RegMon para Windows v7.04

Mark Russinovich y Bryce Cogswell

Introducción

Nota: las aplicaciones Filemon y Regmon se han reemplazado por Process Monitor en las versiones de Windows a partir de Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 y Windows Vista. Filemon y Regmon se mantienen para el soporte técnico de sistemas operativos heredados, incluido Windows 9x.

Regmon es una utilidad de supervisión del Registro que le mostrará qué aplicaciones tienen acceso al Registro, a qué claves tienen acceso y los datos del Registro que leen y escriben, todo en tiempo real. Esta utilidad avanzada va un paso más allá con respecto a las funciones que las herramientas estáticas de Registro pueden hacer, con objeto de permitirle consultar y conocer exactamente cómo usan los programas el Registro. Con las herramientas estáticas, es posible que pueda ver qué claves y qué valores del Registro cambian. Con Regmon, verá cómo han cambiado los valores y las claves.

Regmon funciona en Windows NT/2000/XP/2003, Windows 95/98/Me y Windows de 64 bits para x64.

 Principio de la página

Instalación y uso

Si tiene alguna pregunta o cualquier problema de uso de Regmon, visite el foro de Regmon de Sysinternals.

Instale Regmon copiando los archivos en el disco duro e inicie la aplicación ejecutando Regmon.exe. Los elementos de menú y los botones de barra de herramientas se pueden usar para activar y desactivar la supervisión, deshabilitar la captura de eventos, controlar el desplazamiento de la vista de lista y guardar el contenido de vista de lista en un archivo ASCII.

Use el cuadro de diálogo Filter, al que se tiene acceso con un botón de la barra de herramientas o la selección del menú Option|Filter/Highlight, con el fin de seleccionar qué datos se mostrarán en la vista de lista. El carácter comodín '*' permite buscar cadenas arbitrarias y los filtros no distinguen entre mayúsculas y minúsculas. Sólo se muestran las coincidencias del filtro de inclusión que no estén excluidas mediante el filtro de exclusión. Use ";" para separar varias cadenas en un filtro (por ejemplo, "regmon;software").

Por ejemplo, si el filtro de inclusión es "HKLM" y el de exclusión es "HKLM\Software", se supervisarán todas las referencias a claves y valores de HKLM, menos las de HKLM\Software.

Los caracteres comodín permiten la coincidencia de patrón complejo, que permite hacer coincidir los accesos específicos del Registro mediante determinadas aplicaciones, por ejemplo. El filtro de inclusión "Winword*Windows" hará que Regmon sólo muestre accesos de Microsoft Word a claves y valores que incluyan la palabra "Windows".

Use la opción para especificar el resultado de filtro de resaltado que desee resaltar en la ventana de resultados de la vista de lista. Seleccione colores de resaltado con Options|Highlight Colors.

Regmon puede marcar la hora de eventos o mostrar el tiempo transcurrido desde la última vez que borró la ventana de resultados (o desde que se inició Regmon). El menú Options y el botón de reloj de la barra de herramientas le permiten alternar entre los dos modos. El botón en la barra de herramientas muestra el modo actual con un reloj o un cronómetro. Al mostrar la duración, el campo Time de la ventana de resultados muestra el número de segundos que tarda el sistema de archivos subyacente en atender solicitudes concretas.

Cuando vea un valor o una clave del Registro en los resultados de Regmon que desee editar, sólo tiene que hacer doble clic en la línea que incluye la referencia (o usar el botón de la barra de herramientas de Regedit) y Regmon le llevará directamente al valor específico con Regedit.

Haga clic aquí para obtener información sobre la capacidad de supervisión de inicio de Regmon, que está disponible en Windows NT.

 Principio de la página

Funcionamiento de Regmon

El corazón de Regmon en Windows 9x está en el controlador de dispositivo virtual, Regvxd.vxd. Se carga dinámicamente y, en su inicialización, usa el enlace de servicio VxD (consulte nuestro artículo de mayo de 1996 de Dr. Dobb's Journal sobre el enlace de servicio VxD para obtener más información) con el fin de insertarse en la cadena de llamada de 16 funciones de acceso de Registro en el kernel de Windows 95 (Virtual Machine Manager). Toda la actividad de Registro, ya sea de programas de 16 bits, aplicaciones Win32 o controladores de dispositivo, se dirige en estas rutinas, de modo que Regmon capta toda la actividad de Registro que tiene lugar en la máquina.

En Windows NT, 2000 y XP, Regmon carga un controlador de dispositivo que usa una técnica pionera de NT, el enlace de llamada de sistema. Cuando un componente de modo de usuario hace una llamada de sistema con privilegios, el control se transfiere a un controlador de interrupción de software en NTOSKRNL.EXE (el núcleo del sistema operativo de Windows NT). Este controlador toma un número de llamada de sistema, que se transfiere en un Registro de máquina y se indexa en una tabla de servicios de sistema para buscar la dirección de la función NT que controlará la solicitud. Al reemplazar las entradas de esta tabla con punteros a las funciones de enlace, es posible interceptar y reemplazar, aumentar o supervisar servicios de sistema NT. Regmon, que enlaza obviamente sólo los servicios relacionados con el Registro, no es más que un ejemplo de la puesta en práctica de esta capacidad.

