RegFromApp — утилита для отслеживания изменений в реестре Windows

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

Настройка программы

Утилита не требует установки, ведь в архиве находится один лишь Рекомендуется создать отдельную папку для программы, скачать русификатор и закинуть эти два файла в нее. После запуска перед вами будет открываться меню конфигурации (если завершить работу с программой и открыть ее вновь, то меню снова появится перед вами).Здесь вам необходимо выбрать диск, папки или целый раздел жесткого диска, который необходимо анализировать. При выборе папки оставляйте отмеченным пункт «Сканировать также подкаталоги». Вы также имеете возможность указать папки, мониторить которые нет необходимости: нужно указать путь к папке и поставить галочку напротив «Exclute the following folders».Ну и в заключение из полезных настроек вы можете установить размер файлов, за которыми необходимо следить. После выбора этих основных настроек просто нажимайте «Ок» и процесс мониторинга за выбранными папками начнется.

Настройка программы

Если вы не единственный пользователь вашего компьютера и вам необходимо выяснить, какие изменения произошли с вашими файлами и папками за определенный период времени, вы можете воспользоваться специальными программами которые помогут вам отследить изменение файлов и получить точную информацию о всех изменениях файловой системы Windows.

Настройка программы

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

Читайте также:  Способы новые или куда же без PowerShell

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

Отслеживание изменений

База данных  —  это отлично, но как мы определяем, когда нужно делать pull? В конце концов, это самая важная часть инструмента, который претендует на “работу в реальном времени”. Вот где проявляется магия веб-хуков и подписок Hasura! У нас в Gistart уже создана довольно надежная и масштабируемая инфраструктура веб-хуков. Вкратце ее можно резюмировать так:

  • Все веб-хуки со сторонних сервисов, таких как Github или Jira, хранятся в нашей базе данных.
  • Впоследствии эти веб-хуки обрабатываются и соответствующие таблицы обновляются соответствующим образом.
  • Если обработка любой полезной нагрузки веб-хука не удается, мы ждем 5 минут, прежде чем повторить попытку.

Для наших целей нужно сосредоточиться только на одном типе событий Github: push. Это событие происходит всякий раз, когда один или несколько коммитов помещаются в ветку или тэг репозитория.

Это вебхук-событие мы объединяем с щепоткой магии подписок и получаем такую последовательность событий для обнаружения изменений:

  • Коммиты передаются в наше хранилище исходного кода fromRepo.
  • Веб-хук push регистрируется в базе данных и обрабатывается.
  • Это изменяет головной коммит SHA-1 исходной ветви в нашей базе данных.
  • Как только база данных обновляется, подписка (см. GraphQL-код ниже) замечает, что ветвь основного репозитория содержит новые коммиты, которые еще не были извлечены, и запускает в соответствии с этим обработчик:

subscription subGitSlicePull { git_repo_slices( where: { _not: { git_repo_sliced_from: { git_branch: { git_commit: { git_commit_slice_by_origin: { id: { _is_null: false } } } } } } } ) { id } }

  • Затем код выполняет pull и репозитории синхронизируются (подробнее об этом в следующем разделе).

Основным триггером события pull служит обновление базы данных. В нашем случае это достигается с помощью веб-хуков благодаря их способности реагировать в реальном времени. Однако того же самого результата можно добиться и через ряд других вариантов.

Читайте также:  Как настроить VPN соединение на Windows

Внимание: следующие шаги предполагают, что база данных актуализирована.

Просмотр последних файлов с помощью Windows Search

Если вы хотите увидеть все недавно измененные файлы в вашей системе, Windows Search – это отличное решение.

Начните с открытия проводника файлов в папке верхнего уровня, из которой хотите выполнить поиск. Например, при выборе папки «Документы» поиск выполняется в этой папке и всех её подпапках. Выбор системного диска приведёт к поиску файла на всём диске. А выбрав «Этот компьютер», Вы выполните поиск на всех ваших дисках.

Проводник файлов имеет удобный способ поиска недавно измененных файлов, встроенный прямо во вкладку «Поиск» на ленте. Перейдите на вкладку «Поиск», нажмите кнопку «Дата изменения» и выберите диапазон. Если вы не видите вкладку «Поиск», нажмите один раз в поле поиска, и она появится.

