9 minute read
Een NAS kan veel meer dan alleen gegevens opslaan
Een oogje in het zeil Bestanden monitoren
U installeert of gebruikt een toepassing en u wilt weten welke registersleutels of bestanden dat programma zoal creëert of wijzigt, omdat u het niet helemaal vertrouwt. Of u past een Windows- of programma-instelling aan en wilt onderzoeken waar in het register die wijziging plaatsvindt, zodat u het ook gemakkelijk elders kunt toepassen. Waar vindt u die informatie?
Advertisement
Tekst Toon van Daele
Niet alleen Windows zelf maar ook heel wat achtergrondprocessen en toepassingen creëren of wijzigen voortdurend en ongemerkt allerlei bestanden en ook talloze registersleutels. In dit artikel bespreken we enkele tools waarmee u dergelijke veranderingen kunt monitoren, want die informatie kan best nuttig zijn. Vooral de wat gevorderde gebruiker zal zich hier aangesproken voelen. We beperken ons tot technieken die bruikbaar zijn in Windows 10 Home en gaan dus voorbij aan de krachtige auditfuncties zoals in Windows 10 Pro en hoger zijn ingebouwd. We focussen ons eerst op het Windows- register en bekijken daarna het bestandssysteem.
Naast allerlei systeeminformatie kunt u ook specifieke registersleutelwaarden op uw bureaublad plaatsen.
(zoals HKEY_CURRENT_USER) en bevestig met Momentopname maken. Daarna start u de installatie van de toepassing. Open vervolgens opnieuw RegistryChangesView waar u kiest voor Bestand, RegistryChangesView- opties. Bij de eerste gegevensbron verwijst u naar het zonet opgeslagen snapshotbestand en de tweede stelt u in op Huidige register. Klik op OK om een overzicht van alle verschillen in het overzichtsvenster te zien (afbeelding 1).
Specifi eke sleutels
Tools als RegistryChangesView zijn natuurlijk minder handig als u specifieke registersleutels wilt monitoren. Dan is het gratis, portable BgInfo (www.tiny.cc/bginfo) geschikter. Hier kunt u zelf een of meer registersleutels selecteren waarvan u de sleutelwaarden zichtbaar kunt maken op uw bureaublad. Telkens als u BgInfo (of Windows) herstart, kunt u zien of de betre ende sleutelwaarden zijn aangepast.
Register in beeld
Het Windows-register is een reeks bestanden die samen een hiërarchisch opgebouwde database vormen met daarin talloze configuratie-instellingen van zowel Windows, hardwarecomponenten als toepassingen. U kunt deze database bestuderen door Windows- toets+R in te drukken en regedit in te typen.
Stel, u installeert een toepassing en u wilt graag weten welke registerwijzigingen tijdens deze installatie worden uitgevoerd. Probeer dan de gratis, portable tool RegistryChanges View (www. tiny.cc/regisanders), waarvoor ook een Nederlands taalbestand beschikbaar is. Start de tool op, kies Momentopname van register maken, kies een locatie, beperk de snapshot eventueel tot specifieke registeronderdelen 1
Alle verschillen tussen de snapshot en het huidige register (of tussen twee snapshots) duidelijk in beeld.
Een oogje in het zeil
Pak het archiefbestand uit en start Bginfo.exe of Bginfo64.exe op. Standaard blijkt er heel wat systeeminformatie beschikbaar, zoals Boot Time, DHCP Server en Free Space, maar wij zijn alleen in specifieke registersleutels geïnteresseerd en dus mag u alle items in de blauw groene tab verwijderen. Druk vervolgens op Custom, New en selecteer Registry Value. Bij Path vult u nu het pad naar de beoogde registersleutel in. Dat kan ook als volgt: start Regedit op, navigeer naar de sleutel en kies Bewerken, Sleutelnaam kopiëren. Via Ctrl+V plakt u die vervolgens in het Path-veld, waarna u er de juiste waarde aan toevoegt. Bijvoorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows\Personalization\NoLockScreen. Bevestig met OK, selecteer het zojuist toegevoegde item, druk op Add en op Preview voor het resultaat (afbeelding 2). Druk nogmaals op Preview en op Apply of OK om de configuratie te bewaren.
