Как найти программу в реестре

Как узнать, где программа хранит свои настройки в реестре

Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.

Как узнать, где программа хранит свои настройки в реестре

Для того, чтобы узнать к каким разделам реестра обращается программа в процессе работы, мы воспользуемся бесплатным инструментом под названием Process Monitor, который можно скачать с официального сайта по следующей ссылке: https://download.sysinternals.com/files/ProcessMonitor.zip После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe

Если у вас установлена 32-битная версия Windows, то запускать нужно файл Procmon.exe, а если у вас установлена 64-битная версия, то тогда соответственно запускаем Procmon64.exe. О том, как узнать разрядность вашей ОС у нас есть отдельная статья: https://pc.ru/articles/kak-opredelit-razryadnost-windows

Если при запуске программы вы получаете ошибку «Unable to load process monitor device driver», то о том, как ее исправить, можно прочитать в этой статье

После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку «Agree»
Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe . Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe , для этого мы выбираем пункт меню «Filter» и в нем опцию с одноименным названием «Filter. «. После чего выбираем из раскрывающегося меню пункт «Process Name«, вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку «Add«, чтобы наш фильтр добавился: Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку «Apply» и потом на «OK«, для закрытия окна настроек. В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы: Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.

Как вывести список установленных программ в Windows 10

27.07.2020

itpro

Windows 10, Windows 7, Windows 8

комментариев 8

В этой инструкции мы покажем несколько способов получить список установленных программ в Windows 10, Windows 8 или Windows 7 с помощью командной строки. Эта методика построения списка программ в системе может пригодиться перед переустановкой системы, когда нужно найти нежелательное ПО или при выполнении инвентаризации установленного ПО на компьютерах организации.

Рассмотрим два способа: первый подразумевает использование командной строки и утилиты wmic, второй — PowerShell.

Вывод списка программ с помощью утилиты командной строки WMIC

Список установленных в системе программ может быть получен с помощью утилиты командной строки WMIC, через которую можно обратиться и опросить пространство имен WMI. Запустите командную строку с правами администратора и выполните команду:

wmic product get name,version

После небольшого ожидания, на экран консоли будет выведен список названий и версия установленных в системе программ.

Этот список можно экспортировать в текстовый файл с помощью команды:

wmic product get name,version /format:csv > c:\Temp\Programs_%Computername%.csv

После окончания выполнения команды перейдите в каталог C:\Temp и найдите csv файл, имя которого начинается с Programs_[имя_ПК]. В данном файле в csv-формате помимо названия и версии ПО, также будет содержаться имя ПК (удобно для дальнейшего анализа).

Вывод списка программ через Windows PowerShell

Список установленных программ также может быть получен с помощью PowerShell. Идея метода в том, что список установленных программ, который мы видим в списке Programs and Features Панели Управления, строится на основе данных, хранящихся в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Наша задача – вывести содержимое данной ветки реестра. Итак, запустите консоль Powershell и выполните команду:

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, Size, InstallDate | Format-Table -AutoSize

Как вы видите, в результирующем списке содержится имя программы, версия, разработчик и дата установки.

Совет. Для 32-битных приложений на x64 версиях Windows, также нужно брать данные из ветки HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall

Экспортировать полученный список в csv файл можно так:

Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -AutoSize > c:\temp\ installed-software.txt

Рассмотренный выше способ позволяет вывести данные только о классический Windows приложениях. Чтобы вывести список установленных Metro приложений, воспользуйтесь командой:

Get-AppxPackage | Select Name, PackageFullName |Format-Table -AutoSize > c:\temp\installed_metro_apps.txt

Чтобы получить список установленного ПО на удаленном компьютере (к примеру, с именем wks_name11), воспользуемся командлетом Invoke-command:

Invoke-command -computer wks_name11

Чтобы сравнить списки установленного ПО, полученные с двух разных компьютеров и найти отсутствующие приложения, можно воспользоваться такой командой:

Compare-Object –ReferenceObject (Get-Content C:\temp\installed-software.txt) –DifferenceObject (Get-Content C:\temp\installed-software2.txt)

В нашем примере в двух сравниваемых списках имеются различия в двух программах.

