Ich versuche herauszufinden, ob es eine Möglichkeit gibt, eine Anwendung grundsätzlich in einer Sandbox zu installieren, sodass ich alle von ihr erstellten Dateien und alle hinzugefügten Registrierungseinträge leicht sehen kann, ohne den Computer nach Dateien zu durchsuchen.
Es muss keine Sandbox sein, solange sie mir alles sagt, was der Installer getan hat. Sicherlich muss es da draußen etwas geben, das dies tut. Ich weiß, dass mir mein A / V sagt, wann es auf bestimmte Dateien und Ordner zugreift, aber ich suche nach einem genaueren Ansatz, der alles protokolliert, damit ich es danach analysieren kann.
windows-7
windows
installation
windows-registry
sandbox
user1632018
quelle
quelle
Antworten:
Laden Sie Process Monitor herunter, entpacken Sie es und führen Sie es aus .
Führen Sie Ihren Installer aus. Ich benutze FileZilla für dieses Beispiel.
Während das Installationsprogramm ausgeführt wird, können Sie das Fadenkreuz verwenden und es in das Installationsfenster ziehen. Dadurch wird ein Filter erstellt, der dazu führt, dass der Prozessmonitor nur Ereignisse anzeigt, die sich auf diesen Prozess beziehen.
Sie können auch warten, bis der Installer fertig ist, und ihn selbst aus den aufgezeichneten Ereignissen auswählen. Sie können einfach mit der rechten Maustaste auf den Prozessnamen klicken und einen Einschlussfilter erstellen .
Sie haben jetzt ein Protokoll über jeden Dateisystem- oder Registrierungszugriff des Installationsprogramms. Sie können jetzt zusätzliche Filter erstellen, um die Daten weiter zu analysieren oder die im Menü Extras verfügbaren Funktionen zu verwenden .
In diesem Zusammenhang könnten insbesondere die Dateiübersicht und die Registrierungsübersicht von Interesse sein.
Beachten Sie jedoch, dass Sie beim Filtern von Ereignissen nur für einen bestimmten Prozess möglicherweise Vorgänge verpassen, die nicht direkt vom Installationsprozess selbst verursacht werden. Das Installationsprogramm kann eine Windows-API aufrufen, durch die sich die Registrierungswerte indirekt ändern.
Ebenso kann das Installationsprogramm einen untergeordneten Prozess erzeugen, der Datei- und / oder Registrierungsänderungen vornimmt. Dieser untergeordnete Prozess wird auch nicht angezeigt, wenn Sie nur nach dem übergeordneten Prozess filtern.
Wenn ein Prozess einen untergeordneten Prozess erzeugt, wird dies durch den Vorgang "Prozess erstellen" in Process Monitor angezeigt .
quelle
Ich denke, Sie könnten nach etwas wie Total Uninstall suchen
Diese Software muss vor der Anwendung installiert werden, die Sie überwachen möchten.
Es wird ein Protokoll aller Registrierungseinträge und -dateien geführt, die erstellt und geändert wurden.
Es bietet eine GUI zum Navigieren in den frisch installierten und überwachten Programmen.
quelle
Verwenden Sie einen Dateiunterschied, um die Unterschiede zwischen den beiden Registern zu ermitteln.
http://support.microsoft.com/kb/171780
Sie können Software herunterladen, um dies für Sie zu tun (siehe unten)
http://www.aplusfreeware.com/categories/util/registry.html
Sie können auch "Sysinternals Process Monitor" herunterladen. Anschließend können Sie die vom Installer ausgeführten Vorgänge filtern lassen. Sie können sogar nach beliebigen Operationen filtern (RegWrite, RegQueryValue usw.) und das Capture zur späteren Anzeige speichern.
quelle
Ein benutzerfreundlicherer Weg als ProcessMonitor ist die Verwendung eines tatsächlichen Installationsüberwachungsprogramms. Die, die ich immer benutzt und bevorzugt habe, ist die InCtrl5 von PCMagazine . Früher war es kostenlos und während sie vor einigen Jahren begannen, ihre Dienstprogramme in Rechnung zu stellen, können Sie möglicherweise immer noch eine Kopie von jemandem finden, der es heruntergeladen hat, während es kostenlos war und die kostenlose Lizenz hatte. Sie haben es auch auf InCtrlX aktualisiert, was vermutlich besser, aber nicht kostenlos ist.
Eine andere, die ich mag, ist ZSoft Uninstaller . Von den Dutzenden solcher Programme, die ich getestet habe, war dies das nächstbeste nach InCtrl5. Es ist auch kostenlos.
Diese Programme erstellen vor und nach der Installation einen Schnappschuss der Registrierung und des Dateisystems und führen dann einen Vergleich durch, um festzustellen, was sich geändert hat (hinzugefügt, entfernt, geändert). Im Gegensatz zu einem Programm wie ProcessMonitor, das lediglich die Systemzugriffe überwacht, filtern diese nach tatsächlichen Änderungen am System, und die besseren filtern sogar falsche Positive wie temporäre Dateien und vom Betriebssystem initiierte Änderungen aus.
quelle
Mit VMware ThinApp können Sie eine Anwendung in einer Sandbox installieren. Ihre Anwendung wird in einem separaten Ordner aufgezeichnet und virtualisiert, in dem Sie den gesamten Inhalt überwachen können. Hier ist der Link:
http://www.vmware.com/products/thinapp/
quelle