In diesem Artikel möchte ich euch zeigen, wie Ihr mit dem Process Monitor aus den Sysinternals von Microsoft die Veränderung von RegKeys überwachen könnt. Außerdem solltet verwende ich den Process Explorer, was ein aufgemotzter Taskmanager ist. Der Taskmanager tut es in diesem Fall aber auch.

Wenn Ihr den Process Monitor (procmon.exe) startet, werdet Ihr mit einem Filter Pop-Up begrüßt. Danke, sehr aufdringlich von Ihnen.

Hier könnt Ihr filtern, welche Aktivitäten Ihr überwachen wollt. Ich möchte mir mal den Installationsprozess von WinRAR ansehen.

Startet die Installation und sucht euch die PID (Process ID) Raus.

Wählt dann in der Kopfzeile des Filterdialoges PID is <PID> then include aus.

Da in dieser Liste auch angegeben wird, welche Ereignisse NICHT beobachtet werden sollen, müssen wir die RegKey Changes explizit ausnehmen. Doppelte Verneinung und so.

Nach etwa 30 Sekunden hat der Procmon aus 2.5 Millionen events die Im Betriebssystem ausgelöst wurden, etwa 2600 für uns interessante herausgefiltert.

Schon nicht schlecht aber noch nicht gut genug. Ich speichere die Ergebnisse als CSV Datei (Strg + S) .

Und öffne Sie dann in Excel um sie ein bisschen näher zu untersuchen. Hier importiere ich die selben Daten dann nochmal aus der CSV. Weil.

Hier lasse ich alle Werte im Default und sage damit, dass das Trennzeichen der CSV (Comma Seperated Value) ein Komma sein soll. Jetzt kann ich einfach nach einzelnen Registry Events filtern.

Schauen wir uns mal die interessantesten Events an. RegCreateKey RegSetInfoKey

Da waren’s nur noch vier. Startet mit Windows + R den Windows Ausführen dialog und gebt dort RegEdit ein.

Damit könnt Ihr die Windows Registry editieren. Internet Explorer\BrowserEmulation interessiert mich nicht wirklich.

Wenn Ihr mehr über die Windows Registry lernen wollt, schaut euch folgenden techconsumerguide Artikel an.

Schauen wir uns also Software\WinRAR SFX an. Der RegKey hält nur den Pfad zu der WinRAR.exe.

Schauen wir uns mal an, was so im SyncRootManager steht.

Nicht sehr spannend aber ich denke das Prinzip ist klar geworden.

Cheers, Ori