มีวิธีดูไฟล์และรายการรีจิสตรีทั้งหมดที่แอปพลิเคชันติดตั้งหรือไม่

ฉันพยายามคิดออกว่ามีวิธีในการติดตั้งแอปพลิเคชันลงในแซนด์บ็อกซ์หรือไม่โดยทั่วไปฉันสามารถดูไฟล์ทั้งหมดที่สร้างขึ้นและรายการรีจิสตรีทั้งหมดที่เพิ่มเข้ามาโดยไม่ต้องค้นหาคอมพิวเตอร์เพื่อค้นหาไฟล์

ไม่จำเป็นต้องเป็น sandbox ตราบใดที่มันจะบอกทุกอย่างที่โปรแกรมติดตั้งทำ แน่นอนว่าต้องมีบางสิ่งบางอย่างที่ทำเช่นนี้ ฉันรู้ว่า A / v ของฉันบอกฉันเมื่อมีการเข้าถึงไฟล์และโฟลเดอร์บางอย่าง แต่ฉันกำลังมองหาวิธีการที่แม่นยำยิ่งขึ้นที่บันทึกทุกอย่างเพื่อให้ฉันสามารถวิเคราะห์ได้

1. ดาวน์โหลดแกะและเรียกใช้กระบวนการตรวจสอบ

2. เรียกใช้โปรแกรมติดตั้งของคุณ ฉันใช้FileZillaสำหรับตัวอย่างนี้

   

3. ในขณะที่ตัวติดตั้งทำงานคุณสามารถใช้ crosshair แล้วลากไปยังหน้าต่างตัวติดตั้ง สิ่งนี้จะสร้างตัวกรองที่ผลลัพธ์ในการตรวจสอบกระบวนการแสดงเหตุการณ์ที่เกี่ยวข้องกับกระบวนการนั้นเท่านั้น

   

   นอกจากนี้คุณยังสามารถรอให้ผู้ติดตั้งดำเนินการให้เสร็จและเลือกกิจกรรมที่บันทึกไว้ด้วยตนเอง คุณสามารถคลิกขวาที่ชื่อกระบวนการและสร้างตัวกรองรวมได้อย่างง่ายดาย

4. ตอนนี้คุณจะมีบันทึกของทุกระบบไฟล์หรือการเข้าถึงรีจิสทรีของตัวติดตั้ง ตอนนี้คุณสามารถสร้างตัวกรองเพิ่มเติมเพื่อวิเคราะห์ข้อมูลเพิ่มเติมหรือใช้ฟังก์ชั่นที่มีอยู่จากเมนูเครื่องมือ

   โดยเฉพาะอย่างยิ่งไฟล์ย่อและสรุปรีจิสทรีอาจเป็นที่สนใจในบริบทนี้

   

อย่างไรก็ตามโปรดทราบว่าเมื่อกรองเหตุการณ์สำหรับกระบวนการเฉพาะเท่านั้นคุณอาจพลาดการทำงานที่ไม่ได้เกิดจากกระบวนการตัวติดตั้งโดยตรง โปรแกรมติดตั้งสามารถเรียก Windows API บางตัวที่ทำให้ค่ารีจิสตรีเปลี่ยนแปลงได้โดยอ้อม

ในทำนองเดียวกันโปรแกรมติดตั้งสามารถวางกระบวนการลูกที่ทำให้ไฟล์และ / หรือการปรับเปลี่ยนรีจิสทรี กระบวนการลูกนี้จะไม่เห็นเมื่อคุณกรองเฉพาะกระบวนการแม่

เมื่อกระบวนการสร้างกระบวนการลูกกระบวนการนี้จะถูกระบุโดยการดำเนินการสร้างกระบวนการในการตรวจสอบกระบวนการ

ฉันคิดว่าคุณอาจกำลังมองหาบางอย่างเช่นถอนการติดตั้งโดยรวม

ต้องติดตั้งซอฟต์แวร์นี้ก่อนแอปพลิเคชันที่คุณต้องการตรวจสอบ

จะเก็บบันทึกของรายการรีจิสทรีและไฟล์ที่สร้างและเปลี่ยนแปลง

มันมี GUI สำหรับการนำทางโปรแกรมที่ติดตั้งและตรวจสอบใหม่

1. ส่งออกรีจิสตรีทั้งหมดก่อนการติดตั้ง
2. ส่งออกรีจิสตรีทั้งหมดหลังจากการติดตั้ง

ใช้ไฟล์ต่างกันเพื่อรับความแตกต่างระหว่างการลงทะเบียนสองรายการ

http://support.microsoft.com/kb/171780

คุณสามารถดาวน์โหลดซอฟต์แวร์เพื่อทำเพื่อคุณ (ดูด้านล่าง)

http://www.aplusfreeware.com/categories/util/registry.html

อีกสิ่งที่คุณสามารถทำได้คือดาวน์โหลด "การตรวจสอบกระบวนการ Sysinternals" จากนั้นคุณสามารถกรองการทำงานที่ทำโดยผู้ติดตั้งได้ คุณสามารถกรองการดำเนินการใด ๆ ที่คุณต้องการดู (RegWrite, RegQueryValue, ฯลฯ ) และบันทึกการจับภาพเพื่อการดูในภายหลัง

วิธีที่ใช้งานง่ายกว่า ProcessMonitor คือการใช้โปรแกรมตรวจสอบการติดตั้งจริง หนึ่งที่ผมได้ใช้เสมอและต้องการเป็น PCMagazine ของInCtrl5 เคยเป็นฟรีและในขณะที่พวกเขาเริ่มคิดค่าสาธารณูปโภคเป็นเวลาหลายปีที่ผ่านมาคุณอาจยังสามารถค้นหาสำเนาจากคนที่ดาวน์โหลดในขณะที่มันว่างและมีใบอนุญาตฟรี พวกเขายังอัปเดตเป็น InCtrlX ซึ่งน่าจะดีกว่า แต่ไม่ฟรี

หนึ่งที่ผมชอบก็คือZSoft Uninstaller จากโปรแกรมหลายสิบโปรแกรมที่ฉันได้ทดสอบนี่เป็นโปรแกรมต่อไปที่ดีที่สุดสำหรับ InCtrl5 ได้ฟรีเช่นกัน

โปรแกรมเหล่านี้ทำงานโดยการบันทึกภาพรวมของรีจิสทรีและระบบไฟล์ก่อนและหลังการติดตั้งจากนั้นทำการเปรียบเทียบเพื่อค้นหาสิ่งที่มีการเปลี่ยนแปลง (เพิ่มลบออกแก้ไข) ซึ่งแตกต่างจากโปรแกรมเช่น ProcessMonitor ซึ่งเพียงแค่ตรวจสอบการเข้าถึงระบบตัวกรองเหล่านี้สำหรับการเปลี่ยนแปลงที่เกิดขึ้นจริงกับระบบและตัวที่ดีกว่าจะกรองผลบวกที่ผิดพลาดเช่นไฟล์ชั่วคราวและการเปลี่ยนแปลงที่เริ่มต้นโดยระบบปฏิบัติการ

คุณสามารถใช้ VMware ThinApp เพื่อติดตั้งแอปพลิเคชั่นในกล่องทราย มันจะบันทึกและจำลองแอปพลิเคชันของคุณในโฟลเดอร์แยกต่างหากซึ่งคุณสามารถตรวจสอบเนื้อหาทั้งหมดได้ นี่คือลิงค์:

http://www.vmware.com/products/thinapp/