Użytkownik "soonic" napisał w news:f7dcmr$2c4$1@news.onet.pl...
>> No to jaki problem założyć filtr na aplikację setup.exe?
> Problem zaden, ale to nie w tym rzecz. Filtr mozna nalozyc na dana
> aplikacje i pokazuje wszystkie zmiany rejestru zwiazane z aplikacja, ale
> niekoniecznie z "rozkazu" aplikacji.
1. Zamiast filtrować tylko aplikację, można nałożyć filtr eliminujący te
zdarzenia, które na pewno nie są związane z instalacją.
2. Na czas instalacji powyłączać (w tym w systray) wszystko, co
niepotrzebne.
3. Można dodatkowo ubić nadmiary menedżerem zadań.
Potestowałem sobie właśnie na przykładzie instalacji Opery.
Jako, że na Viście, więc mam do dyspozycji 'procmon', ten daje jeszcze
więcej,
więc na starcie wyłączam wszystko poza rejestrem. I jest +/- jak regmon.
Najpierw filtry, tylko na zapis (category write include),
wykluczam 'command line kończy się na explorer.exe'
Patrzę co się dzieje przy drbnych ruchach, w miarę spokój.
No to uruchamiam intalatora, dopiero po zatwierdzeniu uprawnień czyszczę
ekran
i zeruję log.
Po zakończeniu zapamiętuję log (jako csv) i do excela.
Jest zaledwie 527 wpisów. Część informacje instalatora o sukcesach kolejnych
kroków, to można usunąć. Usunąć duplikaty. Dalej mi się nie chce.
> Regmon pokazuje wszystko nawet zmiany oczywiste jak np. ladowanie okienka,
> wybor czcionek itp. 3/4 z tego laduje sie przy kazdej innej aplikacji,
> wiec dla mnie to robi sie duzy balagan i nie wiem co jest istotne dla
> danej aplikacji, a co nie. Przetestuj sobie na kilku aplikacjach to
> zobaczysz ze wiele zmian jest takich samych zwiazanych z systemem mimo
> roznych aplikacji. Tego jest tyle, ze trudno powiedziec co jest co. Ja
> chce wiedziec, ze ten klucz jest utworzony konkretnie przez aplikacje
> ktora teraz instaluje. Niestety Regmon nie pokazuje tego w sposob
> klarowny. Chyba tylko producent wie co jest jego, a co systemowe, ktore
> domyslnie program wywoluje.
Ale sam widzisz ile tych zdarzeń następuje, i że nie starczy wyfiltrować
aplikację (setup) albo/i instalera (MSI), a z pozostałych wyfiltrować
trudno.
Wniosek, że i ten domniemany program miałby ciężko.
I albo zrobi (czego nie chcesz) porównanie zawartości przed i po instalacji,
albo nazbiera całą masę wpisów, których nie będzie umiał odfiltrować.
Jednak co człowiek to człowiek, weźmie zapisze log z regmona (jako csv)
wrzuci do excela obejrzy, posortuje wytnie i ma.
A jak się wpomoże procesmonitorem, to i wykombinuje czy dany proces był
wywołany przez instalatora lub związane z nim procesy.
BTW przeciętny instalator sam loguje dokonane zmiany dla potrzeb
odinstalowania, tylko poszukać.
Jeśli natomiast nie loguje, bo chce ukryć (np. informację o czasie
instalacji, żeby nie było łatwo oszukać wersji czasowych), to tak ukrywa,
żeby było go ciężko wysledzić. Wtedy tym bardziej tylko człowiek (z
narzędziami takimi jak process/reg/file monitor), a nie automaty.
-- Pozdrawiam, Sławomir Stępniak, slaw1step@poczta1.1onet.pl (bez cyfr)Received on Sun Jul 15 18:30:06 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 15 Jul 2007 - 18:42:02 MET DST