Мониторинг/перехват файловых/реестровых изменений

@testuser2 · Регистрация: 08.02.2017

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Как можно осуществить такое, как работают такие проги, как ProcessMonitor, ProcessActivityView?
Главным образом хотелось бы отслеживать все изменения вносимые установщиками софта в реестре и ФС. Поскольку установщики могут запускать дочерние процессы еще нужно хукать запуск дочерних процессов и отслеживать их тоже.
Это нужно для задумки - сделать маскировщик/фризер установленных программ под неустановленные. Пожалуйста не надо рекомендовать виртуалки.

Добавлено через 1 час 48 минут
Пожалуй с перехватом реестра вопрос решен, вот пример со страници RegFromApp
RegFromApp.exe /RunProcess "f:\temp\myprocess.exe" /AutoSave "f:\temp\reg_modified.reg" "f:\temp\reg_original.reg"
Для ProcessActivityView Нир Софер не добавил возможность сохранения лога.
Да, из описания работы, понятно, что все это не так просто, ProcessActivityView внедряет dll в чужой процесс и коммуцирует с этой Dll, я как бы думал, что это достигается с помощью доступных инструментов. Кстати есть (платная) библиотека madCodeHook у которой "есть драйвер для внедрения библиотек на общесистемном уровне (во все существующие и новые процессы)"

@Morgot · 27.10.2025, 14:41

testuser2, обычно , для таких целей пишут драйвер-минифильтр. Как отправную точку, советую книгу "Работа с ядром Windows" Йосифович Павел, по сути единственная книга по ring0 , которая не про ХР (как у 99% авторов).

Если же без ядра (т.к. драйвер требует EV сертификат), то нужно колхозить, с инжектом длл в процесс и перехватом соответствующих winapi функций. Штатных механизмов в ring3 не существует.

Добавлено через 27 секунд
Да, есть что-то ETW (event tracing for windows), но я эту тему не копал, не подскажу ничего.

@testuser2 · 27.10.2025, 14:58 **[ТС]**

Morgot, я уже догадался, что тема пахнет какими-то хакерскими штучками, связываться с которыми я не готов, да и нет желания. Я уже придумал другое - мониторить установку программы с помощью RegOrganizer (он мне больше всего пригянулся для этих целей), дальше парсить его логи..

@Morgot · 27.10.2025, 15:32

testuser2, я бы советовал тогда уж брать "api monitor" (rohitab), там можно ставить хуки на отдельные апи и смотреть экспорт в xml.
Ну и для реестра была какая-то прога, что делала "снимки" до и после, и сравнивала разницу, regshot или как-то так. Для FS понятно такого нет.

@Замабувараев · 25.11.2025, 17:34

Смотрите как это делает программа Process Hacker, её исходный код открыт.

@MallSerg · 25.11.2025, 20:29

Мониторить можно утилитой sysmon
https://learn.microsoft.com/ru... ads/sysmon

А перехватывать можно подменяя таблицы импорта системных функций у процесса.
Почти всегда приложения используют раннее связывание для системных длл
Плохо что адреса функций у процесса появляются не сразу а только после того как запускаемый процесс пожует своими методами kernel32 заменяя имена экспортируемых функций на реальные указатели. После этого их легко заменить на указатели на свои перехватывающие функции с точно такой же сигнатурой вызова далее или вызывать реальные функции с подменой параметров или возвращаемого результата.

Вроде ИИ неплохо в этом разбираются гораздо лучше чем со всякими прочими вопросами.

@testuser2 · 26.11.2025, 02:15 **[ТС]**

Сообщение от MallSerg

Мониторить можно утилитой sysmon

Это интересно, это чтоб не самому, там чего-то, а взять готовый инструмент..

Сообщение от MallSerg

А перехватывать можно подменяя таблицы импорта

Сообщение от Замабувараев

Process Hacker, её исходный код открыт.

