Skip to main content

Diese Seite ist auf Dauer umgezogen, oder der von Ihnen gesuchte Inhalt existiert nicht mehr. Ihr Browser unterstützt keine automatische Weiterleitung oder ist so konfiguriert, dass automatische Weiterleitungen nicht ausgeführt werden.

http://msdn.microsoft.com/de-de/sysinternals/bb896645.aspx.

Utilitys

 
Weitere Ressourcen (engl.)

 

RegMon for Windows 7.04

Von Mark Russinovich und Bryce Cogswell

Veröffentlicht: 01. Nov 2006

Einführung

Hinweis: Filemon und Regmon wurden in Windows ab Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 bzw. Windows Vista durch Process Monitor ersetzt. Zur Unterstützung älterer Betriebssysteme wie Windows 9x werden Filemon und Regmon weiter beibehalten.

Regmon ist ein Dienstprogramm, das die Registrierung überwacht und Ihnen zeigt, welche Anwendungen auf Ihre Registrierung zugreifen, auf welche Schlüssel sie zugreifen sowie die Registrierungsdaten, die sie lesen und schreiben – komplett in Echtzeit. Dieses fortschrittliche Dienstprogramm geht noch einen Schritt weiter als das, was statische Registrierungstools bieten, sodass Sie genau sehen und verstehen können, welche Programme die Registrierung verwenden. Mit statischen Tools können Sie eventuell sehen, welche Registrierungswerte und -schlüssel geändert wurden. Mit Regmon sehen Sie, wie sich die Werte und Schlüssel geändert haben.

Regmon ist unter Windows NT/2000/XP/2003, Windows 95/98/Me und Windows 64-Bit für x64 funktionsfähig.

Screenshot von Regmon

Zum SeitenanfangZum Seitenanfang

Installation und Verwendung

Bei Fragen oder Problemen bezüglich der Verwendung von Regmon besuchen Sie das Sysinternals PsTools Forum.

Installieren Sie Regmon durch Kopieren der Dateien auf Ihre Festplatte, und starten Sie es durch Ausführen von Regmon.exe. Menüoptionen und Symbolleistenschaltflächen können verwendet werden, um die Überwachung ein- und auszuschalten, die Ereignisaufzeichnung zu deaktivieren, den Bildlauf der Listenansicht zu steuern und die Inhalte der Listenansicht in einer ASCII-Datei zu speichern.

Im Dialogfeld „Filter“, das über die entsprechende Schaltfläche in der Symbolleiste sowie im Menü „Option“ mit dem Befehl „Filter/Highlight“ geöffnet werden kann, geben Sie die Daten an, die in der Listenansicht angezeigt werden sollen. Mit dem Platzhalterzeichen „*“ werden beliebige Zeichenfolgen berücksichtigt, und bei den Filtern wird nicht zwischen Groß- und Kleinschreibung unterschieden. Es werden nur solche Übereinstimmungen aufgeführt, die mit dem Einschlussfilter gefunden und nicht durch den Ausschlussfilter ausgeschlossen werden. Trennen Sie mehrere Zeichenfolgen in einem Filter durch Semikolons (;), z. B. „regmon;software“.

Wenn zum Beispiel der Einschlussfilter „HKLM“ lautet und der Ausschlussfilter „HKLM\Software“, werden alle Verweise zu Schlüsseln und Werten unter HKLM überwacht, außer jene unter HKLM\Software.

Mithilfe von Platzhaltern können Sie auch eine komplexere Mustersuche durchführen, mit der Sie beispielsweise bestimmte Zugriffe auf die Registrierung durch bestimmte Anwendungen ermitteln. Der Einschlussfilter „Winword*Windows“ ließe Regmon nur Zugriffe auf Schlüssel und Werte durch Microsoft Word anzeigen, die das Wort „Windows“ enthalten.

Mit dem Markierungsfilter legen Sie die Ausgabe fest, die in der Listenansicht hervorgehoben werden soll. Wählen Sie die Hervorhebungsfarben mit dem Befehl „Options“ | „Highlight Colors“ aus.

Regmon kann Ereignisse entweder zeitlich markieren oder die Zeit anzeigen, die vergangen ist, seit Sie das letzte Mal das Ausgabefenster aktualisiert haben (oder seit Sie Regmon gestartet haben). Über das Menü „Options“ und die Uhrschaltfläche in der Symbolleiste wechseln Sie zwischen diesen beiden Modi. Die Schaltfläche in der Symbolleiste enthält eine Uhr oder eine Stoppuhr, je nach dem gerade ausgewählten Modus. Wenn die Ereignisdauer in der Ausgabe im Feld „Time“ dargestellt werden soll, wird hier der Zeitraum in Sekunden aufgeführt, den die Ausführung bestimmter Anforderungen im zugrunde liegenden Dateisystem in Anspruch genommen hat.

Wenn Sie im Ausgabefenster von Regmon einen Registrierungswert oder -schlüssel sehen, den Sie bearbeiten möchten, doppelklicken Sie einfach auf die Zeile, die den Verweis enthält (oder verwenden Sie die Regedit-Schaltfläche auf der Symbolleiste), und Regmon wird Sie mithilfe von Regedit direkt zu dem entsprechenden Wert führen.

