Я пытаюсь выяснить, существует ли способ в основном установить приложение в «песочницу», чтобы я мог легко видеть все созданные им файлы и все добавленные в него записи реестра, не ища файлы на компьютере.
Это не должна быть песочница, пока она расскажет мне все, что сделал установщик. Конечно, должно быть что-то, что делает это. Я знаю, что мой A / V сообщает мне, когда он обращается к определенным файлам и папкам, но я ищу более точный подход, который регистрирует все, чтобы я мог проанализировать его после.
windows-7
windows
installation
windows-registry
sandbox
user1632018
источник
источник
Ответы:
Скачайте, распакуйте и запустите Process Monitor .
Запустите ваш установщик. Я использую FileZilla для этого примера.
Во время работы установщика вы можете использовать перекрестие и перетащить его в окно установщика. Это создаст фильтр, в результате которого Process Monitor будет отображать только события, относящиеся к этому процессу.
Вы также можете подождать, пока установщик завершит работу, и самостоятельно выбрать его из записанных событий. Вы можете щелкнуть правой кнопкой мыши Имя процесса и легко создать фильтр « Включить» .
Теперь у вас будет журнал каждой файловой системы или доступа к реестру установщика. Теперь вы можете создавать дополнительные фильтры для дальнейшего анализа данных или использовать функции, доступные в меню Инструменты .
Особенно Резюме файла и Резюме реестра могут представлять интерес в этом контексте.
Однако обратите внимание, что при фильтрации событий только для определенного процесса вы можете пропустить операции, которые не вызваны непосредственно самим процессом установки. Установщик может вызвать некоторый Windows API, который косвенно вызывает изменение значений реестра.
Аналогично, установщик может просто порождать дочерний процесс, который вносит изменения в файл и / или реестр. Этот дочерний процесс также не будет виден, если вы фильтруете только родительский процесс.
Когда процесс порождает дочерний процесс, это будет указано операцией « Создание процесса» в Process Monitor.
источник
Я думаю, что вы можете искать что-то вроде Total Uninstall
Это программное обеспечение необходимо установить до приложения, которое вы хотите отслеживать.
Он ведет журнал всех записей реестра и файлов, созданных и измененных.
Он предоставляет графический интерфейс для навигации по недавно установленным и отслеживаемым программам.
источник
Используйте файл diff, чтобы получить различия между двумя реестрами.
http://support.microsoft.com/kb/171780
Вы можете скачать программное обеспечение, чтобы сделать это для вас (см. Ниже)
http://www.aplusfreeware.com/categories/util/registry.html
Еще одна вещь, которую вы можете сделать, это загрузить «Sysinternals Process Monitor». Затем вы можете отфильтровать операции, выполненные установщиком. Вы даже можете отфильтровать все операции, которые хотите увидеть (RegWrite, RegQueryValue и т. Д.), И сохранить запись для последующего просмотра.
источник
Более удобный для пользователя способ, чем ProcessMonitor, заключается в использовании реальной программы мониторинга установки. Тот, который я всегда использовал и предпочитал, это InCtrl5 PCMagazine . Раньше она была бесплатной, и хотя они начали взимать плату за свои коммунальные услуги несколько лет назад, вы все равно сможете найти копию у того, кто ее скачал, пока она была бесплатной и имела бесплатную лицензию. Они также обновили его до InCtrlX, который, вероятно, лучше, но не бесплатный.
Еще один, который мне нравится - это ZSoft Uninstaller . Из десятков таких программ, которые я тестировал, эта была следующая лучше, чем InCtrl5. Это также бесплатно.
Эти программы работают, делая снимок реестра и файловой системы до и после установки, а затем проводят сравнение, чтобы выяснить, что изменилось (добавлено, удалено, изменено). В отличие от такой программы, как ProcessMonitor, которая просто отслеживает доступ к системе, они фильтруют действительные изменения в системе, а лучшие даже отфильтровывают ложные срабатывания, такие как временные файлы и изменения, инициированные ОС.
источник
Вы можете использовать VMware ThinApp для установки приложения в «песочницу». Он будет записывать и виртуализировать ваше приложение в отдельной папке, где вы сможете отслеживать все его содержимое. Вот ссылка:
http://www.vmware.com/products/thinapp/
источник