En Windows .NET Server, Regmon se aprovecha de un nuevo mecanismo de devolución de llamada de Registro de sistema operativo para registrar y recibir información acerca de accesos al Registro a medida que ocurren. Al ejecutar Regmon en .NET Server, carga una versión del controlador de Regmon mediante las devoluciones de llamada.

Cuando Regmon ve una llamada de apertura, creación o cierre, actualiza una tabla hash interna que sirve como asignación entre los identificadores de claves y los nombres de rutas de acceso del Registro. Siempre que ve llamadas basadas en identificadores, busca el identificador en la tabla hash para obtener el nombre completo de presentación. Si un acceso de identificador hace referencia a una clave abierta antes del inicio de Regmon, Regmon no podrá encontrar la asignación en su tabla hash y solamente mostrará el valor de la clave.

La información sobre accesos se vuelca en un búfer ASCII que se copia periódicamente en la GUI para que lo imprima en el cuadro de lista.

Para obtener información más detallada sobre el funcionamiento de Regmon en Windows NT, consulte:

• "Enlace de llamadas de sistema Windows NT", Mark Russinovich y Bryce Cogswell, Dr. Dobb's Journal, enero de 1997

• "Análisis de las utilidades de NT", Windows NT Magazine, febrero de 1999.

 Principio de la página

Utilidades relacionadas

Aquí tiene otras herramientas de supervisión disponibles en Sysinternals:

• FileMon: monitor de acceso a archivos

• PortMon: monitor de puertos serie y paralelos

• Process Monitor: monitor de procesos y subprocesos

• DiskMon: monitor de disco duro

• DebugView: monitor de resultados de depuración

 Principio de la página

Información adicional

A continuación se incluyen fuentes adicionales de información sobre los Registros de Windows NT/2000/XP y Windows 9x/Me:

• Inside Windows 2000, 3rd Edition, David Solomon y Mark Russinovich, 2000

• "Examen del Registro de Windows 95", Mark Russinovich y Bryce Cogswell, Windows Developer's Journal, octubre de 1996

• "Dentro del Registro de Windows NT", Mark Russinovich, Windows NT Magazine, abril de 1997

• " Inside the Windows 95 Registry", Ron Petrusha, O'Reilly and Associates, 1996

• " Managing the Windows NT Registry", Paul Robichaux y Robchauxg, O'Reilly and Associates, 1998

• " Windows 98 Registry For Dummies", Glenn Weadock, IDG Press, 1998

• " Using the Windows 98 Registry", Jerry Honeycutt, Que, 1998

 Principio de la página

Artículos de Regmon de Microsoft KB

Los siguientes artículos de Microsoft KB hacen referencia a Regmon para el diagnóstico o la solución de problemas:

• 296205: ACC: Mensaje de error: El componente ActiveX no puede crear el objeto

• 830761: Prácticas recomendadas para implementar aplicaciones de Visual Basic 6.0

• 269251: ERROR: La automatización de Windows Installer se puede bloquear al enumerar productos

• 323639: HOWTO: Crear plantillas administrativas personalizadas en Windows 2000

• 286198: HOWTO: Realizar el seguimiento de errores "Permiso denegado" en archivos DLL

• 309051: HOWTO: Solucionar problemas de ASP en IIS 5.0

• 308940: HOWTO: Solucionar el error 1928: "Error al registrar la aplicación COM+"

• 814774: HOWTO: Solucionar problemas de implementación de sitio en Microsoft Content Management Server 2002

• 198038: INFO: Herramientas útiles para cuestiones de paquete y de implementación

• 327657: OL2002: Cómo crear un complemento COM de Outlook de confianza

• 260513: PRB: Se produce un error cuando instala productos de Visual Studio

• 274038: PRB: Error 8002801d de ASP "Biblioteca no registrada"

• 269383: PRB: Mensaje 'Se ha producido un error al intentar tener acceso al Registro del sistema' al visualizar referencias de VB/VBA

• 296108: PRB: Varios problemas en programas de Visual Studio en sistemas basados en Windows NT

• 310586: La instancia de MSSearch de Exchange no se conecta en ningún clúster y se registran los Id. de evento 3055 y 10006

• 555069: Las 10 configuraciones de seguridad potencialmente problemáticas para Microsoft Windows XP Professional Edition y Microsoft Windows Server 2003.

• 296136: XADM: Mensaje de error: Error 123: El nombre de archivo, directorio o etiqueta del volumen no es válido

Descargar Regmon (271 KB)

 Principio de la página