28466 Letture

Come monitorare le modifiche apportate al registro di Windows

Il registro di sistema è uno dei componenti principali di Windows la cui introduzione risale addirittura a Windows 3.0 (1990). Pur avendo subìto numerose migliorie nel corso degli anni, il registro di sistema continua ad essere largamente impiegato anche nelle più recenti versioni di Windows (i.e. Windows 7). Si tratta, com'è noto, di una sorta di "base dati" che custodisce moltissime delle informazioni che regolano le preferenze ed il funzionamento del sistema operativo e delle applicazioni via a via installate. L'adozione del registro di sistema ha permesso a Microsoft ed agli sviluppatori Windows si svincolarsi dall'impiego degli storici file con estensione .INI, oggi utilizzati molto meno frequentemente che in passato.

Come spesso evidenziato, il registro di sistema è organizzato con una struttura gerarchica composta da chiavi, sottochiavi e valori. Le chiavi di primo livello constano del prefisso HKEY che sovente è abbreviato in HK.


Nelle pagine de IlSoftware.it abbiamo presentato molti strumenti che consentono di verificare le modifiche che vengono apportate non solo al file system ma anche al contenuto del registro di sistema.

Armandosi di un po´ di pazienza, un'utilità come Process Monitor, ad esempio, consente di stabilire, con la massima precisione, tutte le operazioni che sono in corso sul sistema in uso. Per utilizzare l'applicazione, è sufficiente prelevarla quindi estrarre il contenuto del suo file Zip in una cartella di propria scelta.
Facendo doppio clic sul file Procmon.exe, apparirà dapprima il contratto di licenza d'uso (che dovrà essere accettato) quindi la schermata seguente:

Per impostazione predefinita, Process Monitor provvederà ad escludere quindi eviterà di visualizzare in elenco tutta una serie di eventi legati all'attività dell'applicazione così come alle operazioni effettuate da Windows a basso livello.
Agendo sui menù a tendina posti sotto la frase Display entries matching these (ossia "Visualizza gli elementi che soddisfano i seguenti criteri"), l'utente ha la possibilità di impostare dei filtri personalizzati. Ad esempio, se s'intende monitorare esclusivamente l'attività dell'applicazione ABC.exe, è possibile selezionare la voce Process name dal primo menù e digitare ABC.exe nell'apposita casella:

Cliccando sul pulsante Add quindi su OK, Process Monitor si limiterà a registrare le operazioni di lettura e scrittura (sia sul registro che a livello di file system) messe in atto dall'applicazione indicata.
Diversamente, cliccando su OK senza specificare nulla, Process Monitor monitorerà l'attività dell'intero sistema e di tutte le applicazioni via a via poste in esecuzione.
Process Monitor è un software eccellente perché consente di scoprire cose interessanti sul comportamento di ogni singolo programma d'interesse (altri dettagli sono disponibili in questi nostri articoli).

Per verificare cosa succede "dietro le quinte" avviando un qualunque software non c'è solo Process Monitor, che effettua un monitoraggio in tempo reale. In alternativa (oppure accanto a Process Monitor), è possibile utilizzare una delle tante utilità che consentono di registrare automaticamente tutte le modifiche apportate alla configurazione di Windows per poi proporle all'utente sotto forma di resoconto finale. Ecco alcuni suggerimenti:

Scoprire cosa succede "dietro le quinte" eseguendo un software
Tracciare le modifiche operate dalle procedure d'installazione dei programmi
Monitorare le modifiche apportate al sistema con Integra
Come verificare le modifiche applicate al sistema con ZSoft Uninstaller
Controllare le modifiche apportate al sistema con Tiny Watcher

C'è però un altro programma che si rivela assai utile e che permette di stabilire quali modifiche sono state apportate alla configurazione del registro di Windows, ad esempio, durante un certo lasso di tempo. Il suo nome è RegScanner ed è una delle tante utilità sviluppate dal programmatore Nir Sofer.

Il programma è disponibile in due versioni: la prima, destinata ai sistemi Windows a 32 bit, è scaricabile cliccando qui mentre la seconda è destinata a chi dispone di una versione di Windows a 64 bit (prelevabile da questo link).
Dopo aver estratto i file contenuti nell'archivio compresso, si potrà memorizzare – all'interno della medesima cartella – il file .INI ospitato in questo Zip. Si tratta del file che permette di tradurre l'interfaccia di RegScanner in italiano.

Facendo doppio clic su RegScanner.exe, apparirà la finestra riportata in figura:

Il funzionamento di RegScanner è riassunto tutto qui. Per ottenere l'elenco di tutte le modifiche apportate al registro di sistema di Windows in un certo periodo di tempo, è sufficiente selezionare "L'elemento del registro contiene qualsiasi valore" dal menù a tendina Corrispondenza quindi spuntare la casella "Visualizza solo le chiavi il cui orario modificato sia nel seguente campo". Agendo sui controlli sottostanti, si potrà definire la finestra temporale di proprio interesse.
Nel riquadro "Scansione delle seguenti chiavi base" (l'ultimo in basso a destra), si potranno definire i rami principali del registro di sistema che dovranno essere oggetto di verifica.
Facendo clic sul pulsante OK, inizierà immediatamente la ricerca e RegScanner provvederà ad offrire la lista completa degli interventi applicati nel periodo di tempo specificato.


Agendo sul menù Corrispondenza è possibile restringere la ricerca a determinate parole, valori DWORD, binari o fare uso di espressioni regolari.

La casella Exclude the following keys from the registry scan consente eventualmente di fare in modo che RegScanner non prenda in considerazione il contenuto di determinate chiavi e sottochiavi (esse debbono essere digitate in sequenza, una dopo l'altra, e separata da una virgola).


Come monitorare le modifiche apportate al registro di Windows - IlSoftware.it