В строке Имя компьютера отображается имя компьютера, на котором был сделан каждый снимок (через разделитель).

Строка Имя пользователя указывает имя пользователя, создавшего каждый снимок (через разделитель).

В рассматриваемом примере имя компьютера для каждого снимка идентично; это же касается и имени пользователя.

Далее в отчете следует информация, подробно характеризующая обнаруженные изменения. Все элементы списка сгруппированы в зависимости от изменений и функционального назначения. В частности, отдельно собраны новые разделы реестра, измененные разделы, удаленные разделы, новые параметры, измененные параметры, удаленные параметры и т. д. Если включен режим учета папок (для этого в окне настройки параметров сравнения (см. рис. 5.57) должен быть установлен флажок Учет папок), то отдельно показываются изменения в папках (приводится перечень новых, измененных и удаленных файлов). При этом для каждой группы показывается количество содержащихся в ней элементов списка.

Последняя строка отчета содержит информацию об общем количестве выявленных изменений.

RegWorks

Теперь рассмотрим, какие возможности по мониторингу реестра предоставляет рассмотренный ранее редактор реестра RegWorks. Чтобы запустить мониторинг реестра, необходимо воспользоваться командой Монитор -> Запустить монитор.

Если вы запускаете монитор реестра в первый раз, то после открытия вкладки Монитор программа предложит вам создать фильтр (рис. 5.59). К этому же действию приводит выбор команды Монитор -> Мастер создания фильтров. В противном случае будет использоваться фильтр, созданный ранее.

Рис. 5.59. Окно создания фильтра

Создание фильтра заключается в выборе имени и типа фильтра, а также дополнительных параметров, которые зависят от типа фильтра. Тип определяется в раскрывающемся списке Вам нужно, который содержит следующие пункты.

• Отслеживать активность некоторых или всех процессов – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать операции чтения некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, кроме их изменения (мониторинг использования функций RegOpenKey, RegEnumKey, RegCloseKey, RegQueryInfoKey, RegEnumValue, RegQueryValue).

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать операции записи некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, которые приводят к их изменению (мониторинг использования функций RegSetValue, RegLoadKey, RegCreateKey, RegDeleteKey, RegDeleteValue, RegFlushKey, RegUnloadKey).

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать доступ к разделу – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться, а также шаблон ветви реестра, доступ к которой будет отслеживаться.

После того как фильтр создан, будет запущен мониторинг реестра (рис. 5.60). Чтобы остановить мониторинг реестра, достаточно воспользоваться командой Монитор -> Остановить монитор. После этого вы можете сохранить результаты мониторинга с помощью команды Монитор -> Сохранить. Результаты сохраняются в формате XML.

Рис. 5.60. Мониторинг реестра запущен

Помимо сохранения результатов работ мониторинга, вы можете отобразить их в окне браузера. Для этого достаточно воспользоваться командой Монитор -> Открыть журнал в браузере.

Напоследок рассмотрим еще один способ создания/изменения фильтра, который более полезен, чем использование мастера. Это применение команды Монитор -> Редактировать фильтры, после выбора которой перед вами отобразится окно Фильтры.

С помощью данного окна можно добавлять, удалять и изменять существующие фильтры. Нажав кнопку Изменить данного окна, вы сможете открыть окно Редактирование фильтра. С его помощью можно внутри одного фильтра создать несколько правил (несколько фильтров для мониторинга разных процессов), а также удалить или изменить уже существующие в контексте данного фильтра правила. Для этого достаточно воспользоваться кнопками Изменить, Добавить, Удалить. Попробуйте для примера изменить фильтр, который мы создали с помощью окна Мастер создания фильтров (рис. 5.61).

Рис. 5.61. Редактирование правил фильтра

Reg Organizer

Вы уже знаете, что в поставку данной программы входит редактор реестра, имеющий несколько полезных возможностей. Однако, помимо способности редактирования реестра, данная программа содержит еще одну очень интересную функцию – создания и сравнения снимков реестра, файловой системы и содержимого системных INI-файлов.