Filtervoorwaarden
Windows Pro en hoger bevatten een aantal configuratie-opties die niet in Windows Home beschikbaar zijn, of in ieder geval niet te bereiken zijn vanuit de grafische interface. Maar vaak kunt u die opties toch ook in Home instellen door de corresponderende registersleutel(s) te creëren of te wijzigen. De vraag is in dit geval: om welke registersleutel(s) gaat het precies? Dat kan de krachtige en gratis tool Process Monitor u vertellen (www.tiny.cc/procesmonitor).
Pak het archiefbestand uit en start Procmon.exe of Procmon64.exe op. Klik op het vergrootglas-pictogram zodat het automatisch loggen stopt en maak de huidige log leeg met het gummetje. Klik op de knoppenbalk op de vier meest rechtse pictogrammen zodat ze worden uitgeschakeld, maar laat het pictogram Show Registry Activity wel ingeschakeld.
Druk nu op het Filter-icoontje zodat het dialoogvenster Process Monitor Filter verschijnt. Druk op de knop Reset waarna u bij Display entries matching these conditions er met 3
behulp van de uitklapmenu’s voor zorgt dat u het volgende ziet: Category is Write then Include. Voeg deze voorwaarde aan de standaardlijst toe met de knop Add (afbeelding 3) en druk op OK. Open nu het menu Filter en plaats een vinkje bij Drop filtered events, zodat Process Monitor de gefilterde gebeurtenissen niet toont of bewaart.
De (standaard) logs zijn zo omvangrijk dat u in Process Monitor heel gericht moet filteren.
Verder inzoomen
U bent nu bijna klaar om registerwijzigingen te loggen. Laat Process Monitor geopend en ga naar het instellingenvenster met de optie waarvan u wilt onderzoeken in welke registersleutel het wordt bewaard. Wijzig deze optie nog niet, maar versleep eerst het vizier-icoon van Process Monitor naar het instellingenvenster, zodat er een filter wordt toegevoegd die alleen registerwijzingen zal loggen als ze van het proces van dat instellingenvenster afkomstig zijn. Dat merkt u aan de toegevoegde PID-regel (process ID) in het venster van Process Monitor Filter.
Start nu het loggen in Process Monitor door op het vergrootglas te klikken of via de sneltoets Ctrl+E, waarna u de betreffende optie in- of uitschakelt. Meteen erna zet u het loggen weer stop. Als het goed is, duiken er even later een of meerdere registersleutels op in het logpaneel en weet u dus op welke sleutel(s) het in- of uitschakelen van de optie een impact heeft (afbeelding 4).
Reg-bestanden
Met enige handigheid kunt u nu een bestand (op uw bureaublad) creëren waarmee u die sleutelwaarde snel kunt aanpassen, zodat u voortaan niet meer naar dat instellingenvenster hoeft. Rechtsklik op de betreffende sleutel in het logvenster van Proces Monitor en kies Jump To. De Register-editor (Regedit) opent zich en navigeert automatisch naar die sleutel. Met die sleutel geselecteerd
Met de juiste filters kunt u behoor lijk goed inzoomen op de beoogde (register) items.
Exporteer een sleutelwaarde naar een reg-bestand zodat u het met een paar muisklikken kunt instellen.
opent u in Regedit het menu Bestand en kiest u Exporteren. Zorg dat de optie Geselecteerde subsleutels is aangevinkt en vul een geschikte bestandsnaam in met bijvoorbeeld uw bureaublad als opslaglocatie. Bevestig met Opslaan. Op het bureaublad ziet u nu een reg-bestand. Klik hierop met rechts en kies Bewerken zodat de inhoud in Kladblok zichtbaar wordt (afbeelding 5).
Zo’n reg-bestand begint altijd met
Windows Registry Editor Version 5.00, gevolgd door een lege regel en vervolgens het sleutelpad tussen vierkante haken, met daarachter de feitelijke instructie
("<naam>"=[type:] <inhoud>), bijvoorbeeld:
"UseDefaultTile"=dword:00000000. Mocht u langs deze weg een sleutelwaarde willen verwijderen, dan volstaat "<naam>" =-, bijvoorbeeld
"UseDefaultTile" =.
