5.5. Мониторинг реестра

We use cookies. Read the Privacy and Cookie Policy

5.5. Мониторинг реестра

Registry Monitor

Статус: Freeware.

Размер: 271 Кбайт.

Разработчик: http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx.

Программа не предназначена для внесения в реестр каких-либо изменений. Тем не менее целесообразность ее использования не вызывает сомнений, поскольку она предоставляет возможность отследить все обращения к реестру, независимо от текущего режима работы.

В этой программе можно применять следующие сочетания клавиш (табл. 5.7).

Таблица 5.7. Сочетания клавиш, используемые в программе

Назначение и функциональные возможности

Функциональные возможности программы Registry Monitor позволяют решать следующие задачи:

• оперативное отслеживание всех обращений к системному реестру с возможностью дальнейшего анализа полученной информации;

• управление процессом слежения программы за обращениями к реестру;

• включение/выключение автоматического размещения на последней записи списка (то есть режима автоскроллинга);

• очистка списка обращений к реестру;

• использование механизма фильтрации (возможность отслеживания обращений к реестру отдельных программ, в том числе с применением маски);

• поиск требуемой позиции списка;

• оперативный переход в системный реестр с позиционированием на объекте реестра, который соответствует текущему элементу списка обращений.

Описание режимов работы

При входе в программу на экране открывается окно, представленное на рис. 5.55.

Рис. 5.55. Рабочее окно Registry Monitor

В окне содержится перечень всех обращений к системному реестру, который постоянно пополняется. При этом по умолчанию включен режим автоматического перехода на последнюю запись списка. Для каждой позиции списка в соответствующих столбцах отображается аналитическая информация. Выбор требуемого режима работы программы осуществляется с помощью кнопок панели инструментов. Эти кнопки дублируются соответствующими командами главного меню программы. Далее мы рассмотрим все команды программы Registry Monitor (большинство из них вызываются нажатием соответствующих сочетаний клавиш).

• File ? Save – предназначена для сохранения текущего списка в отдельном файле (с расширением LOG). Эту команду (активизируется также нажатием сочетания клавиш Ctrl+S) удобно использовать для последующего изучения текущего списка обращений к реестру.

• File ? Capture Events – используется для временной приостановки и последующего включения слежения за обращениями к реестру. Данную команду (вызывается также нажатием сочетания клавиш Ctrl+E) рекомендуется применять, например, перед сохранением списка.

• File ? Process Properties – при выполнении данной команды (вызывается также нажатием сочетания клавиш Ctrl+P) на экране отображается окно с расширенной информацией об элементе списка, на котором установлен указатель мыши. Аналогичная команда имеется в контекстном меню данного окна.

• Edit ? Copy и Edit ? Delete – предназначены для копирования текущей записи и удаления ее из списка соответственно. Этим командам соответствуют нажатия сочетания клавиш Ctrl+C и клавиши Delete.

• Edit ? Find – включает режим поиска. При ее выполнении (команда выполняется также нажатием сочетания клавиш Ctrl+F) на экране отображается окно настройки параметров поиска (рис. 5.56).

Рис. 5.56. Настройка параметров поиска

В данном окне в поле Что вводится текст для поиска. Установив флажки Только слово целиком и С учетом регистра, вы включите дополнительные параметры поиска. Переключатель Направление определяет направление поиска: к началу списка (Вверх) или к концу (Вниз). Поиск запускается нажатием кнопки Найти далее.

• Edit ? Regedit Jump – при выполнении команды (вызывается и нажатием сочетания клавиш Ctrl+J) на экране отображается окно стандартного Редактора реестра с позиционированием на том объекте, к которому произошло обращение из выделенной в списке позиции.

• Edit ? Clear Display – предназначена для очистки списка обращений к реестру. При ее выполнении (активизируется также нажатием сочетания клавиш Ctrl+X) очищается список обращений к реестру. Следует учитывать, что данная операция при большом количестве обращений к реестру выполняется достаточно долго, в некоторых случаях возможно даже «зависание» компьютера.

• Options ? Font – позволяет настроить параметры шрифта. При ее выполнении на экране отображается окно Regmon Font, в котором по обычным правилам Windows устанавливаются требуемые параметры шрифта.

• Options ? Filter/Highlight – дает возможность установить/снять фильтры на отображаемые данные. При ее выполнении (вызывается также нажатием сочетания клавиш Ctrl+L) на экране отображается окно Regmon Filter, в котором настраиваются параметры фильтра. Возможности программы позволяют, например, отслеживать обращения к реестру только некоторых приложений. При этом в окне настройки параметров фильтра предусмотрена возможность использования маски. Для применения фильтра следует последовательно нажать кнопки Apply и OK; значения фильтра по умолчанию восстанавливаются при нажатии кнопки Defaults.

• Options ? History Depth – при выполнении этой команды (можно также воспользоваться сочетанием клавиш Ctrl+H) на экране отображается окно Regmon History Depth, в котором задается количество отображаемых на экране строк. Если в окне установлено значение 0, то количество отображаемых строк не ограничено.

• Options ? Auto Scroll – предназначена для включения/выключения режима автоматического размещения на последней позиции списка. Вызывается также нажатием сочетания клавиш Ctrl+A.

• Options ? Clock Time – позволяет переключить формат отображения времени, которое показывается во втором столбце таблицы (Time). Возможные варианты – системное время, в которое произошло обращение к реестру, и время в секундах, прошедшее с момента запуска программы Registry Monitor. Для переключения формата отображения можно воспользоваться и сочетанием клавиш Ctrl+T.

Примечание

В некоторых случаях переключение формата отображения времени срабатывает только при включенном режиме автоскроллинга.

• Options ? Show Milliseconds – позволяет включить во временной формат отображение миллисекунд. Данная команда доступна, если только включено отображение системного времени, в которое произошло обращение к реестру.

Данный текст является ознакомительным фрагментом.