Иногда может потребоваться отследить, что именно та или иная программа изменяет в реестре Windows 11/10 или другой версии ОС или, например, где именно в реестре прописываются те или иные локальные групповые политики при их настройке в gpedit.msc.
RegistryChangesView — бесплатная утилита, позволяющая создать снимок выбранных кустов реестра и сравнить их либо с его актуальным состоянием либо с другим снимком, о ней и пойдёт речь далее. В контексте темы может пригодиться: Отслеживание событий Windows (включая изменения в реестре) в Sysmon.
Использование RegistryChangesView
Скачать RegistryChangesView можно с официального сайта разработчика, там же присутствует и файл для перевода интерфейса на русский язык: просто загрузите его, распакуйте и поместите файл .ini в папку с распакованными файлами программы.
Работа утилиты состоит из следующих этапов: вы создаёте «снимок» выбранных вами разделов реестра, по факту — резервную копию, которая сохраняется в папке программы, после чего в любой момент вы можете сравнить её либо с текущим состоянием рабочей Windows, либо с одним из других сохранённым снимков.
Порядок использования в базовом варианте может выглядеть следующим образом:
- Запустите утилиту RegistryChangesView, выберите разделы для сохранения в нижней панели и нажмите кнопку «Сделать снимок» в разделе «Реестр 1».
- Если вы хотите прямо сейчас отследить, что именно поменяют те или иные действия в Windows, не закрывайте программу, а выполните эти действия, после чего нажмите кнопку «Ок»: по умолчанию сравнение будет выполняться между снимком на 1-м шаге и актуальной версией реестра на момент нажатия кнопки «Ок».
- Вы увидите список, в котором отражены все произошедшие с момента создания снимка изменения. Важно: многие из них не имеют отношения к вашим или программным действиям на 2-м шаге: Windows постоянно вносит изменения в реестр, с помощью которых отслеживаются изменения в системе, текущий статус фоновых задач и другая информация.
- Значение может оказаться много и, если вы примерно представляете, что нужно искать, удобнее воспользоваться поиском. Например, моя задача — узнать, где прописывается политика после её изменения в gpedit.msc, я выполняю поиск по «Policies» и получаю результат:
- По двойному клику вы можете просмотреть, что за операция с реестром была произведена (добавление, изменение, удаление значения), в контекстном меню по правому клику — выполнить другие действия, например, перейти к соответствующему разделу реестра в regedit:
Программа позволяет выполнять сравнение не только с актуальным реестром, но и между любыми двумя снимками, сделанными в произвольное время: достаточно выбрать «Снимок реестра» и конкретный снимок в разделе «Реестр 2» при запуске сравнения. Сами же файлы снимков реестра хранятся во вложенных папках RegistryChangesView и могут быть использованы для восстановления предыдущей версии реестра. Также на эту тему может пригодиться: Создание резервной копии реестра Windows.
Подводя итог, утилита не для массового пользователя, но для тех, у кого есть задача отследить добавляемые, изменяемые или удаляемые ключи реестра при тех или иных действиях в ОС, может быть полезной. Особенно при условии, что примерно известно, где их нужно искать.
