Registry-Änderungen überwachen mit RegFromApp und Process Monitor

    In bestimmten Situationen möchte man herausfinden, welche Werte ein Programm in die zentrale Konfigurationsdatenbank schreibt. Dies ist zum Beispiel dann der Fall, wenn man wissen muss, in welchem Schlüssel es bestimmte Einstellungen speichert. Die kostenlosen Tools RegFromApp und Process Monitor helfen bei dieser Aufgabe.

    Viele Programme sind nicht ausreichend dokumentiert, so dass nicht klar ist, wie sie ihre Einstellungen in der Registry speichern. Dieses Wissen benötigt man etwa, wenn sich Software nicht über Gruppenrichtlinien verwalten lässt und man sie daher zentral über ein Script oder über Group Policy Preferences konfigurieren will.

    Einfach versus komplex

    Das Monitoring der Registry beherrschen sowohl RegFromApp von Nirsoft als auch Process Monitor aus Microsofts Sysinternals-Suite. Allerdings verfolgen sie verschiedene Ansätze: RegFromApp ist ein einfaches Werkzeug, das genau auf diese Aufgabe zugeschnitten und daher sehr einfach zu bedienen ist. Process Monitor dagegen ist viel mächtiger und sammelt zahlreiche Daten über die Aktivitäten von Programmen.

    RegFromApp

    RegFromApp startet mit einer Liste aller aktiven Prozesse, aus der man jenen auswählt, dessen Registry-Zugriffe man beobachten möchte. Im Anschluss daran zeigt das Tool in einem Textfenster alle Änderungen an, und zwar im Format einer .reg-Datei. Auf Wunsch kann man die Originalwerte der veränderten Schlüssel ausgeben lassen.

    RegFromApp stellt die geänderten Schlüssel im .reg-Format dar.

    Die Software liegt in einer 32- und in einer 64-Bit-Version vor. Allerdings sind sie nicht einfach für die entsprechenden Windows-Versionen ausgelegt. Vielmehr benötigt man die 32-Bit-Ausführung auch unter Windows x64, wenn man dort 32-Bit-Programme überwachen möchte. Beide Varianten können kostenlos von der Nirsoft-Website heruntergeladen werden.

    Sysinternals Process Monitor

    Der Sysinternals Process Monitor sammelt im Gegensatz zu RegFromApp per Voreinstellung eine Vielzahl von Daten aller Prozesse. Dazu gehören nicht nur Zugriffe auf die Registry, sondern auch auf das Dateisystem und das Netzwerk.

    Process Monitor sammelt standardmäßig eine Vielzahl von Daten, die man über Filter eingrenzen kann.

    Um das Programm auf die gewünschte Tätigkeit einzugrenzen, muss man entsprechende Filter definieren. Dort wählt man etwa unter Process Name das Programm aus, das man überwachen möchte, und unter Event Class nimmt man Registry. Bei Bedarf schränkt man noch Operation auf RegCreateKey und RegSetKey ein.

    Wie RegFromApp bedarf Process Monitor keiner Installation, sondern lässt sich aus der ZIP-Datei starten. Das Tool kann von Microsoft Sysinternals heruntergeladen werden.

    Keine Kommentare