Gibt es eine Möglichkeit, alle Dateien und Registrierungseinträge anzuzeigen, die von einer Anwendung installiert werden?

32

Ich versuche herauszufinden, ob es eine Möglichkeit gibt, eine Anwendung grundsätzlich in einer Sandbox zu installieren, sodass ich alle von ihr erstellten Dateien und alle hinzugefügten Registrierungseinträge leicht sehen kann, ohne den Computer nach Dateien zu durchsuchen.

Es muss keine Sandbox sein, solange sie mir alles sagt, was der Installer getan hat. Sicherlich muss es da draußen etwas geben, das dies tut. Ich weiß, dass mir mein A / V sagt, wann es auf bestimmte Dateien und Ordner zugreift, aber ich suche nach einem genaueren Ansatz, der alles protokolliert, damit ich es danach analysieren kann.

windows-7 windows installation windows-registry sandbox user1632018
quelle
Sie können Registrierungsänderungen in Windows 7 überwachen, dies hängt jedoch von der jeweils verwendeten Version ab.
Doktoro Reichard

Antworten:

33

  1. Laden Sie Process Monitor herunter, entpacken Sie es und führen Sie es aus .

  2. Führen Sie Ihren Installer aus. Ich benutze FileZilla für dieses Beispiel.

    Bildbeschreibung hier eingeben

  3. Während das Installationsprogramm ausgeführt wird, können Sie das Fadenkreuz verwenden und es in das Installationsfenster ziehen. Dadurch wird ein Filter erstellt, der dazu führt, dass der Prozessmonitor nur Ereignisse anzeigt, die sich auf diesen Prozess beziehen.

    Bildbeschreibung hier eingeben

    Sie können auch warten, bis der Installer fertig ist, und ihn selbst aus den aufgezeichneten Ereignissen auswählen. Sie können einfach mit der rechten Maustaste auf den Prozessnamen klicken und einen Einschlussfilter erstellen .

  4. Sie haben jetzt ein Protokoll über jeden Dateisystem- oder Registrierungszugriff des Installationsprogramms. Sie können jetzt zusätzliche Filter erstellen, um die Daten weiter zu analysieren oder die im Menü Extras verfügbaren Funktionen zu verwenden .

    In diesem Zusammenhang könnten insbesondere die Dateiübersicht und die Registrierungsübersicht von Interesse sein.

    Bildbeschreibung hier eingeben

Beachten Sie jedoch, dass Sie beim Filtern von Ereignissen nur für einen bestimmten Prozess möglicherweise Vorgänge verpassen, die nicht direkt vom Installationsprozess selbst verursacht werden. Das Installationsprogramm kann eine Windows-API aufrufen, durch die sich die Registrierungswerte indirekt ändern.

Ebenso kann das Installationsprogramm einen untergeordneten Prozess erzeugen, der Datei- und / oder Registrierungsänderungen vornimmt. Dieser untergeordnete Prozess wird auch nicht angezeigt, wenn Sie nur nach dem übergeordneten Prozess filtern.

Wenn ein Prozess einen untergeordneten Prozess erzeugt, wird dies durch den Vorgang "Prozess erstellen" in Process Monitor angezeigt .

Der Hochstapler
quelle
Hallo Oliver, danke für das ausführliche Tutorial. Ich weiß das wirklich zu schätzen. Ich deinstalliere gerade die Software und versuche es gleich nach der Neuinstallation. Ich werde Sie auf dem Laufenden halten, wie gut es bei mir funktioniert.
user1632018
Wow, diese Antwort beschämt mich. +1 für dich!
MonkeyZeus
Ich habe diesen Ansatz gewählt. Es hat großartig funktioniert, als ich den Dreh raus hatte. Mir ist klar geworden, dass es am besten ist, die Filter vorher zu setzen, da es sonst sehr lange dauert, die Objekte in der Listenansicht zu filtern.
user1632018
@ user1632018: Wenn Sie über eine Reihe von Filtern verfügen, die für Sie geeignet sind, möchten Sie möglicherweise auch die Option " Gefilterte Ereignisse löschen" im Menü " Filter" aktivieren . Dann werden die gefilterten Ereignisse nicht einmal gespeichert.
Der Hochstapler
9

Ich denke, Sie könnten nach etwas wie Total Uninstall suchen

Diese Software muss vor der Anwendung installiert werden, die Sie überwachen möchten.

