32

Я пытаюсь выяснить, существует ли способ в основном установить приложение в «песочницу», чтобы я мог легко видеть все созданные им файлы и все добавленные в реестр записи, не ища файлы на компьютере.

Это не должна быть песочница, пока она расскажет мне все, что сделал установщик. Конечно, должно быть что-то, что делает это. Я знаю, что мой A/ V сообщает мне, когда он обращается к определенным файлам и папкам, но я ищу более точный подход, который регистрирует все, чтобы я мог проанализировать его после.

|источник

5 ответов5

33

  1. Скачайте, распакуйте и запустите Process Monitor.

  2. Запустите ваш установщик. Я использую FileZilla для этого примера.

  3. Во время работы установщика вы можете использовать перекрестие и перетащить его в окно установщика. Это создаст фильтр, в результате которого Process Monitor будет отображать только события, относящиеся к этому процессу.

    Вы также можете подождать, пока установщик завершит работу, и самостоятельно выбрать его из записанных событий. Вы можете щелкнуть правой кнопкой мыши Имя процесса и легко создать фильтр « Включить» .

  4. Теперь у вас будет журнал каждой файловой системы или доступа к реестру установщика. Теперь вы можете создавать дополнительные фильтры для дальнейшего анализа данных или использовать функции, доступные в меню Инструменты .

    В этом контексте могут представлять интерес Сводка файлов и Сводка реестра .

Однако обратите внимание, что при фильтрации событий только для определенного процесса вы можете пропустить операции, которые не вызваны непосредственно самим процессом установки. Установщик может вызвать некоторый Windows API, который косвенно вызывает изменение значений реестра.

Аналогично, установщик может просто порождать дочерний процесс, который вносит изменения в файл и / или реестр. Этот дочерний процесс также не будет виден, когда вы фильтруете только родительский процесс.

Когда процесс порождает дочерний процесс, это будет указано операцией « Создание процесса» в Process Monitor.

|источник
9

Я думаю, что вы, возможно, ищете что-то вроде Total Uninstall

Это программное обеспечение необходимо установить до приложения, которое вы хотите отслеживать.

Он ведет журнал всех записей реестра и файлов, созданных и измененных.

Он предоставляет графический интерфейс для навигации по недавно установленным и отслеживаемым программам.

|источник
7
  1. Экспортируйте весь реестр перед установкой
  2. Экспортируйте весь реестр после установки

Используйте файл diff, чтобы получить различия между двумя реестрами.

http://support.microsoft.com/kb/171780

Вы можете скачать программное обеспечение, чтобы сделать это для вас (см. Ниже)

http://www.aplusfreeware.com/categories/util/registry.html

Еще одна вещь, которую вы можете сделать, это загрузить "Sysinternals Process Monitor". Затем вы можете отфильтровать операции, выполненные установщиком. Вы даже можете отфильтровать все операции, которые хотите увидеть (RegWrite, RegQueryValue и т.д.), И сохранить запись для последующего просмотра.

|источник
1

Более удобный для пользователя способ, чем ProcessMonitor, заключается в использовании программы мониторинга фактической установки. Тот, который я всегда использовал и предпочитал, это InCtrl5 PCMagazine. Раньше она была бесплатной, и хотя они начали взимать плату за свои коммунальные услуги несколько лет назад, вы все равно сможете найти копию у того, кто ее скачал, пока она была бесплатной и имела бесплатную лицензию. Они также обновили его до InCtrlX, который, вероятно, лучше, но не бесплатный.

Еще один, который мне нравится, - ZSoft Uninstaller. Из десятков таких программ, которые я тестировал, эта была следующая лучше, чем InCtrl5. Это также бесплатно.

Эти программы работают, делая снимок реестра и файловой системы до и после установки, а затем проводят сравнение, чтобы выяснить, что изменилось (добавлено, удалено, изменено). В отличие от такой программы, как ProcessMonitor, которая просто отслеживает доступ к системе, они фильтруют фактические изменения в системе, а лучшие даже отфильтровывают ложные срабатывания, такие как временные файлы и изменения, инициированные ОС.

|источник
0

Вы можете использовать VMware ThinApp для установки приложения в «песочницу». Он будет записывать и виртуализировать ваше приложение в отдельной папке, где вы сможете отслеживать все его содержимое. Вот ссылка:

http://www.vmware.com/products/thinapp/

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .