Роман Клименко - Тонкости реестра Windows Vista. Трюки и эффекты

Рис. 5.59. Окно создания фильтра

Создание фильтра заключается в выборе имени и типа фильтра, а также дополнительных параметров, которые зависят от типа фильтра. Тип определяется в раскрывающемся списке Вам нужно, который содержит следующие пункты.

• Отслеживать активность некоторых или всех процессов – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать операции чтения некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, кроме их изменения (мониторинг использования функций RegOpenKey, RegEnumKey, RegCloseKey, RegQueryInfoKey, RegEnumValue, RegQueryValue).

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать операции записи некоторых или всех процессов – реестр отслеживает все виды доступа к ветвям и параметрам реестра, которые приводят к их изменению (мониторинг использования функций RegSetValue, RegLoadKey, RegCreateKey, RegDeleteKey, RegDeleteValue, RegFlushKey, RegUnloadKey).

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться.

• Отслеживать доступ к разделу – реестр отслеживает любую активность программ, удовлетворяющих введенному шаблону.

При выборе данного пункта необходимо указать шаблон процессов, деятельность которых будет отслеживаться, а также шаблон ветви реестра, доступ к которой будет отслеживаться.

После того как фильтр создан, будет запущен мониторинг реестра (рис. 5.60). Чтобы остановить мониторинг реестра, достаточно воспользоваться командой Монитор → Остановить монитор. После этого вы можете сохранить результаты мониторинга с помощью команды Монитор → Сохранить. Результаты сохраняются в формате XML.

Рис. 5.60. Мониторинг реестра запущен

Помимо сохранения результатов работ мониторинга, вы можете отобразить их в окне браузера. Для этого достаточно воспользоваться командой Монитор → Открыть журнал в браузере.

Напоследок рассмотрим еще один способ создания/изменения фильтра, который более полезен, чем использование мастера. Это применение команды Монитор → Редактировать фильтры, после выбора которой перед вами отобразится окно Фильтры.

С помощью данного окна можно добавлять, удалять и изменять существующие фильтры. Нажав кнопку Изменить данного окна, вы сможете открыть окно Редактирование фильтра. С его помощью можно внутри одного фильтра создать несколько правил (несколько фильтров для мониторинга разных процессов), а также удалить или изменить уже существующие в контексте данного фильтра правила. Для этого достаточно воспользоваться кнопками Изменить, Добавить, Удалить. Попробуйте для примера изменить фильтр, который мы создали с помощью окна Мастер создания фильтров (рис. 5.61).

Рис. 5.61. Редактирование правил фильтра

Вы уже знаете, что в поставку данной программы входит редактор реестра, имеющий несколько полезных возможностей. Однако, помимо способности редактирования реестра, данная программа содержит еще одну очень интересную функцию – создания и сравнения снимков реестра, файловой системы и содержимого системных INI-файлов.

Чтобы воспользоваться данной функцией, нужно применить команду Команды → Установить приложение (рис. 5.62).

Рис. 5.62. Мастер для установки нового приложения

Работа механизма сравнения снимков реестра реализована в виде мастера, на первом шаге которого вам предлагается либо выбрать созданный ранее снимок, либо создать новый.

После того как вы выберете/создадите снимок, программа предложит вам выполнить действия, результат которых нужно определить. Например, установить приложение. Как только все действия будут выполнены, нажмите кнопку Далее мастера. Это приведет к созданию второго снимка реестра.

И самый последний шаг мастера – собственно, сравнение двух снимков реестра (рис. 5.63). Для выполнения сравнения достаточно нажать кнопку Результаты.