是否有一个应用程序来跟踪更改的registry项值,一旦我们改变应用程序的设置?
Process Monitor将允许您实时跟踪registry活动。
我使用regshot(免费软件),允许在更改之前和之后创build快照(例如安装)。之后,您可以比较快照并查找所有更改。
Process Monitor还允许设置无数的filter – 例如,您可以按进程进行过滤,只能看到您提到的Symantec进程的影响。
如果您不确定要监视哪个进程,则Process Explorer(另一个SysInternals工具)可让您在应用程序上拖动红眼,以在Process Explorer窗口中识别进程。
微软的攻击面分析器是一个免费的(testing版)工具,它可以捕获快照,不仅比较registry项,而且比较许多其他重要信息,如服务,ACL,开放/侦听端口等,并报告快照之间的任何差异。
缺点是它只与Win7 / 2008兼容。
如果在更改之前导出registry并在与DIFF进行比较之后未find更改,则可能是您所做的更改未存储在registry中,这是procmon进入的位置。跟踪进行更改的进程的活动您将看到保存设置更改时发生的文件或registry活动。 Symantec Antivirus使用HKEY_LOCAL_MACHINE \ SOFTWARE \ Intel \ LANDesk \ VirusProtect6 \ CurrentVersion \来存储许多设置,如果有帮助的话