Existe-t-il un moyen de voir tous les fichiers et entrées de registre installés par une application?

32

J'essaie de savoir s'il existe un moyen d'installer une application dans un bac à sable de manière à pouvoir voir facilement tous les fichiers créés et toutes les entrées de registre ajoutées sans avoir à chercher dans l'ordinateur.

Il n'est pas nécessaire que ce soit un bac à sable, tant qu'il me dira tout ce que l'installateur a fait. Il doit sûrement y avoir quelque chose qui fait ça. Je sais que mon A / V me dit quand il accède à certains fichiers et dossiers, mais je cherche une approche plus précise qui enregistre tout pour pouvoir ensuite l’analyser.

windows-7 windows installation windows-registry sandbox utilisateur1632018
la source
Vous pouvez auditer les modifications du registre dans Windows 7, mais cela dépend de la version spécifique utilisée.
Doktoro Reichard

Réponses:

33

  1. Téléchargez, décompressez et exécutez Process Monitor .

  2. Exécutez votre installateur. J'utilise FileZilla pour cet exemple.

    entrez la description de l'image ici

  3. Pendant l’exécution du programme d’installation, vous pouvez utiliser le réticule et le faire glisser vers la fenêtre du programme d’installation. Cela créera un filtre qui aura pour conséquence que Process Monitor affichera uniquement les événements liés à ce processus.

    entrez la description de l'image ici

    Vous pouvez également attendre la fin du programme d'installation et le sélectionner vous-même parmi les événements enregistrés. Vous pouvez cliquer avec le bouton droit sur le nom du processus et créer facilement un filtre Inclure .

  4. Vous allez maintenant avoir un journal de chaque système de fichiers ou accès au registre du programme d'installation. Vous pouvez maintenant créer des filtres supplémentaires pour analyser davantage les données ou utiliser les fonctions disponibles dans le menu Outils .

    En particulier, le résumé de fichier et le résumé de registre peuvent présenter un intérêt dans ce contexte.

    entrez la description de l'image ici

Toutefois, notez que lors du filtrage d'événements pour un processus spécifique uniquement, vous risquez de manquer des opérations qui ne sont pas directement causées par le processus d'installation lui-même. Le programme d'installation peut appeler des API Windows entraînant indirectement la modification des valeurs du registre.

De même, le programme d'installation pourrait simplement générer un processus enfant qui apporte des modifications aux fichiers et / ou au registre. Ce processus enfant ne serait également pas vu lorsque vous ne filtrez que sur le processus parent.

Lorsqu'un processus génère un processus enfant, cela est indiqué par l' opération Process Create dans Process Monitor.

Der Hochstapler
la source
Bonjour Oliver, merci pour le tutoriel détaillé. J'apprécie vraiment cela. Je suis en train de désinstaller le logiciel et je vais l'essayer juste après la réinstallation. Je vous tiendrai au courant de la façon dont cela fonctionne pour moi.
user1632018
Wow, cette réponse fait honte à la mienne. +1 pour vous!
MonkeyZeus
J'ai fini par adopter cette approche. Cela a bien fonctionné une fois que j'ai compris le principe. Je me suis rendu compte qu'il est préférable de définir les filtres au préalable, sinon le filtrage des objets dans la vue liste prend beaucoup de temps.
user1632018
@ user1632018: Si vous disposez d'un ensemble de filtres qui fonctionnent pour vous, activez également l' option Supprimer les événements filtrés dans le menu Filtre . Ensuite, les événements filtrés ne sont même pas stockés.
Der Hochstapler
9

Je pense que vous recherchez peut-être quelque chose comme Total Uninstall

Ce logiciel doit être installé avant l'application que vous souhaitez surveiller.

Il tient un journal de toutes les entrées du registre et des fichiers créés et modifiés.

Il fournit une interface graphique pour naviguer dans les programmes récemment installés et surveillés.

MonkeyZeus
la source
Les réponses en lien uniquement conviennent mal à la SU. Veuillez fournir une explication assez détaillée sur le fonctionnement du programme et sur la manière dont il résout le problème du PO.
Doktoro Reichard
Cela ressemble à un bon logiciel, mais je penchais pour une approche libre. Cela semble prometteur comme programme de désinstallation. Il y a quelque temps, je recherchais un programme de désinstallation prenant cette approche. Je me suis retrouvé avec Revo Uninstaller cependant parce que je ne pouvais pas en trouver un. Revo recherche simplement les clés et les fichiers contenant le nom. Ce qui n'est pas toujours précis et peut supprimer des clés de registre importantes si l'utilisateur ne fait pas attention. Donc, merci pour cela, si j'en ai marre de revo, j'achèterai probablement ce programme de désinstallation. Pour cette utilisation, je vais toutefois avec l’approche Process Monitor.
user1632018
Bonne chance! Faites-nous savoir comment ça se passe.
MonkeyZeus
7
  1. Exportez l'intégralité du registre avant l'installation
  2. Exporter le registre complet après l'installation

Utilisez un fichier diff pour obtenir les différences entre les deux registres.

http://support.microsoft.com/kb/171780

Vous pouvez télécharger un logiciel pour le faire pour vous (voir ci-dessous)

http://www.aplusfreeware.com/categories/util/registry.html

Vous pouvez également télécharger "Sysinternals Process Monitor". Ensuite, vous pouvez filtrer les opérations effectuées par le programme d'installation sont affichés. Vous pouvez même filtrer les opérations que vous souhaitez voir (RegWrite, RegQueryValue, etc.) et enregistrer la capture pour une visualisation ultérieure.

le logiciel est amusant
la source
J'essaie l'approche du moniteur de processus en ce moment même. Je vous ferai savoir si cela fonctionne bien pour moi.
user1632018
La probabilité qu'un autre programme modifie le registre dans ce laps de temps est trop élevée pour que cette approche soit raisonnable
developerbmw
1

Une méthode plus conviviale que ProcessMonitor consiste à utiliser un programme de surveillance de l'installation. Celui que j'ai toujours utilisé et préféré est InCtrl5 de PCMagazine . Auparavant, il était gratuit et, bien qu'ils aient commencé à faire payer leurs services publics il y a plusieurs années, vous pouvez toujours trouver une copie auprès de quelqu'un qui l'a téléchargée alors qu'elle était gratuite et sous licence libre. Ils l'ont également mis à jour avec InCtrlX, qui est probablement meilleur, mais pas gratuit.

Un autre que j'aime bien est ZSoft Uninstaller . Parmi les dizaines de programmes de ce type que j'ai testés, c'était le meilleur après InCtrl5. C'est aussi gratuit.

Ces programmes fonctionnent en prenant un instantané du registre et du système de fichiers avant et après l'installation, puis en effectuant une comparaison pour déterminer ce qui a changé (ajouté, supprimé, modifié). Contrairement à un programme tel que ProcessMonitor qui surveille simplement les accès au système, ces filtres filtrent les modifications effectives apportées au système et les meilleurs filtrent même les faux positifs comme les fichiers temporaires et les modifications initiées par le système d'exploitation.

Synetech
la source
+1 pour InCtrl5. Une manière très conviviale de le faire.
Ryan_S
0

Vous pouvez utiliser VMware ThinApp pour installer une application dans un bac à sable. Il enregistrera et virtualisera votre application dans un dossier séparé où vous pourrez contrôler tout son contenu. Voici le lien:

http://www.vmware.com/products/thinapp/

Zeeshan
la source