Es wird ein Protokoll aller Registrierungseinträge und -dateien geführt, die erstellt und geändert wurden.

Es bietet eine GUI zum Navigieren in den frisch installierten und überwachten Programmen.

MonkeyZeus
quelle
Nur-Link-Antworten passen schlecht zur SU. Bitte erläutern Sie etwas ausführlicher, wie das Programm funktioniert und wie es das OP-Problem löst.
Doktoro Reichard
Es sieht aus wie ein schönes Stück Software, aber ich neigte zu einem freien Ansatz. Als Deinstallationsprogramm erscheint es jedoch vielversprechend. Vor einiger Zeit suchte ich nach einem Deinstallationsprogramm, das diesen Ansatz verfolgte. Am Ende bin ich jedoch zu Revo Uninstaller gekommen, weil ich keinen gefunden habe. Revo sucht nur nach Schlüsseln und Dateien, die den Namen enthalten. Was nicht immer genau ist und wichtige Registrierungsschlüssel löschen kann, wenn der Benutzer nicht vorsichtig ist. Vielen Dank dafür. Wenn ich es satt habe, werde ich wahrscheinlich dieses Deinstallationsprogramm kaufen. Für diese Verwendung werde ich jedoch den Prozessmonitor-Ansatz verwenden.
user1632018
Viel Glück! Lassen Sie uns auf jeden Fall wissen, wie es geht.
MonkeyZeus
7
  1. Exportieren Sie die gesamte Registrierung vor der Installation
  2. Exportieren Sie die gesamte Registrierung nach der Installation

Verwenden Sie einen Dateiunterschied, um die Unterschiede zwischen den beiden Registern zu ermitteln.

http://support.microsoft.com/kb/171780

Sie können Software herunterladen, um dies für Sie zu tun (siehe unten)

http://www.aplusfreeware.com/categories/util/registry.html

Sie können auch "Sysinternals Process Monitor" herunterladen. Anschließend können Sie die vom Installer ausgeführten Vorgänge filtern lassen. Sie können sogar nach beliebigen Operationen filtern (RegWrite, RegQueryValue usw.) und das Capture zur späteren Anzeige speichern.

Software macht Spaß
quelle
Ich versuche den Prozessmonitor-Ansatz, während wir sprechen. Ich werde Sie wissen lassen, ob es für mich gut funktioniert.
user1632018
Die Wahrscheinlichkeit, dass ein anderes Programm in dieser Zeit die Registrierung ändert, ist zu hoch, als dass dieser Ansatz vernünftig wäre
Developerbmw
1

Ein benutzerfreundlicherer Weg als ProcessMonitor ist die Verwendung eines tatsächlichen Installationsüberwachungsprogramms. Die, die ich immer benutzt und bevorzugt habe, ist die InCtrl5 von PCMagazine . Früher war es kostenlos und während sie vor einigen Jahren begannen, ihre Dienstprogramme in Rechnung zu stellen, können Sie möglicherweise immer noch eine Kopie von jemandem finden, der es heruntergeladen hat, während es kostenlos war und die kostenlose Lizenz hatte. Sie haben es auch auf InCtrlX aktualisiert, was vermutlich besser, aber nicht kostenlos ist.

Eine andere, die ich mag, ist ZSoft Uninstaller . Von den Dutzenden solcher Programme, die ich getestet habe, war dies das nächstbeste nach InCtrl5. Es ist auch kostenlos.

Diese Programme erstellen vor und nach der Installation einen Schnappschuss der Registrierung und des Dateisystems und führen dann einen Vergleich durch, um festzustellen, was sich geändert hat (hinzugefügt, entfernt, geändert). Im Gegensatz zu einem Programm wie ProcessMonitor, das lediglich die Systemzugriffe überwacht, filtern diese nach tatsächlichen Änderungen am System, und die besseren filtern sogar falsche Positive wie temporäre Dateien und vom Betriebssystem initiierte Änderungen aus.

Synetech
quelle
+1 für InCtrl5. Sehr benutzerfreundliche Möglichkeit, dies zu tun.
Ryan_S
0

Mit VMware ThinApp können Sie eine Anwendung in einer Sandbox installieren. Ihre Anwendung wird in einem separaten Ordner aufgezeichnet und virtualisiert, in dem Sie den gesamten Inhalt überwachen können. Hier ist der Link:

http://www.vmware.com/products/thinapp/

Zeeshan
quelle