| 比较结束后,在弹出的窗口中,先扫描的注册表被标记为1(old),后扫描的结果标记为2(new)(图12)。从窗口中很容易找到注册表前后的变化,它们被分为三类:Deleted
- x(x为变化个数)标签下为删除掉的数据(在2注册表中已不存在),Added - x标签下为新增加的数据(1注册表中没有),Distinct
in data - x标签下为被修改的数据,都可在右栏查看具体的变化。选定根键后,单击工具栏上的“Expand all Nodes”就可展开所有包含变化的分支,每个变化所在主键前都有不同颜色的“灯泡”标志提示变化的类型。程序还支持在主窗口或者比较结果窗口中查找,对于查找到的结果,你可以直接按“F5”或单击“Jump
to Regedit”按钮迅速打开注册表并自动定位到该键。最为贴心的是,可以单击“Save to Undo files”将变化保存为reg(或inf,右击导入)恢复文件以便手工由2恢复为1中原样(删除新增的,添加已删除的,改回原来的),或者单击“Undo
into Registry”按钮直接恢复。“Save to Redo files”、“Redo into Registry”按钮则刚好相反,是用来由1注册表变回2注册表中的数据。在窗口中选定某个分支后右击,可复制键名路径到剪贴板或者跳转到主窗口相同分支下。
(图12)
ART以类似regedit的图形界面直观地显示扫描结果和比较结果,并可以将任何一次的扫描结果中的任何分支导出为reg文件,因此它确实是一个不错的工具,遗憾的是退出程序时耗时略长。
二、RegSnap
RegSnap不仅能跟踪注册表的变化,还可以比较Windows目录下文件、win.ini、system.ini、autoexec.bat、config.sys和windows系统有关设置文件的变化,这都是ART不具有的功能。
启动程序后,会弹出“Startup Wizard”对话框。初次运行,可以单击“New Snap”建立一个新的快。如果已建立,可以选定Recent
documents列表框中某个快照文件后单击“Open”按钮来打开该快照。当你建立两个以上快照后,可以单击“Compare”进行比较。在“Startup
action”下设置程序启动时自动执行的操作,依次为:自动打开“Startup Wizard”对话框、自动打开最后创建的快照、自动创建新快照、只进入主界面其他什么也不做。选中你想做的就行了(图13)。
(图13)
作者:不详 来源:不详 | .gif){kind=small}