Registry-Änderungen überwachen mit RegFromApp und Process Monitor

Das Monitoring der Registry beherrschen sowohl RegFromApp von Nirsoft als auch Process Monitor aus Microsofts Sysinternals-Suite. Allerdings verfolgen sie verschiedene Ansätze: RegFromApp ist ein einfaches Werkzeug, das genau auf diese Aufgabe zugeschnitten und daher sehr einfach zu bedienen ist. Process Monitor dagegen ist viel mächtiger und sammelt zahlreiche Daten über die Aktivitäten von Programmen.

RegFromApp

RegFromApp startet mit einer Liste aller aktiven Prozesse, aus der man jenen auswählt, dessen Registry-Zugriffe man beobachten möchte. Im Anschluss daran zeigt das Tool in einem Textfenster alle Änderungen an, und zwar im Format einer .reg-Datei. Auf Wunsch kann man die Originalwerte der veränderten Schlüssel ausgeben lassen.

Die Software liegt in einer 32- und in einer 64-Bit-Version vor. Allerdings sind sie nicht einfach für die entsprechenden Windows-Versionen ausgelegt. Vielmehr benötigt man die 32-Bit-Ausführung auch unter Windows x64, wenn man dort 32-Bit-Programme überwachen möchte. Beide Varianten können kostenlos von der Nirsoft-Website heruntergeladen werden.

Sysinternals Process Monitor

Der Sysinternals Process Monitor sammelt im Gegensatz zu RegFromApp per Voreinstellung eine Vielzahl von Daten aller Prozesse. Dazu gehören nicht nur Zugriffe auf die Registry, sondern auch auf das Dateisystem und das Netzwerk.

Um das Programm auf die gewünschte Tätigkeit einzugrenzen, muss man entsprechende Filter definieren. Dort wählt man etwa unter Process Name das Programm aus, das man überwachen möchte, und unter Event Class nimmt man Registry. Bei Bedarf schränkt man noch Operation auf RegCreateKey und RegSetKey ein.

Wie RegFromApp bedarf Process Monitor keiner Installation, sondern lässt sich aus der ZIP-Datei starten. Das Tool kann von Microsoft Sysinternals heruntergeladen werden.