Мониторинг обращений к реестру Windows

Мониторинг обращений к реестру Windows

Реестр Windows является одним из излюбленных мест для вредоносного программного обеспечения ввиду отсутствия защищенности. Самой уязвимой категорией являются ПК без антивирусной защиты. Для того, чтобы избежать незаконного вторжения, можно использовать мониторинг реестра. Это дает возможность быть в курсе всех запросов, отправляющихся в реестр.

В этом пользователю могут помочь специальные программы, которые собственно и занимаются отслеживанием обращений в реестр. Их функционал немного различается. Одни могут просто вести логи и предоставлять пользователю подробную статистику, вторые же могут выполнять защитную функцию: после того, как нечто будет проситься на добавление в реестр, пользователю будет отправлено соответствующее уведомление. Так, пользователь сможет самостоятельно решать, добавлять ветку в реестр или нет.

Самая известная программа — Process Monitor. Она подойдет для последних ОС семейства Windows: это ХР, 7, 8, 10. Для более старых версий можно скачать аналог Registry Monitor (Regmon). Они почти идентичны, так что информация будет полезна обеим категориям пользователей. Итак, эта утилита является улучшенной версией программы Regmon, мониторящей обращения к реестру, с добавленной программой Filemon, мониторящей обращения к файловой системе. Программа может запускаться на версиях Windows, начиная с 2000. Она не требует установки, достаточно лишь запустить ее с правами администратора.

Для корректной работы в пользовательской системе устанавливается драйвер этой программы, который исполняет роль перехватчика всех обращений к реестру. Пользователь может мониторить запросы, отправляющиеся к файловой системе, к реестре, к сети, а также активность процессов. После запуска программы сразу же будет начато отслеживание всех обращений.

Интерфейс программы не слишком сложный. Все зафиксированные обращения можно разделить с помощью соответствующих значков, находящихся на верхней панели. По желанию можно отфильтровать обращения только к реестру или к файловой системе, к интернету, отображать только процессы и потоки или выбрать профилирование каждого процесса.

В программе существует детальный фильтр, в который можно добавить интересующий процесс или процессы, чтобы отслеживать обращения только к ним. По умолчанию в фильтр добавлены некоторые процессы, отслеживание которых не нужно для пользователя, поэтому убирать их оттуда нет необходимости.

В программе существует так называемое «Дерево процессов». Оно предоставляет пользователю список программ и процессов, которые эти программы запускали. Также можно узнать, какое время этот процесс работал и путь к нему.

  • Другие возможности:

  • мониторить запуск, завершение процессов и потоков, предоставляя пользователю код завершения

  • мониторить загрузку образов

  • записывать в журнал все происходящие операции при старте системы

  • хранить огромнейшее количество записей о событиях в журнале

  • осуществлять поиск о событиях внутри программы и в Интернете

  • импортировать и экспортировать журнал с событиями


Для обычных пользователей, которым сложно будет разобраться во всех замудренных настройках, есть крошечная утилита под названием 2IPStartGuard. Ее работа направлена лишь на одно — отслеживать обращения к реестру и предупреждать об этом пользователя. В сообщении можно увидеть, в какую ветку реестра просится объект и какой исполняемый файл будет запускаться. Стоит отметить, что эта программа направлена на контроль автозагрузки для защиты компьютера от запуска вредоносных программ.