskonale robi, co chcesz:

SysTracer to narzędzie systemowe, które może skanować i analizować komputer w celu znalezienia zmienionych (dodanych, zmodyfikowanych lub usuniętych) danych w rejestrze i plikach.

Dostępne są zarówno wersje bezpłatna, jak i płatna.

http://www.blueproject.ro/systracer