Обратите внимание, что при выборе этой команды автоматически вводятся условия поиска в поле поиска в окне «Проводник». Вы можете использовать эти условия поиска, если предпочитаете просто вводить поисковые запросы.

В окне «Проводник» введите датаизменения: в поле поиска. Вы также можете ввести датасоздания: или датадоступа: в поле, если хотите выполнить поиск по этим значениям. В тот момент, когда вы вводите двоеточие, появляется всплывающее окно, которое можно использовать для сужения поиска. Выберите конкретную дату в календаре, удерживайте клавишу Ctrl, чтобы выбрать диапазон дат или выберите один из предварительно настроенных диапазонов, перечисленных в календаре.

Вы также можете продолжать вводить свои даты или диапазоны вместо использования всплывающего окна. Вы можете ввести любой из предварительно сконфигурированных диапазонов (сегодня, вчера, на этой неделе и т.д.) Сразу после условия поиска датаизменения:. Пример поиска может выглядеть так:

датаизменения:на прошлой неделе

Вы также можете ввести конкретную дату с использованием официальных форматов даты. Конкретные форматы, которые вы можете использовать, зависят от того, как настроена ваша система. Например, для поиска файлов, измененных 3 января 2019 года, вы можете ввести следующий поиск:

датаизменения:

Чтобы ввести диапазон дат, просто используйте две даты, разделенные двумя точками. Например, для поиска файлов, измененных с 1 по 3 января 2019 года, следует использовать:

датаизменения:

Как отследить изменения файла и папки?

В рамках данной статьи я познакомлю вас с двумя программами. С программой FolderChangesView и с утилитой Disk Pulse. Обе программы являются бесплатным. Программа FolderChangeView полностью бесплатна. Disk Plus имеет бесплатную и платную версию (различий немного)

Читайте также:  Администратор вашей сети принял групповую политику

FolderChangesView: Отслеживание изменения папок и файлов

FolderChangesView — маленькая бесплатная утилита для отслеживания всех изменений происходящих с файлами в определенной папке и разделе жесткого диска.

Как отследить изменения файла и папки?

Утилита в реальном времени сканирует заранее заданную папку или группу папок и отображает подробную информацию о всех изменениях. Весь результат представляется в удобной таблице.

Для начала необходимо скачать программу. Скачать FolderChangesView бесплатно с сайта разработчика вы можете по . Там же можно скачать русификатор, который необходимо разархивировать и бросить в папку с программой.

Настройка FolderChangesView

Программа не требует установки. После запуска программы появится окно настроек.

Отслеживание изменения файлов программой FolderChangesView

В окне настроек необходимо указать папку, несколько папок или раздел жесткого диска, который вам необходимо мониторить. В данном случае я выбрал папку — spysoftnet и отметил галочкой Сканировать также подкаталоги

Как отследить изменения файла и папки?

В второй строке окна настроек вы можете установить папки, которые вы не хотите чтоб программа отслеживала. К примеру, я не хочу чтоб приложение следило за изменениями в папке — tmp. После того как вы установили папку, не забудьте отметить галочкой Exclude the folowing folders .

Также, вы можете установить минимальный и максимальный размер файла. После того как все настройки выбраны нажимаем на OK

Disk Pulse: Программа мониторинга файлов и папок

DiskPulse — еще одна программа мониторинга файлов, папок и жестких дисков, которая может показывать изменения в файловой системе Windows в режиме реального времени.

В программе есть очень интересная, на мой взгляд, возможность отправки уведомлений по электронной почте или выполнения пользовательских команд (действий), в случае обнаружения всевозможных опасных критических изменений в системе.

Если вы оставите все настройки, которые установлены по умолчанию как есть, то будете получать информацию обо всех изменениях всей системы. Но если немного поковыряться в опциях, то сможете уменьшить количество данных. На картинке внизу вы видите как с легкостью с помощью нескольких кликов можно это сделать.

Как отследить изменения файла и папки?

В последней версии добавлена диаграмма, отображающая количество файлов, их типы и другую полезную информацию.

Скачать DiskPulse бесплатно с сайта разработчика вы можете по .

Подведем итоги. Обе программы отлично работаю и справляются с основной функцией мониторинга файлов и папок и достойны внимания. Программа «FolderChangesView » программа мне понравилась больше. Хотя вторая программа более функциональна. Программы бесплатны и не содержат вирусов, поэтому попробуйте обе и решите сами какую использовать.

Видео: Обзор Disk Pulse