Как узнать, какая программа изменила реестр в Windows?

Question

В Windows Server 2016 Technical Preview 4 создается несколько записей для оценки стоимости MSI.

В разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall {ProductCode} запись EstimatedSize создается во время выполнения MSI, но через некоторое время автоматически создается другая запись "sEstimatedSize2". Проблема заключается в том, что при удалении куста {ProductCode} остается с этим реестром sEstimatedSize2.

Есть ли способ узнать, кто изменил реестр? Я могу узнать, когда этот ключ был создан с помощью regscanner.

Answer 1

Я бы порекомендовал использовать ProcMon - это покажет вам, какие процессы создают, читают и изменяют файлы, папки и записи реестра. Вы можете отфильтровать его по записям реестра, соответствующим определенной маске (вам придется это сделать, поскольку он очень быстро спамит со всем, что происходит на вашем компьютере).

Надеюсь, это поможет вам понять, в чем заключается ваша проблема.