以下内容不涉及任何专业知识,所有人都可以看懂。
此方法只适用于Windows10及更高版本
1.目的
有时候,我们需要找到知道某一时间段内某个应用程序对系统做了哪些修改,例如:
1.1.Windows专业版有组策略(一种高级系统设置),家庭版没有,但是实际上对组策略的修改就是对注册表的修改,如果知道注册表值,就可以应用到家庭版中
1.2.彻底清理某个软件。例如迅雷,在正常情况下卸载后会发现Internet Explorer的加载项没有删除。我们可以在一个没有安装过迅雷的环境下监视迅雷的安装过程,看到它在系统中增加的内容,然后可以在需要清理的地方进行清理
1.3.不同人可能需求不同,有些人有时候就会希望监视系统的更改
2.关于msix打包工具
2.1.名称"MSIX Packaging Tool",在应用商店搜索就可以找到。
2.2.这个工具的作用是把桌面应用打包成应用商店应用。它通过对软件安装过程的监视,来知道软件的内容,然后打包。
2.3.这次我们不用它的打包功能,我们只用它来监视系统。
3.开始监视
3.1.安装"MSIX Packaging Tool"(应用商店安装)
3.2.打开"MSIX Packaging Tool",选择"应用程序包",选择"在此计算机上创建程序包",等待后再选择"下一个"。
3.3.出现两个输入框
全部可以不填,这是选择要运行的安装程序,开始监视时会自动运行。
选择"下一个"
3.4.这是输入应用程序包的信息,如果不创建程序包,这些信息是没用的,但是必须填。
可以按照这样的内容填,然后选择"下一个"
3.5.这个时候打包工具已经开始监视系统了,我们应该进行需要被监视的修改了。
例如:修改组策略,安装迅雷,还有运行病毒等等。
中途如果需要可以重启无数次,需要点击打包工具中的"重启"按钮而不能用系统中的"重启",监视不会停止,下次开机时打包工具会自动打开。
操作完成后点"下一个"
3.6.这时候监视已经结束了,显示"管理首次启动任务",这个不用管,直接"下一个",选择"是,继续","服务报告"不用管,选择"下一个",点击"程序包编辑器"
3.7.我们可以看到程序包的内容:
3.7.1."虚拟注册表",就是监视过程中系统注册表的所有变化,对于"Software"、"Microsoft"相关的可以忽略,这是因为这些内容在系统正常运行时就在不断地被修改,与我们进行的操作无关。
3.7.2."程序包文件"就是监视过程中系统中文件的所有变化,对于"VFSSystem"、"VFSCommon AppData"、"VFSLocal AppData"等等一般可以忽略,这些也是系统在正常运行时就在不断地被修改。
4.利用监视结果
4.1.如果我们修改了组策略(例如:"管理模板Windows 组件Windows Defender 防病毒程序",里面启用"关闭 Windows Defender 防病毒程序"),那么就可以在"虚拟注册表"中看到"MACHINESOFTWAREPoliciesMicrosoftWindows Defender"里面有一个名称"DisableAntiSpyware"数据"00000001"的值。然后我们就可以把它应用到家庭版中。
4.2.如果我们安装了迅雷,可以看到注册表的变化和文件的变化,在已经卸载迅雷的地方查看,这些内容都没有被删除而且数量非常大根本无法手动清理,这可以说明如果要把迅雷卸载干净,就算是高手中的高手也很难做到。
其实安装迅雷是可以在受限环境中进行的,这样不会对系统进行修改,但是安装路径不能选择"C:Program Files"而应该是"C:UsersUserAppDataLocalPrograms"之类的路径,确保有写入权限。
zuser:在Windows中使用Power Users用户防止软件修改系统zhuanlan.zhihu.com
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
