Regsnap是一個注冊表分析工具,別看其瘦小,只有264KB,其功能可謂強大。Regsnap可以對系統注冊表文件以及Windows目錄、System目錄下的文件照一張快照,這個快照以.reg為擴展名的文件保存在Regsnap所在的目錄下,你可以在安裝或卸載軟件前後各生成一個快照,由Regsnap的compare(比較)功能,看該軟件對注冊表等關鍵文件的所有改動,包括鍵的修改、刪除和增加,這些變化就可以清楚地展現在你的眼前。
Regsnap生成的快照文件.reg可以用文字處理軟件閱讀,也可以用“Windows資源管理器”打開它。
1、啟動Regsnap
運行Regsnap後,程序自動進入“開始向導視窗,如圖:
向導內主要有兩個命令:建立一個新的快照(New Snap)和對比快照(Compare)。
2、兩個主要命令的使用
• New Snap(建立新快照)
建立新快照最簡單的方法是在向導裡請單擊“New Snap”按鈕,除此之外,你也可以選擇“File”菜單下的“New”命令。使用時首先要選擇建立快照的模式,如圖:
這裡有三種模式,其含義為:
Snap All:在選擇該項後,Regsnap將對Windows目錄和Windows System目錄下的文件的INI文件(主要是win.ini和system.ini)和注冊表文件建立一個快照。通常情況我們選擇此項(雖然生成的快照文件較大),目的是為了防范於未然,減少修改注冊表的風險!
Registry Only:選擇該選項是僅對系統注冊表建立快照;優點是建立快照文件的速度快,只能監測到軟件對系統注冊表的修改,而對其他文件的修改毫無辦法。
Registry From Remote PC:選擇該選項,可以對遠程PC機的注冊表建立快照文件,僅僅對網絡中的計算機有用。
選擇“Snap All”,按“OK”按鈕後,彈出創建進程對話框,如圖:
然後彈出一個詳細的列表對話框,該對話框給出了快照所包含的鍵值數據個數及其他注冊表信息,如圖:
單擊“確定”按鈕後,將出現一些快照保存的信息,如圖:
快照建立好後,只能代表你當時注冊表內的情況;當你在軟件的安裝或卸載後如果再做一個快照。那麼就要進行下一步:比較兩個快照文件。
• Compare snapshot(比較快照)
比較兩個注冊表快照的異同,你可以選擇“File”菜單中的“Compare”(比較)的命令,或者直接在工具欄上單擊
按鈕,彈出比較對話框,如圖:
在“First Snapshot”中選擇你建立的第一個注冊表快照文件名,您可以用“Browser”(浏覽)命令選擇文件。在“Second snapshot”中選擇你建立的第二個注冊表快照文件名(注意該功能不能比較同一個文件)。在快照文件選擇完後,就可以選擇輸出的報告文件了,在輸出文件時有如下兩個選項:
Show modifIEd key name only(僅僅顯示修改的鍵的名字):在選擇該選項後,只能在輸出的報告中看到修改的鍵名,具體如何修改和修改成什麼鍵值就看不到了,並且報告較小,如果想詳細了解軟件對注冊表的修改,就要用第二個選項。
Show modified key name and key values(顯示修改的鍵的名字和鍵值):以上選項選擇結束後,就可以選擇輸出報告的名字,如果不選擇的話,直接用系統默認的好了。單擊“OK”按鈕,則可以輸出報告了。該報告是文本文件,Regsnap直接調用記事本打開這個報告,你就可以詳細地看看軟件安裝或卸載前後對注冊表和Windows系統的修改,在“Output file”選項中可以選擇是用文本文件或進行是用HTML文件來查看,選擇用文本查看“Plain text”選項後單擊“OK”按鈕。
接著出現比較的工作進度顯示,如圖:
比較完後,程序自動將生成的結果文件打開,如圖:
由此可見,Regsnap是Windows注冊表的照相機,充分的利用這個照相機,可以隨時視軟件對注冊表的修改,為我們提供確切的報告,不至於注冊表出了錯誤還不知道發生在什麼地方。在Regsnap生成的報告中,我們可以清楚地看到安裝或卸載的軟件對Windows注冊表的修改和Windows目錄下增加或刪除的文件。