Klicken Sie hier, um etwas über Regmons Startüberwachungsfunktionen zu erfahren, die unter Windows NT zur Verfügung stehen.

Zum SeitenanfangZum Seitenanfang

Funktionsweise von Regmon

Das Herzstück von Regmon unter Windows 9x befindet sich im virtuellen Gerätetreiber Regvxd.vxd. Er wird dynamisch geladen, und bei seiner Initialisierung verwendet er die VxD-Diensteinbindung, um sich in die Aufruffolge der 16 Registrierungszugriffsfunktionen im Windows 95-Kernel (Virtual Machine Manager) einzugliedern. (Nähere Informationen finden Sie im Artikel über VxD-Diensteinbindung in der Maiausgabe von 1996 des Dr. Dobb's Journal.) Die gesamte Registrierungsaktivität, ob von 16-Bit-Programmen, Win32-Anwendungen oder Gerätetreibern, wird gemäß diesen Abläufen gesteuert, sodass Regmon alle Registrierungsaktivitäten erfasst, die auf einem Rechner erfolgen.

Unter Windows NT, 2000 und XP lädt Regmon einen Gerätetreiber, der ein Verfahren verwendet, mit dem wir bei NT eine Vorreiterrolle übernommen haben, nämlich die Dienstaufrufeinbindung. Wenn eine Benutzermoduskomponente einen berechtigten Systemaufruf durchführt, wird die Steuerung auf einen Softwareinterrupthandler unter NTOSKRNL.EXE (dem Kern des Windows NT-Betriebssystems) übertragen. Dieser Handler nimmt eine Systemaufrufzahl, die in ein Computerregister geleitet wird, und erstellt einen Index in einer Systemdiensttabelle, um die Adresse der NT-Funktion zu finden, die die Anforderung bearbeiten wird. Durch das Ersetzen von Einträgen in dieser Tabelle durch Hinweise auf Einbindungsfunktionen wird es möglich, NT-Systemdienste zu unterbrechen, zu ersetzen, zu erweitern oder zu überwachen. Regmon, das offensichtlich nur die registrierungsbezogenen Dienste einbindet, ist lediglich ein Beispiel für die Verwendung dieser Funktion.

Unter Windows .NET Server nutzt Regmon den Registrierungrückrufmechanismus eines neuen Betriebssystems, um nach entsprechender Registrierung Informationen über die Registrierungszugriffe in Echtzeit zu erhalten. Wenn Sie Regmon unter .NET Server ausführen, lädt es eine Version des Regmon-Treibers auf Ihre Festplatte, der die Rückrufe nutzt.

Wenn Regmon einen Aufruf zum Öffnen, Erstellen oder Schließen erkennt, aktualisiert es eine interne Hashtabelle, die als Zuordnung zwischen Schlüsselhandles und Registrierungspfadnamen fungiert. Wenn es Aufrufe erkennt, die auf dem Handle basieren, schlägt es das Handle in der Hashtabelle nach, um den kompletten Namen für die Anzeige zu erhalten. Wenn ein auf dem Handle basierender Zugriff auf einen Schlüssel verweist, der vor dem Start von Regmon geöffnet wurde, kann Regmon die Zuordnung in der Hashtabelle nicht finden und wird stattdessen einfach den Wert des Schlüssels anzeigen.

Informationen zu Zugriffen sind in einem ASCII-Puffer hinterlegt, der regelmäßig zur grafischen Benutzeroberfläche kopiert wird, damit diese in seinem Listenfeld ausgedruckt werden.

Ausführliche Informationen zur Funktionsweise von Regmon unter Windows NT finden Sie hier:

  • „Windows NT System Call Hooking“ von Mark Russinovich und Bryce Cogswell, Dr. Dobb's Journal, Januar 1997
  • „Inside NT Utilities“, Windows NT Magazine, Februar 1999.


Zum SeitenanfangZum Seitenanfang

Verwandte Dienstprogramme

Sysinternals umfasst die folgenden weiteren Überwachungstools:

  • FileMon – Programm zur Überwachung des Dateizugriffs
  • PortMon – Programm zur Überwachung der seriellen und parallelen Anschlüsse
  • Process Monitor – Programm zur Überwachung von Prozessen und Threads
  • DiskMon – Programm zur Überwachung der Festplatten
  • DebugView – Programm zur Überwachung der Debugausgabe


Zum SeitenanfangZum Seitenanfang

Knowledge Base­Artikel zu Microsoft Regmon

Die nachstehenden Microsoft Knowledge Base-Artikel befassen sich mit der Diagnose oder Behebung verschiedener Probleme mithilfe von Regmon:


PSToolsRegmon herunterladen (271 KB)



Zum SeitenanfangZum Seitenanfang

Regmon herunterladen (271 KB)
Regmon herunterladen (271 KB)

Verwandte Dienstprogramme

Sysinternals umfasst die folgenden weiteren Überwachungstools:

  • FileMon – Programm zur Überwachung des Dateizugriffs
  • PortMon – Programm zur Überwachung der seriellen und parallelen Anschlüsse
  • Process Monitor – Programm zur Überwachung von Prozessen und Threads
  • DiskMon – Programm zur Überwachung der Festplatten
  • DebugView – Programm zur Überwachung der Debugausgabe
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?