Есть ли приложение для отслеживания измененного значения ключа реестра после изменения настроек в приложении?
Монитор процесса позволит вам отслеживать активность реестра в реальном времени.
Я использую regshot (бесплатное ПО), он позволяет создавать снимки до и после изменения (например, установки). После этого вы можете сравнить снимки и найти все изменения.
Process Monitor также позволяет устанавливать множество фильтров - так что вы можете, например, фильтровать по процессам и видеть только эффекты от процесса Symantec, который вы упомянули.
А если вы не уверены, какой процесс отслеживать, Process Explorer (еще один инструмент SysInternals) позволяет перетащить «мишень» над приложением, чтобы идентифицировать процесс в окне Process Explorer.
Microsoft Анализатор поверхности атаки - это бесплатный (на данный момент бета-версия) инструмент, который делает снимки и сравнивает не только ключи реестра, но и множество другой важной информации, такой как службы, списки контроля доступа, открытые / прослушивающие порты и т. д., и сообщает о любых различиях между снимками.
Обратной стороной является то, что он совместим только с Win7 / 2008.
если при экспорте реестра до изменения и сравнении с DIFF после того, как изменение не было найдено, возможно, что вносимое вами изменение не сохраняется в реестре, где Прокмон входит. Отслеживайте активность процесса, вносящего изменения, и вы увидите активность файла или реестра, которая происходит при сохранении изменения настроек. Symantec Antivirus использует HKEY_LOCAL_MACHINE \ SOFTWARE \ Intel \ LANDesk \ VirusProtect6 \ CurrentVersion \ для хранения многих своих настроек, если это помогает