監視應用程式對登錄檔的改變 - RegFromApp
RegFromApp 這個由 NirSoft 出品的小程可以讓我們監視登錄檔因為某個應用程式而產生的變化。選擇要觀察的應用程式並開始監控,RegFromApp 就會即時地回報應用程式對登錄檔的異動。
RegFromApp 基本資料:
RegFromApp 使用介簡及介面擷圖:
RegFromApp 一執行便會要求我們選擇要監視的應用程式 (處理程序),選擇好之後按下「OK」鈕。
RegFromApp 接下來程式就會開始監視登錄檔的變化,一旦受監視的程式對登錄檔產生變化,中間空白區域就會顯示更改的登錄資料。
這邊要注意的是「Options」選單的「Add Only Modified Values」要保持勾選,這樣只會顯示有經過更改的登錄資料。而「Display Mode」則有兩種顯示模式,第一個「Show Last Modified Values」會顯示最後經過更改的登錄資料,另一個「Show Original Values」則顯示更改之前的原始登錄資料。
儲存登錄檔
如果須要的話也可以將登錄資料另存為 Windows 標準的 .reg 檔案。例如我們可以儲存更改前和更改後的登錄資料,然後利用類似 WinMerge 的工具比較出前後兩者之間的差異。
觀察新啟動的程式
如果要觀察某個尚未執行的程式,並且希望監視該程式正在啟動的時候對登錄檔產生哪些異動的話,我們可以利用 RegFromApp 的「Start New Process」,使用的方法是按下工具列上的「Start New Process」鈕然後在對話框中選擇要監視的程式,勾選「Start tracing immediately」表示立即執行程式,然後按下「OK」。
nirsoft的小软件都挺不错,哈哈。