Regshot – wykrywanie zmian w rejestrze i na dyskach


 

Nie jest tajemnicą, że wszelkie ustawienia Windowsa jak i wielu programów na nim zainstalowanych znajduje się w systemowym rejestrze. To najważniejszy element systemów rodziny Windows. Jeżeli tylko mamy ochotę (oraz uprawnienia admina :)), możemy skonfigurować co chcemy, nawet elementy, które nie są jawnie udostępnioneprzez twórców aplikacji. Znajomość odpowiednich kluczy rejestru oraz wartości jest wiedzą przydatną wszelkim skryptopisarzom, wielu osobom wystarczy przeklikanie się przez opcje i ustawienie tego, co trzeba. Są jednak przypadki gdy zmian dokonujemy bardzo często lub na wielu komputerach. Największą przeszkodą jest wtedy odnalezienie odpowiedniego klucza oraz zmiana wartości na akceptowaną przez system. Metody na „chybił/trafił” nie wchodzą oczywiście w grę. Takim osobom przychodzą z pomocą skanery rejestrów i plików. Jednym z lepszych i dostępnych za darmo (, a poza tym używany przeze mnie osobiście) jest Regshot.

Pobrać można go bezpośrednio ze strony projektu lub w wersji portable.

Aplikacja jest niezmiernie prosta, tak samo jak sam sposób na wychwycenie zmian. Regshot wykonuje dla nas dwa skany rejestru oraz plików w żądanym katalogu, jeden przed wprowadzeniem zmian, a drugi po. Następnie porównuje obydwa wyniki i przedstawia listę różniących się elementów. W ten sposób zauważyć możemy, które klucze rejestru odpowiadają za konfigurację testowanych zmian. Pamiętajcie jednak, że rejestr i pliki nieustannie się zmieniają, więc wyniku nie dostaniemy na talerz, trzeba będzie wykazać się intuicją i znaleźć interesujące nas linie. Aby nieco zawęzić grono poszukiwanych należy wyłączyć wszelkie działające aplikacje, im mniej ich będzie uruchomionych podczas pozyskiwania skanów tym bardziej precyzyjne dane dostaniemy.

Przejdźmy zatem do czynów i zobaczmy jak to działa w konkretnym przypadku. Przypuśćmy, że chcemy dowiedzieć się które klucze rejestru odpowiadają za wyświetlanie ikon systemowych na pulpicie, aby potem zaaplikować je wszystkim użytkownikom w firmie.

Zamykamy wszystkie zbędne aplikacje. W tym przypadku skanowanie plików nie jest nam potrzebne więc możemy je wyłączyć, aby przyspieszyć cały proces. Wykonujemy pierwszy skan.

Następnie wprowadzamy zmiany i bezzwłocznie wykonujemy następny. Im dłużej będziemy zwlekać tym więcej innych zmian może zostać wyprowadzonych w tym czasie do rejestru co zaciemni nam późniejsze wyniki.

Mamy dwa wyniki skanowania rejestru, teraz wystarczy je porównać, co czynimy przyciskiem „Compare”. Jako wynik otrzymujemy plik z mnóstwem linii, które uległy zmianie. Aby znaleźć to, czego szukamy, czyli kluczy odpowiadających za wyświetlanie ikon na pulpicie, musimy skorzystać z intuicji, bo nie zawsze wynik będzie jednoznaczny. W naszym przypadku nie było to jednak takie trudne.

HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000000
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}: 0x00000000
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000000
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D}: 0x00000000
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}: 0x00000000
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000001
HKU\\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{59031a47-3f72-44a7-89c5-5595fe6b30ee}: 0x00000000

Jak pewnie zauważyliście powyższe klucze są zdublowane, lecz zmienia się ich wartość. Tak właśnie zmiany przedstawia Regshot.

Pierwsza linia to wartość początkowa (z pierwszego skanowania), druga to wartość klucza po wprowadzeniu zmian (drugie skanowanie). Z taką wiedzą z powodzeniem możemy kontrolować widoczność ikon systemowych używając rejestru, a co za tym idzie zaimplementować na komputerach w domenie za pomocą GPO lub importować w rejestrze pojedynczych maszyn za pomocą plików. Pamiętajcie, że zmiany wykonały się na profilu osoby zalogowanej w czasie używania programu, jeżeli mają być widoczne dla wszystkich powinny być wykonane na gałęzi HKLM.