Regmon zeigt alle Veränderungen in der Registry

Registry-Guide

Über das Textfeld Exclude können Sie umgekehrt bestimmte Registrierungspfade, Prozesse oder Resultate aus der Protokollierung ausschließen, die ständig Registry-Zugriffe verursachen. Dazu zählt zum Beispiel svchost.exe, ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Systemdateien ausgeführt werden. Da unter Windows die verschiedensten Dienste parallel laufen, können auch mehrere Instanzen der svchost. exe gleichzeitig in der Prozessliste auftauchen. Mit den Kontrollkästchen Log Opens, Log Reads, Log Successes und Log Errors geben Sie an, welche Zugriffsarten berücksichtigt werden.

Wichtige Ereignisse wie SetValue, das Ändern eines Registry-Wertes, lassen sich mit Regmon im Textfeld Highlight farbig hervorheben. Wer einen Eintrag genauer kontrollieren möchte, markiert ihn im Protokoll und drückt anschließend die Tastenkombination [Strg]+ [J]. Danach öffnet sich der Registry-Editor genau an dieser Stelle in der Registry. Im Gegensatz zum Ereignisprotokoll von Windows XP, das nur die wichtigsten Systemereignisse und Fehler aufzeichnet, zeigt Regmon alle Veränderungen der Registry.