Другой способ вывести список установленных программ – воспользоваться командлетом Get-WmiObject, также позволяющего обращаться с пространству WMI:

Get-WmiObject -Class Win32_Product | Select-Object -Property Name

Предыдущая статья Следующая статья

Поиск в реестре windows, лучшие методы

Добрый день! Уважаемые читатели и гости одного из популярнейших блогов посвященных системному администрированию Pyatilistnik.org. В прошлый раз мы с вами успешно восстановили данные на RAW диске и защищенном GPT разделе, тем самым сохранив свои цифровые активы. Сегодня я вам хочу показать еще одну полезную вещь, которая просто незаменима в практике системного администратора, а именно речь пойдет про поиск в реестре Windows, как его правильнее организовать, какие методы вы можете применять, думаю, что будет интересно.

Методы поиска в реестре Windows

1. Использование классической утилиты regedit ( Редактор реестра)
2. Regscanner
3. Registry Finder
4. Через текстовый редактор
5. Через PowerShell

Поиск по редактору реестра

1. Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
2. В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
3. или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

У данного метода, как вы можете заметить огромный минус, вы не можете увидеть сразу все ключи по критерию, что не дает полной картины и во вторых данный процесс становится дольше по времени и я его использую, только тогда когда нет нужным мне утилит

Поиск в реестре Windows через regscanner

Скачать Regscanner можете у меня или на сайте https://www.nirsoft.net/utils/regscanner.html

1. 1. Для поиска по реестру откройте Regscanner.exe
   2. В окне «Regystry San Options» вы можете выбрать: «Find String» — искомое значение и «Don’t load more than» — количество выводимых строк (максимальное)
   3. Задать временные промежутки, по умолчанию стоит значение «No time filter», означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
   4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
   5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку «Display only data with the following length range» и выбрав например только RED_DWORD

Нажимаем кнопку «Scan» и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

Скачать Registry Finder

• Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле «Find what» пишем то, что хотим искать. В «Top-level-keys» выбираем разделы реестра для поиска.

• Нажав кнопку «Data Types» вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

• Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку «Search only hidden keys«

• Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

• Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем «Find».

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

• —help — Печатает справочное сообщение.
• —computerName arg — Указывает имя или IP-адрес компьютера для подключения.
• —navigate arg — Определяет раздел реестра для навигации. Если для этого параметра установлено значение « буфер обмена», то путь берется из буфера обмена.
• —reopenLocal arg — Восстановить или не открывать ранние локальные окна реестра при запуске Registry Finder (arg: true или false, по умолчанию true).
• —reopenRemote arg — Восстановить или не открывать ранее удаленные окна реестра (arg: true или false, по умолчанию true).
• —dataFolder arg — Определяет папку для хранения настроек и отмены истории.
• —import arg — Импортирует указанный файл .reg в реестр.
• Работа всегда выполняется в отдельном экземпляре (то есть подразумевается —multiInst).
• —importSilent Не отображать подтверждение импорта.
• —multiInst Когда экземпляр Registry Finder уже запущен, запускается новый экземпляр. По умолчанию запущенный экземпляр активируется вместо запуска другого.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне «Редактора реестра» щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:

@ECHO OFF
TITLE SEARCH REGEDIT
COLOR 0A
ECHO SEARCH.
chcp 1251 > nul
TIME /t > C:\Search_Reg.txt
ECHO HKLM >> C:\Search_Reg.txt
REG QUERY HKLM /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCU >> C:\Search_Reg.txt
REG QUERY HKCU /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCR >> C:\Search_Reg.txt
REG QUERY HKCR /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKU >> C:\Search_Reg.txt
REG QUERY HKU/f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCC >> C:\Search_Reg.txt
REG QUERY HKCC /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt

