近期有个关于离线安装软件修改windows注册表的工作,基于这个工作,首先要搞明白在线安装软件时,windows注册表都做了哪些修改以支持软件的安装运行,这里我选择了ProcessMonitor来进行监视。
简介:Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且目前已并入微软旗下,可靠性自不用说。
我主要用到的就是ProcessMonitor的注册表监视功能,所以这里只介绍ProcessMonitor的注册表监视功能。我测试的安装百度云网盘时注册表的修改情况,这里把步骤附上:
1、在安装过程开始后,打开Process Monitor;
2、单击工具栏的Filter图标,在弹出的Process Moniter Filter窗口中,先把列表中内容Remove;
3、在选择Process Name is 你的安装程序的进程名,勾选 Includ,单击Add后,在下面的列表框看到绿色勾图标就表示添加成功了,单击OK按钮;
4、这个时候就会在Monitor的主窗口显示监控的信息,可以通过工具栏的 Register来只显示注册表信息;
5、执行安装过程,注册表的修改信息就会被记录下来。
记得要点亮工具栏的Capture按钮哦,不如不会捕捉(叉叉表示停止捕捉)
另外利用filter过滤器还可以筛选自己所要查看的对应的操作,选中对应的operation后,点击add按钮,当左侧的绿色对号出现,点击应用、确定就可以进行对内容的筛选了。
我这里主要关心注册表的修改信息,所以我主要筛选出了有关注册表修改的项目:
通过monitor的监视内容就可以看出在百度云网盘安装时都对注册表进行了哪些操作。指定其中的某一个监视项右击进行jump to,就可以跳转到windows注册表编辑器对应的键值中。
另外,最后我附上有关ProcessMonitor的事件翻译:
