题 程序到安装期间进行的快照更改?


是否有一个价格合理(免费首选)的工具,可以让我看到在安装过程中对系统(磁盘,注册表等)所做的所有更改?

背景

我想捕获软件安装所做的更改,以便我可以将它们转发给能够列出并授权这些操作的安全团队。

目前,如果安装对用户的文档文件夹进行了更改或添加了注册表项,那么我们就没有好办法选择它。我知道必须有更好的方法。

在此先感谢您提供任何帮助!


5
2018-05-10 19:10






答案:


我没有亲自使用它,但我有一些开发人员保证它。这是一个 也是为了它!

此外,这是一个名为软件的直接链接 ZSoft卸载程序 (免费)。


2
2018-05-10 22:13



也许您想要包含这个神秘程序的名称。 - wfaulk
...也许........ - JohnThePro


有几种方法可以实现这一点。我最喜欢的一个是使用WinInstall LE(一种在其生命周期内易手多次的免费产品)来捕获安装包。许多产品都提供相同的前/后快照方法。它将详细说明正在进行的更改。

您也可以使用几个sysinternals工具来做同样的事情,但它往往会有更多的背景噪音。


2
2018-05-10 19:49



你的链接似乎被打破了。可扩展显然改变了它的产品名称(和价格?),你可以看到它 这里 - Trajan


我一直在用 改变了什么

它小巧,便携,快速,免费。它在扫描之前和之后进行“实际”操作。这应该产生适合您的审计员的报告。


-1
2018-05-10 22:11



WhatChanged如何“快速”?它耗时超过了五小时(我不确定有多少,因为经过五个小时我让它继续运行并进入睡眠状态)快照并比较一个120GB SSD系统和一个2.67GHz CPU。花费最长的是在安装目标软件后实际比较注册表快照。这花了至少四个小时。这是荒谬的,因为在之前和之后倾倒注册表并进行差异应该不到一分钟。 - Dan Dascalescu
更新:我查看了日志。花了 WhatChanged 八小时完成比较“之后”状态和“之前”快照。批量(SIX HOURS)是注册表项的比较。也许这是因为WhatChanged将条目存储在基于行的文件中,而不是SQLite中。就文件而言,WhatChanged再次以逗号分隔的<filename>,<size>(不是校验和!)来存储快照。 到目前为止,我见过的最糟糕的Windows系统快照比较工具,尽管便携性和占地面积小。 - Dan Dascalescu
此外,没有特定于Windows的智能可以排除不相关的更改,例如 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs。 @RobW,你能否修改这个答案?我投了票,但还没有声誉。 - Dan Dascalescu
基线收集还可以;更令人费解的是第二次注册表快照和比较。虽然在绝大多数情况下我 确实通知开发者由于我在评论#2和#3中提到的系统性缺陷,我在这种情况下并没有打扰。顺便说一下,我注意到你还没有真正说过WhatChanged在你的情况下有多快。我的里程是一次安装,创建了4个文件,并且与注册表的大小相比,更改了相对较少的注册表项。 - Dan Dascalescu
Dan的批评虽然讽刺,但如果他说的话准确无误,他们就完全合情合理了。 - bwerks