Фильтрация для достижения наилучших результатов

Если вы запускаете Regmon и изменяете некоторые настройки в интерфейсе пользователя Windows ХР, вам понадобится много удачи, чтобы просмотреть вывод Regmon и найти вашу настройку. Например, открытие проводника Windows производит около 5 ООО запросов к реестру. Щелчок на пункте Options (Настройки) в меню Tools (Сервис) проводника Windows производит несколько сотен запросов к реестру. Поиск в таком большом выводе не практичен. Ваши действия станут гораздо более эффективными, если вы научитесь использовать фильтрацию.
Первое, что вы должны сделать, особенно если вы хотите найти значение, которое Windows ХР сохраняет как настройку - это отфильтровать все, кроме запросов на запись. В меню Edit (Правка) Regmon выберите пункт Filter/Highlight (Фильтр/Выделить). Затем снимите все флажки, за исключением Log Successes (Записывать успешные попытки доступа) и Log Writes (Записывать попытки записи). Regmon будет сообщать только об успешных запросах на запись в реестр. Одно зто значительно снизит размер вывода, который вы увидите. Однако следует стать еще более конкретным, и Regmon приведет вас почти к самой настройке, которую вы ищете. Звездочка (*) в поле Include (включительно) является символом подстановки, обозначающим все; это фильтр по умолчанию.
Чтобы быть более конкретным, ограничьте Regmon отдельными процессами. Например, если вы ищете настройки из проводника Windows, следите только за доступом к реестру процесса explorer.exe. Если вы ищете настройки из Tweak UI, следите только за доступом к реестру процесса Tweakui.exe. В меню Edit (Правка) Regmon выберите пункт Filter/Highlight (Фильтр/Выделить). В поле Include введите имя процесса, который Regmon должен отображать в своем окне. Включите несколько процессов, разделенных точкой с запятой. Простейшим способом определить имя процесса - это заглянуть в Windows Task Manager (Диспетчер задач Windows). Нажмите Ctrl+Shift+Esc, а затем перейдите на закладку Processes (Процессы). Если вы сомневаетесь, вы можете посмотреть имя процесса в выводе Regmon, именно так я обычно его нахожу. Вы можете видеть процесс Rundll32.exe. Это специальная программа, которая выполняет API из динамических библиотек (DLL — Dynamic Link Libraries). Так как у вас может быть несколько различных экземпляров этого процесса, работающих одновременно, фильтрация этого процесса более сложна.
Моим последним советом, как ограничить вывод Regmon, будет использование фильтра для конкретных ключей. Если у вас есть общее представление о том, где в реестре Windows ХР хранит настройку, ограничьте вывод на экран только строками, которые содержат этот ключ. Например, если вы знаете, что настройка находится где-то в HKLM\SOFTWARE\Microsof t, настройте фильтр Regmon так, чтобы он выводил только запросы типа SetValue к этому ключу. Когда вы измените значение в интерфейсе пользователя, то увидите очень небольшой вывод в окне Regmon, и одна из выведенных строк будет тем значением, которое вы ищете.
Совет. Вы можете объединять подключи и имена процессов в вашем фильтре. Отделяйте один от другого при помощи точки с запятой. Regmon сравнивает ваш критерий со всеми столбцами, которые вы видите в окне, таким образом, вы можете фильтровать несколько столбцов одновременно. Например, вы можете фильтровать результаты по процессу, типу запроса и ключу одновременно.