Neben den bisher beschriebenen Methoden lässt sich auch der Prozess Monitor (Process Mon) aus den Sysinternals Tools für die Analyse der Registrierungszugriffe verwenden.
Anzeige
Die Tools aus der Sysinternals-Suite können Sie unter [1] kostenlos herunterladen. Achten Sie lediglich darauf, das ZIP-Archiv vor dem Entpacken mit der rechten Maustaste anzuklicken, den Kontextmenübefehl Eigenschaften zu wählen und dann auf der Registerkarte Allgemein auf die Schaltfläche Zulassen zu klicken. Dies entfernt die Kennung für die Internetzone, so dass die Tools nach dem Entpacken ohne Sicherheitsabfrage starten können.
Nach dem Entpacken der Tools reicht es, die Datei Procmon.exe (bzw. das 64-Bit-Pendant) per Doppelklick aufzurufen. Sobald Sie die Benutzerkontensteuerung bestätigt haben, zeigt der Prozess-Monitor die laufenden Aktivitäten für Registrierungs-, Netzwerk- und Dateizugriffe sowie für Prozessaktivitäten.
In der Symbolleiste finden Sie Schaltflächen, um den aufgezeichneten Verlauf zu löschen, das Aufzeichnen zu starten oder zu stoppen etc. Da Windows 7 sehr viele Registrierungs- und Dateizugriffe durchführt, empfiehlt es sich, zur Analyse alle nicht benötigten Aufzeichnungsoptionen abzuschalten. Wählen Sie in der Symbolleiste daher die Optionen für Datei-, Prozess- und Netzwerkaktivitäten ab und belassen Sie nur die Registrierungsaktivitäten in der Aufzeichnung.
Anzeige
Anschließend können Sie die Aufzeichnung löschen, dann die Änderung an den Registrierungseinstellungen vornehmen und danach die Aufzeichnung stoppen. In der Liste der Registrierungsaufzeichnungen gilt es dann den gewünschten Wert zu finden. Manchmal hilft es, über die Spalte Process Name nach dem Namen der Anwendung zu suchen (z. B. wenn Explorer.exe-Einstellungen geändert wurden).
Über die Suchfunktion lässt sich in der Aufzeichnung auch gezielt nach Begriffen suchen. Die Schaltfläche Filter ermöglicht die Aufzeichnung nach bestimmten Kritierien zu filtern. Persönlich verwende ich den Process Monitor bevorzugt zur Analyse von Registrierungsänderungen. Die beschriebenen Registrierungszweige finden Sie in der Spalte Path.
Hat man den Schlüssel in etwas identifiziert, kann der Registrierungs-Editor gestartet und der Schlüsselinhalt überwacht werden. Dann lassen sich sehr schnell die veränderten Werte und deren Namen herausfinden.
Damit möchte ich die Artikelreihe abschließen und hoffe, dem einen oder anderen Leser einige Anregungen für eigene Experimente gegeben zu haben. An Gerd Schwendel geht mein Dank wegen des Hinweises auf RegShot.
Links:
1: Sysinternals Tools
Artikel:
1: Tools und Tipps zur Registry-Analyse – Teil 1
2: Tools und Tipps zur Registry-Analyse – Teil 2
3: Tools und Tipps zur Registry-Analyse – Teil 3
Anzeige
Die deutsche SysInternals-Seite ist auf Stand TcpView 3.02, aktuell ist aber 3.04. Bei ProcMon bietet die deutsche Seite Version 2.94 an, mit en-US statt de-de gibt es 2.95.
Danke für den "Rechtsklick + Zulassen vor Auspacken" Tipp, das war mir neu. Es hilft bei TcpView zwar nicht weiter (TcpView braucht ernsthaft Admin-Rechte), aber immerhin habe ich nun als Quelle "vom eigenen Rechner" statt "aus dem Internet".