В результате чего у вас на диске C:\Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:

Get — ChildItem — path HKLM : \ — Recurse | where < $_ . Name - match 'VMware' >| Out-File C:\scripts\regedit.txt

Еще интересная информация по работе с реестром из PowerShell https://docs.microsoft.com/ru-ru/powershell/scripting/samples/working-with-registry-entries?view=powershell-6

На этом у меня все, мы с вами разобрали массу способов поиска ключей в реестре по нужным параметрам. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

• Как скрыть программу в списке установленных, за минуту
• Как включить боковую панель в Chrome, за два клика
• Как убрать надпись Активация Windows, за минуту
• Управление Google диском в домене Active Directory
• Как открыть PowerShell, все методы
• Поиск по вкладкам Chrome, полезные настройки

Июл 9, 2019 23:46 Автор — Сёмин Иван

3 Responses to Поиск в реестре windows, лучшие методы

Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

Иван Семин :

Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

Здравствуйте При ошибки системы в управлении компьютера определяется ключ в реестре. Как определить к какой программе или службе он принадлежит?

Как найти программу в реестре

Иногда требуется удалить недавно установленную программу, но при поиске деинсталлятора этого файла может не оказаться. В этом случае рекомендуется удалить файлы программы и произвести очистку реестра системы.

Статьи по теме:

• Как найти программу в реестре
• Как искать в реестре
• Как в реестре найти файл

Вам понадобится

• Программное обеспечение Regedit.

Инструкция

Regedit — это встроенный в операционную систему редактор реестра. Название является сокращением от фразы Registry edit. Эта программа служит для систематизации всех ключей реестра, их создания, а также удаления. При удалении программы необходимо очищать реестр от ненужных ключей, которые ранее были использованы средствами операционной системы.

Перед редактированием файлов реестра необходимо удалить папку с программой. Откройте каталог Program Files, выберите нужную директорию и нажмите клавишу Delete для перемещения в «Корзину» либо Shift + Delete для полного удаления с жесткого диска.

Теперь перейдите к редактору реестра. Нажмите меню «Пуск» и выберите элемент «Выполнить» либо нажмите сочетание клавиш Win + R. В открывшемся окне переместите фокус курсора на пустое поле и введите команду regedit, а затем нажмите клавишу Enter.

Стоит сказать, что редактирование файлов реестра новичком — дело опасное, поэтому лучше создать резервную копию. Нажмите верхнее меню «Файл» и выберите пункт «Экспорт». В открывшемся окне поставьте отметку напротив строки «Весь реестр», введите название файла и нажмите кнопку «Сохранить».

Экспорт файлов реестра можно осуществлять посредством командной строки. Запуск командной строки обычно производится через меню «Пуск», раздел «Стандартные программы». В окне необходимо ввести команду regedit /E d:export.reg и нажать Enter. Данной командой вы копируете файл реестра export.reg в корневой каталог диска «D:».

Для поиска ключей, оставленных самой программой, необходимо нажать верхнее меню «Правка» и выбрать пункт «Найти». В появившемся окне введите название программы или компании, которая занимается ее распространением. Нажмите клавишу Enter или F2 для начала операции поиска.

Найденные ключи можно удалить, выделив и нажав клавишу Delete. Затем нужно закрыть редактор реестра и перезагрузить компьютер. Теперь ваш компьютер чист от удаленной программы.

Совет полезен?
Статьи по теме:

• Как открыть ветку реестра
• Как посмотреть реестр Windows 7
• Как найти ветку реестра

Добавить комментарий к статье
Похожие советы

• Как открыть ключ реестра
• Как удалить информацию из реестра
• Где находится список автозагрузки в реестре windows
• Как зайти в редактор реестра
• Как удалить игру из реестра
• Как найти вирусы в реестре
• Как удалить программу, если её нет в удалении программ
• Как прописать путь в реестр
• Как удалить программу из списка удаления программ
• Как вызывать редактор реестра