응용 프로그램이 설치하는 모든 파일과 레지스트리 항목을 볼 수있는 방법이 있습니까?

32

기본적으로 응용 프로그램을 샌드 박스에 설치하는 방법이 있는지 확인하려고하므로 컴퓨터에서 파일을 찾지 않고도 응용 프로그램이 만든 모든 파일과 추가 된 모든 레지스트리 항목을 쉽게 볼 수 있습니다.

설치 프로그램이 수행 한 모든 작업을 알려주는 한 샌드 박스 일 필요는 없습니다. 분명히 이것을하는 무언가가있을 것입니다. 내 A / V가 특정 파일과 폴더에 액세스 할 때 알려주는 것을 알고 있지만 모든 것을 기록하여 나중에 분석 할 수있는보다 정확한 접근 방법을 찾고 있습니다.

windows-7  windows  installation  windows-registry  sandbox 
사용자 1632018
소스
Windows 7에서 레지스트리 변경 사항을 감사 할 수 있지만 사용 된 특정 버전에 따라 다릅니다.
Doktoro Reichard

답변:

33

  1. 다운로드, 압축 풀기 및 실행 프로세스 모니터 .

  2. 설치 프로그램을 실행하십시오. 이 예제에서는 FileZilla 를 사용하고 있습니다.

    여기에 이미지 설명을 입력하십시오

  3. 설치 관리자가 실행되는 동안 십자선을 사용하여 설치 관리자 창으로 끌어 올 수 있습니다. 그러면 프로세스 모니터에서 해당 프로세스와 관련된 이벤트 만 표시하는 필터가 생성됩니다.

    여기에 이미지 설명을 입력하십시오

    또한 설치 프로그램이 완료 될 때까지 기다렸다가 기록 된 이벤트에서 직접 제거 할 수도 있습니다. 프로세스 이름을 마우스 오른쪽 단추로 클릭하고 포함 필터를 쉽게 작성할 수 있습니다.

  4. 이제 설치 프로그램의 모든 파일 시스템 또는 레지스트리 액세스에 대한 로그를 갖게됩니다. 이제 추가 필터를 만들어 데이터를 추가로 분석하거나 도구 메뉴 에서 사용 가능한 기능을 사용할 수 있습니다.

    특히 파일 요약레지스트리 요약 이이 맥락에서 흥미로울 수 있습니다.

    여기에 이미지 설명을 입력하십시오

그러나 특정 프로세스에 대해서만 이벤트를 필터링 할 때 설치 관리자 프로세스 자체에 의해 직접 발생하지 않은 작업 누락 수 있습니다. 설치 관리자는 레지스트리 값을 간접적으로 변경시키는 일부 Windows API를 호출 할 수 있습니다.

마찬가지로, 설치 프로그램은 파일 및 / 또는 레지스트리를 수정하는 하위 프로세스를 생성 할 수 있습니다. 부모 프로세스에서만 필터링 할 때이 자식 프로세스가 표시되지 않습니다.

프로세스가 하위 프로세스를 생성하면 프로세스 모니터에서 프로세스 작성 작업 으로 표시됩니다 .

데르 호 슈타 플러
소스
올리버 안녕하세요, 자세한 튜토리얼 감사합니다. 정말 감사. 소프트웨어를 제거하고 다시 설치 한 직후에 시도합니다. 나는 그것이 당신을 위해 얼마나 잘 작동하는지 계속 게시 할 것입니다.
user1632018
와우,이 대답은 내 수치를 부끄럽게 만듭니다. 당신을 위해 +1!
MonkeyZeus
나는이 접근법을 사용하게되었습니다. 내가 그것을 얻었을 때 그것은 잘 작동했습니다. 미리 필터를 설정하는 것이 가장 좋습니다. 그렇지 않으면 목록보기에서 객체를 필터링하는 데 시간이 오래 걸립니다.
user1632018
@ user1632018 : 필터 세트가있는 경우 필터 메뉴 에서 필터링 된 이벤트 삭제 옵션 을 활성화 할 수도 있습니다. 그런 다음 필터링 된 이벤트는 저장되지 않습니다.
Der Hochstapler
9

나는 당신이 Total Uninstall 과 같은 것을 찾고 있다고 생각 합니다.

