Come monitorare le modifiche apportate al registro di Windows

Il registro di sistema è uno dei componenti principali di Windows la cui introduzione risale addirittura a Windows 3.0 (1990). Pur avendo subìto numerose migliorie nel corso degli anni, il registro di sistema continua ad essere largamente impiegato anche nelle più recenti versioni di Windows.
Si tratta di una sorta di “base dati” che custodisce moltissime delle informazioni che regolano le preferenze ed il funzionamento del sistema operativo e delle applicazioni via via installate.

Il registro di sistema è organizzato con una struttura gerarchica composta da chiavi, sottochiavi e valori. Le chiavi di primo livello hanno il prefisso HKEY che sovente è abbreviato in HK. Il software Regedit permette di aprire il registro di sistema, verificarne e modificarne il contenuto.

Interagire con il registro di sistema non è cosa per tutti: conoscerne gli aspetti fondamentali, può tuttavia risultare utile in molteplici situazioni.
Nel registro di sistema si possono trovare Product Key e codici di licenza dei programmi installati, i riferimenti agli elementi caricati nel menu contestuale di Windows che possono provocare crash di Esplora file o un’apertura lenta della finestra Apri e Salva con nome, le impostazioni che regolano il funzionamento delle applicazioni presenti sul sistema, le preferenze che incidono sul comportamento di Windows e permettono di ottimizzare Windows 11 e velocizzare Windows 10. Solo per fare qualche esempio.

Monitorare le modifiche sul registro di sistema con Process Monitor

Armandosi di un po’ di pazienza, un’utilità Microsoft come Process Monitor aiuta a stabilire, con la massima precisione, tutte le operazioni che sono in corso sul sistema in uso sia a livello di file system che di registro di sistema.

Per utilizzare l’applicazione, è sufficiente effettuarne il download quindi estrarre il contenuto del suo file Zip in una cartella di propria scelta (ad esempio C:\Process Monitor).

Facendo doppio clic sul file Procmon.exe, appare dapprima il contratto di licenza d’uso (che deve essere accettato) quindi una schermata simile a quella riprodotta in figura.

Per impostazione predefinita Process Monitor provvede ad escludere quindi a evitare la visualizzazione di tutta una serie di eventi legati all’attività dell’applicazione stessa così come alle operazioni effettuate da Windows a basso livello.

Agendo sui menù a tendina posti sotto la frase Display entries matching these (ossia “Visualizza gli elementi che soddisfano i seguenti criteri“), l’utente ha la possibilità di impostare dei filtri personalizzati.
Ad esempio, se si intendesse monitorare esclusivamente l’attività dell’applicazione ABC.exe, è possibile selezionare la voce Process name dal primo menu a tendina e digitare ABC.exe nell’apposita casella.

Scegliendo Include quindi cliccando sul pulsante Add e infine su OK, Process Monitor si limita a mostrare le operazioni di lettura e scrittura (sia sul registro che a livello di file system) messe in atto dall’applicazione indicata.

Diversamente, cliccando su OK senza specificare nulla, Process Monitor monitora l’attività dell’intero sistema e di tutte le applicazioni via via poste in esecuzione.
Process Monitor è un software eccellente perché consente di scoprire cose interessanti sul comportamento di ogni singolo programma.

Per interrompere la raccolta degli eventi, basta premere la combinazione di tasti CTRL+E oppure scegliere File, Capture events.
La stessa combinazione di tasti o la stessa voce di menu permette di riprendere la registrazione delle attività in corso sul sistema.

Agendo sulle icone della barra degli strumenti si può fare in modo che Process Monitor visualizzi, ad esempio, solo le modifiche a livello di registro di sistema o quelle sul file system.

Dopo aver arrestato la registrazione degli eventi, premendo CTRL+X è possibile cancellare tutto quanto acquisito in precedenza da Process Monitor e visualizzato nella sua finestra. Ovviamente Process Monitor va eseguito e il suo monitoraggio deve essere avviato prima del programma da controllare.

Cliccando su Filter e di nuovo su Filter, suggeriamo di tenere a mente la possibilità di usare il filtro chiamato RegSetValue.
Scegliendo Operation, is, RegSetValue e Include, si può chiedere a Process Monitor di limitarsi a visualizzare le sole operazioni di modifica applicate sul contenuto del registro di sistema di Windows (ricordarsi di cliccare il pulsante Add).

Rilevare le modifiche applicate al registro di sistema con RegScanner

C’è anche un altro programma, meno conosciuto ma davvero efficace, che permette di stabilire quali modifiche sono state apportate alla configurazione del registro di Windows.

Si chiama RegScanner ed è scaricabile dal sito ufficiale dello sviluppatore digitando regscanner nirsoft download nella casella di ricerca di Google e cliccando sul primo risultato restituito.
Sui più moderni sistemi Windows a 64 bit è necessario scorrere la pagina per intero quindi cliccare sul link Download RegScanner for x64.

Facendo doppio clic sul file eseguibile RegScanner.exe si apre una schermata simile a quella riprodotta in figura.

Per ottenere l’elenco di tutte le modifiche apportate al registro di sistema di Windows in un certo periodo di tempo, si può selezionare Registry item contains any value dal menu a tendina Matching quindi scegliere l’opzione Show only Registry keys modified in the last… oppure Show only Registry keys modified in the specified time range.
In questo modo è possibile recuperare dal registro di sistema tutte le chiavi e i valori modificati negli ultimi secondi, minuti od ore oppure entro la finestra temporale indicata.

Facendo clic sul pulsante OK, RegScanner inizia la ricerca e provvede ad offrire la lista completa degli interventi applicati nel periodo di tempo specificato.
Per impostazione predefinita RegScanner controlla le chiavi principali HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER nelle quali solitamente si concentrano le modifiche applicate dai programmi installati. È però possibile estendere la ricerca anche alle altre chiavi del registro di Windows.

Il menu Matching permette eventualmente di restringere la ricerca a determinate parole, valori DWORD, binari o fare uso di espressioni regolari.
La casella Exclude the following keys from the registry scan consente eventualmente di fare in modo che RegScanner non prenda in considerazione il contenuto di determinate chiavi e sottochiavi: devono essere digitate in sequenza, una dopo l’altra, e separate con una virgola.