Это я не хочу, не лежит душа как бы вот в это во все лезти.

volodin661 · 26.11.2025, 12:45

Очень Богатый Мониторинг Событий на базе SYSMON 15 ( от Марка нашего Русиновича )

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@testuser2 1379 / 834 / 89 Регистрация: 08.02.2017 Сообщений: 3,478 Записей в блоге: 1

	Мониторинг/перехват файловых/реестровых изменений 11.10.2025, 12:00. Показов 1275. Ответов 7 Метки нет (Все метки) Здравствуйте! Как можно осуществить такое, как работают такие проги, как ProcessMonitor, ProcessActivityView? Главным образом хотелось бы отслеживать все изменения вносимые установщиками софта в реестре и ФС. Поскольку установщики могут запускать дочерние процессы еще нужно хукать запуск дочерних процессов и отслеживать их тоже. Это нужно для задумки - сделать маскировщик/фризер установленных программ под неустановленные. Пожалуйста не надо рекомендовать виртуалки. Добавлено через 1 час 48 минут Пожалуй с перехватом реестра вопрос решен, вот пример со страници RegFromApp `RegFromApp.exe /RunProcess "f:\temp\myprocess.exe" /AutoSave "f:\temp\reg_modified.reg" "f:\temp\reg_original.reg"` Для ProcessActivityView Нир Софер не добавил возможность сохранения лога. Да, из описания работы, понятно, что все это не так просто, ProcessActivityView внедряет dll в чужой процесс и коммуцирует с этой Dll, я как бы думал, что это достигается с помощью доступных инструментов. Кстати есть (платная) библиотека madCodeHook у которой "есть драйвер для внедрения библиотек на общесистемном уровне (во все существующие и новые процессы)" 0

@Morgot 335 / 128 / 18 Регистрация: 26.12.2010 Сообщений: 500
	27.10.2025, 14:41
	testuser2, обычно , для таких целей пишут драйвер-минифильтр. Как отправную точку, советую книгу "Работа с ядром Windows" Йосифович Павел, по сути единственная книга по ring0 , которая не про ХР (как у 99% авторов). Если же без ядра (т.к. драйвер требует EV сертификат), то нужно колхозить, с инжектом длл в процесс и перехватом соответствующих winapi функций. Штатных механизмов в ring3 не существует. Добавлено через 27 секунд Да, есть что-то ETW (event tracing for windows), но я эту тему не копал, не подскажу ничего. 0

@testuser2 1379 / 834 / 89 Регистрация: 08.02.2017 Сообщений: 3,478 Записей в блоге: 1
	27.10.2025, 14:58 [ТС]
	Morgot, я уже догадался, что тема пахнет какими-то хакерскими штучками, связываться с которыми я не готов, да и нет желания. Я уже придумал другое - мониторить установку программы с помощью RegOrganizer (он мне больше всего пригянулся для этих целей), дальше парсить его логи.. 0

@Morgot 335 / 128 / 18 Регистрация: 26.12.2010 Сообщений: 500
	27.10.2025, 15:32
	testuser2, я бы советовал тогда уж брать "api monitor" (rohitab), там можно ставить хуки на отдельные апи и смотреть экспорт в xml. Ну и для реестра была какая-то прога, что делала "снимки" до и после, и сравнивала разницу, regshot или как-то так. Для FS понятно такого нет. 0

@Замабувараев COM‐пропагандист 936 / 785 / 149 Регистрация: 18.12.2014 Сообщений: 2,255 Записей в блоге: 4
	25.11.2025, 17:34
	Смотрите как это делает программа Process Hacker, её исходный код открыт. 0

@MallSerg 91 / 58 / 14 Регистрация: 16.11.2018 Сообщений: 267
	25.11.2025, 20:29
	Мониторить можно утилитой sysmon https://learn.microsoft.com/ru... ads/sysmon А перехватывать можно подменяя таблицы импорта системных функций у процесса. Почти всегда приложения используют раннее связывание для системных длл Плохо что адреса функций у процесса появляются не сразу а только после того как запускаемый процесс пожует своими методами kernel32 заменяя имена экспортируемых функций на реальные указатели. После этого их легко заменить на указатели на свои перехватывающие функции с точно такой же сигнатурой вызова далее или вызывать реальные функции с подменой параметров или возвращаемого результата. Вроде ИИ неплохо в этом разбираются гораздо лучше чем со всякими прочими вопросами. 1

volodin661 6625 / 2256 / 346 Регистрация: 10.12.2013 Сообщений: 7,805
	26.11.2025, 12:45
	Очень Богатый Мониторинг Событий на базе SYSMON 15 ( от Марка нашего Русиновича ) 1