이 소프트웨어는 모니터링하려는 응용 프로그램보다 먼저 설치해야합니다.

모든 레지스트리 항목과 작성 및 변경된 파일의 로그를 유지 보수합니다.

새로 설치되고 모니터링되는 프로그램을 탐색하기위한 GUI를 제공합니다.

원숭이
소스
링크 전용 답변은 SU에 적합하지 않습니다. 프로그램 작동 방식 및 OP 문제 해결 방법에 대한 자세한 설명을 제공하십시오.
Doktoro Reichard
멋진 소프트웨어처럼 보이지만 무료 접근 방식을 기대하고있었습니다. 그래도 제거 프로그램으로 유망한 것 같습니다. 얼마 전 나는이 접근법을 취하는 제거 프로그램을 찾고있었습니다. 나는 그것을 찾을 수 없기 때문에 Revo Uninstaller로 끝났습니다. Revo는 이름이 들어있는 키와 파일 만 검색합니다. 항상 정확한 것은 아니며 사용자가주의하지 않으면 중요한 레지스트리 키를 삭제할 수 있습니다. revo에 익숙해지면이 제거 프로그램을 구입할 것입니다. 이 용도로는 프로세스 모니터 접근 방식을 사용하고 있습니다.
user1632018
행운을 빕니다! 어떻게되는지 알려주세요.
MonkeyZeus
7
  1. 설치하기 전에 전체 레지스트리를 내보내십시오.
  2. 설치 후 전체 레지스트리 내보내기

파일 차이를 사용하여 두 레지스트리 간의 차이점을 얻으십시오.

http://support.microsoft.com/kb/171780

소프트웨어를 다운로드하여 사용할 수 있습니다 (아래 참조).

http://www.aplusfreeware.com/categories/util/registry.html

또 다른 방법은 "Sysinternals Process Monitor"를 다운로드하는 것입니다. 그런 다음 설치 관리자가 수행 한 작업을 필터링 할 수 있습니다. 보고 싶은 작업 (RegWrite, RegQueryValue 등)으로 필터링하고 나중에 볼 수 있도록 캡처를 저장할 수도 있습니다.

소프트웨어는 재미있다
소스
우리가 말하는 것처럼 프로세스 모니터 접근을 시도하고 있습니다. 그것이 나에게 잘 작동하는지 알려 드리겠습니다.
user1632018
이 시간에 레지스트리를 수정하는 다른 프로그램의 가능성은 너무
developerbmw
1

ProcessMonitor보다 사용자에게 친숙한 방법은 실제 설치 모니터링 프로그램을 사용하는 것입니다. 내가 항상 사용하고 선호하는 것은 PCMagazine의 InCtrl5 입니다. 이전에는 무료였으며 몇 년 전에 유틸리티에 대한 요금을 청구하기 시작했지만 무료로 라이센스를 받았을 때 다운로드 한 사람으로부터 사본을 찾을 수 있습니다. 또한 InCtrlX로 업데이트했지만 아마도 더 좋지는 않지만 무료입니다.

내가 좋아하는 또 다른 하나는 ZSoft Uninstaller 입니다. 내가 테스트 한 수십 가지 프로그램 중 이것이 InCtrl5의 다음 최고였습니다. 또한 무료입니다.

이러한 프로그램은 설치 전후에 레지스트리 및 파일 시스템의 스냅 샷을 작성한 후 비교 (변경, 추가, 제거, 수정)를 찾기 위해 작동합니다. 단순히 시스템 액세스를 모니터링하는 ProcessMonitor와 같은 프로그램과 달리이 시스템은 시스템의 실제 변경 사항을 필터링하며 더 나은 기능은 임시 파일 및 OS 시작 변경과 같은 오 탐지도 필터링합니다.

시네 테크
소스
InCtrl5의 경우 +1 이 작업을 수행하는 매우 사용자 친화적 인 방법입니다.
Ryan_S
0

VMware ThinApp을 사용하여 샌드 박스에 애플리케이션을 설치할 수 있습니다. 모든 내용을 모니터링 할 수있는 별도의 폴더에 응용 프로그램을 기록하고 가상화합니다. 여기 링크가 있습니다:

http://www.vmware.com/products/thinapp/

지산
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.