U kunt nu ook twee complementaire reg-bestanden maken: een waarbij de optie wordt ingeschakeld en een waarbij hij wordt uitgeschakeld. Omschakelen is dan niet meer een kwestie van een paar muisklikken: dubbelklik op het gewenste reg- bestand en bevestig met Ja (2x) en OK. Afhankelijk van de sleutel kan het wel zijn dat u zich opnieuw moet aanmelden bij Windows of zelfs Windows moet herstarten voordat de wijziging plaatsvindt.
Bestandsfi ltering
Soms worden niet alleen registersleutels, maar ook bestanden gecreëerd of gewijzigd. Het kan interessant zijn te weten welke bestanden worden benaderd, bijvoorbeeld door een applicatie die u niet echt vertrouwt. Ook dat kan met Process Monitor en wij achterhaalden hiermee bijvoorbeeld de werking van Secret Disk (www.tiny.cc/secdisk). Deze tool creëert een verborgen station dat alleen na het intikken van een wachtwoord zichtbaar wordt.
Wilt u dit onderzoek ook zelf uitvoeren, installeer dan Secret Disk en start de tool op. Vul een Pin (2x) en uw e-mailadres in en bevestig met Sla op. Vul nogmaals uw pincode in en druk op Login. Start vervolgens Process Monitor, schakel tijdelijk de logging uit en reset het filtervenster. Zorg dat deze keer alleen het knopje Show File System Activity is ingeschakeld. In het menu Filter zet u een vinkje bij Drop Filtered Events. Versleep het vizier-icoon naar het programmavenster van het inmiddels opgestarte Secret Disk en schakel de logfunctie van Process Monitor in.
Doorloop nu de procedure in Secret Disk om een ‘geheim’ station te creëren, via Kies een disk letter, Connect en <X>: Open in Verkenner. Eventueel kunt u het vizier-icoon nu ook tot boven het Verkenner-venster verslepen zolang u met uw ‘geheime’
station aan de slag bent. In de logs merkt u dat zowel SecretDisk.exe als explorer.exe veelvuldig het pad C:\ Users\<uw_accountnaam>\Local\<…> benaderen (afbeelding 6). En inderdaad: wanneer u uw pc vervolgens met een live-(Linux)medium opstart en naar deze locatie navigeert, dan vindt u daar zomaar alle verborgen bestanden van uw geheime station. Secret Disk stelt qua beveiliging dus weinig voor.
Process Monitor maakt snel duidelijk dat Secret Disk constant een bepaalde map benadert voor zijn geheimen.
Is er een bestand gecreëerd, gewijzigd of gewist in een netwerkshare? Folder Monitor trekt meteen aan de bel!
Met Folder Monitor houdt u een vinger aan de pols
Map-monitor
Process Monitor is dus de uitgelezen tool om te ontdekken welke bestanden, registersleutels en netwerkactiviteit door een toepassing wordt benaderd. Maar er zijn ook tools die monitoren en bijhouden welke bestanden zoal worden gecreëerd, gewijzigd of verwijderd in door uzelf in te stellen mappen. Ook dat kan handig zijn, bijvoorbeeld als u wilt weten wanneer een medegebruiker iets in een netwerkshare wijzigt.
Dat kan met tools als FolderChangesView (www.tiny.cc/fcview), waarvan een Nederlands taalbestand beschikbaar is, en Folder Monitor (www.nodesoft.com/foldermonitor). Wij bekijken de laatste.
Pak het zip-bestand uit en start de tool op. Klik met rechts op het pictogram in het Windows-systeemvak en kies Open. Klik nu met rechts op het nog lege venster en kies Add folder (voor een map) of Add Path (voor een unc-netwerkpad als \\<computernaam>\<sharenaam>). Rechtsklik op het toegevoegde item en verwijder het vinkje bij Recursive als u wijzigingen in submappen niet mee wilt monitoren. Kies Options om te bepalen van welke gebeurtenissen de tool u op de hoogte moet houden: Created, Changed, Renamed of Deleted. Op het tabblad Execute command kunt u instellen dat wanneer er iets gebeurt, er een opdracht of programma moet worden uitgevoerd. Op het tabblad Filter kunt u specifieke bestanden in- of uitsluiten (met behulp van RegEx). Standaard krijgt u zowel een visuele als auditieve notificatie. Die kunt u aanpassen door Options te kiezen in het contextmenu van het programma- icoontje (afbeelding 7).
