¿Hay alguna manera de ver todos los archivos y entradas de registro que instala una aplicación?

32

Estoy tratando de averiguar si hay una manera de instalar básicamente una aplicación en un entorno limitado, de modo que pueda ver fácilmente todos los archivos que creó y todas las entradas de registro que agregó sin buscar archivos en la computadora.

No necesita ser un sandbox, siempre y cuando me diga todo lo que ha hecho el instalador. Seguramente tiene que haber algo por ahí que haga esto. Sé que mi A / v me dice cuándo accede a ciertos archivos y carpetas, pero estoy buscando un enfoque más preciso que registre todo para poder analizarlo después.

windows-7 windows installation windows-registry sandbox usuario1632018
fuente
Puede auditar los cambios del registro en Windows 7, pero eso depende de la versión específica utilizada.
Doktoro Reichard

Respuestas:

33

  1. Descargue, descomprima y ejecute Process Monitor .

  2. Ejecute su instalador. Estoy usando FileZilla para este ejemplo.

    ingrese la descripción de la imagen aquí

  3. Mientras se ejecuta el instalador, puede usar el punto de mira y arrastrarlo a la ventana del instalador. Esto creará un filtro que dará como resultado que Process Monitor solo muestre eventos relacionados con ese proceso.

    ingrese la descripción de la imagen aquí

    También puede esperar a que termine el instalador y seleccionarlo usted mismo de los eventos grabados. Puede hacer clic con el botón derecho en el Nombre del proceso y crear un filtro Incluir fácilmente.

  4. Ahora tendrá un registro de cada sistema de archivos o acceso al registro del instalador. Ahora puede crear filtros adicionales para analizar aún más los datos o utilizar las funciones disponibles en el menú Herramientas .

    Especialmente el Resumen de archivos y el Resumen de registro pueden ser de interés en este contexto.

    ingrese la descripción de la imagen aquí

Sin embargo, tenga en cuenta que al filtrar eventos solo para un proceso específico, puede perder operaciones que no son causadas directamente por el proceso del instalador. El instalador podría llamar a alguna API de Windows que indirectamente causa cambios en los valores del registro.

Del mismo modo, el instalador podría generar un proceso secundario que realiza modificaciones de archivo y / o registro. Este proceso secundario tampoco se vería cuando solo se filtra en el proceso principal.

Cuando un proceso genera un proceso hijo, esto se indicará mediante la operación Crear proceso en el Monitor de proceso.

Der Hochstapler
fuente
Hola Oliver, gracias por el tutorial detallado. Realmente lo aprecio. Solo estoy desinstalando el software y lo intentaré inmediatamente después de volver a instalarlo. Te mantendré informado sobre lo bien que funciona para mí.
user1632018
Wow, esta respuesta avergüenza a la mía. +1 para ti!
MonkeyZeus
Terminé tomando este enfoque. Funcionó muy bien una vez que lo entendí. Me di cuenta de que lo mejor es configurar los filtros de antemano o de lo contrario lleva mucho tiempo filtrar los objetos en la vista de lista.
user1632018
@ user1632018: si tiene un conjunto de filtros que funcionan para usted, también puede habilitar la opción Eliminar eventos filtrados del menú Filtro . Entonces los eventos filtrados ni siquiera se almacenan.
Der Hochstapler
9

Creo que podrías estar buscando algo como Desinstalación total

Este software debe instalarse antes de la aplicación que desea monitorear.

Mantiene un registro de todas las entradas de registro y archivos creados y modificados.

Proporciona una GUI para navegar por los programas recién instalados y monitoreados.

MonoZeus
fuente
Las respuestas de solo enlace no son adecuadas para SU. Proporcione una explicación algo detallada sobre cómo funciona el programa y cómo resuelve el problema del OP.
Doktoro Reichard
Parece una buena pieza de software, pero me estaba inclinando hacia un enfoque libre. Sin embargo, parece prometedor como desinstalador. Hace un tiempo estaba buscando un desinstalador que adoptara este enfoque. Sin embargo, terminé con Revo Uninstaller porque no pude encontrar uno. Revo solo busca claves y archivos que contienen el nombre en ellos. Lo que no siempre es preciso y puede eliminar claves de registro importantes si el usuario no tiene cuidado. Así que gracias por eso, si estoy harto de revo probablemente compraré este desinstalador. Para este uso, aunque voy con el enfoque de monitor de proceso.
user1632018
¡Buena suerte! Ciertamente, háganos saber cómo va.
MonkeyZeus
7
  1. Exporte todo el registro antes de la instalación
  2. Exporte todo el registro después de la instalación

Use un archivo diff para obtener las diferencias entre los dos registros.

http://support.microsoft.com/kb/171780

Puede descargar software para hacerlo por usted (ver más abajo)

http://www.aplusfreeware.com/categories/util/registry.html

Otra cosa que puede hacer es descargar "Sysinternals Process Monitor". Luego puede filtrar las operaciones realizadas por el instalador que se muestran. Incluso puede filtrar a las operaciones que desee ver (RegWrite, RegQueryValue, etc.) y guardar la captura para verla más tarde.

el software es divertido
fuente
Estoy tratando el enfoque de monitor de proceso mientras hablamos. Te avisaré si me funciona bien.
user1632018
La probabilidad de que otro programa de modificar el registro en el que el tiempo es demasiado alto para que este enfoque sea razonable
developerbmw
1

Una forma más fácil de usar que ProcessMonitor es usar un programa de monitoreo de instalación real. El que siempre he usado y preferido es InCtrl5 de PCMagazine . Solía ​​ser gratuito y, aunque comenzaron a cobrar por sus utilidades hace varios años, aún puede encontrar una copia de alguien que lo descargó mientras era gratis y tenía la licencia gratuita. También lo han actualizado a InCtrlX, que presumiblemente es mejor, pero no es gratuito.

Otro que me gusta es ZSoft Uninstaller . De las docenas de programas que he probado, este fue el siguiente mejor para InCtrl5. También es gratis.

Estos programas funcionan tomando una instantánea del registro y del sistema de archivos antes y después de la instalación, y luego hacen una comparación para averiguar qué ha cambiado (agregado, eliminado, modificado). A diferencia de un programa como ProcessMonitor que simplemente monitorea los accesos al sistema, estos filtran los cambios reales en el sistema y los mejores incluso filtran falsos positivos como archivos temporales y cambios iniciados por el sistema operativo.

Synetech
fuente
+1 para InCtrl5. Manera muy fácil de usar para hacer esto.
Ryan_S
0

Puede usar VMware ThinApp para instalar una aplicación en una caja de arena. Grabará y virtualizará su aplicación en una carpeta separada donde puede monitorear todo su contenido. Aqui esta el link:

http://www.vmware.com/products/thinapp/

Zeeshan
fuente