How To Use Regshot To Monitor Your Registry

Download as docx, pdf, or txt
How to Use Regshot To

Monitor Your Registry

OCTOBER 20, 2014, 12:34PM EDT

Regshot is a great utility that you can use to compare the amount of registry
entries that have been changed during an installation or a change in your
system settings. While most PC users will never really need to do this, it is a
great tool for troubleshooting and monitoring your registry.

The Regshot Project

Regshot is an open-source (LGPL) project hosted on SourceForge. It was
designed and registered in January of 2001 by M. Buecher, XhmikosR, and
TiANWEi. Since its inception, it has since been modified and updated countless
times to improve its functionality.

The purpose of this software is to compare your registry at two separate

points by creating a snapshot of the registry before any system changes or
when programs are added, removed, or modified and then taking a second
snapshot after the modifications then comparing them.
Downloading and Using Regshot
There are several mirrors for downloading regshot but for the purposes of this
article, we will download regshot from its original Sourceforge project page.

Once you’ve downloaded the archive and unzipped it, open the folder and find
the files inside.  Because it is a standalone program, you don’t need to go
through any install process. Depending on whether you are using a 86 or 64 bit
version of Windows, you will open the corresponding Unicode application.

It is best to open it as an administrator by right-clicking on the appropriate file

and then selecting the “Run as administrator” option.

Using Regshot to Track System Changes

Now that you have installed regshot, you are ready to put it to the test. Once
you have opened regshot, you will need to take your first snapshot which will
serve as the “before” snapshot. Do this by clicking on the “1st shot” button and
then clicking on “Shot.” Note that the file is going to be saved as a TXT file in the
“C:\Users\YOUR NAME\AppData\Local\Temp\” directory, but you can change this
to any folder you want.
Now that you have taken your first shot, let’s start making a change by opening
Control Panel. In the “Appearance and Personalization” section, click on
“Change desktop background” option.

Now we will just choose any background image and apply the changes by
clicking “Save changes” on the bottom right of the screen.
Now that you have made a system change, it is time to take a second snapshot
of your registry to see whether any changes have been made. Do this by going
back to the regshot application and clicking on “2nd shot” and then clicking on

After you have done this, you may notice that the numbers shown on the
bottom of the application screen have changed. In this case, both the “Keys”
and “Values” have changed. Now we will click on the “Compare” button to
compare the before and after shots.
This will bring up a “Notepad” file with a summary of the changes.

If you continue to scroll down the document, you will see that it outlines
several different aspects including the following. Remember that the numbers
will vary based on your computer.
1. Keys added: 8
2. Values added: 36
3. Values modified: 25
4. Total changes: 69 (this appears at the bottom of the document)

In addition to listing the changes, it provides in-depth details about which keys
were altered by changing your desktop background. This can be useful in case
you want to manipulate those keys manually.

Monitoring Installation Changes

As a second example, we can install a program, so we will download Google
Drive. Take your first snapshot before installing the program. If you haven’t
closed regshot, you will need to Clear All snapshots to start over again.

Now that you have done that, take your first snapshot then install Google
After you have successfully installed the program, go ahead and take your
second snapshot.

Now you can compare the before and after snapshots. Our results show that
the following changes were made during the installation of Google Drive:

1. Keys deleted: 8
2. Keys added: 255
3. Values deleted: 1060
4. Values added: 399
5. Values modified: 93
6. Total changes: 1815

Of course the resulting text file would also contain a list of every single change
so you can examine them more closely.

Monitoring Uninstall Changes
In order to see how the registry is affected when a program is uninstalled, we
can clear our snapshot from regshot.  Take a first snapshot and then go to the
Control Panel and uninstall Google Drive. After you have uninstalled Google
Drive, take your second snapshot to see what changes were made.

1. Keys deleted: 141

2. Keys added: 9
3. Values deleted: 477
4. Values added: 25
5. Values modified: 422
6. Total changes: 1074

You will notice that the installation modified 1815 keys and values while the
uninstallation only changed 1074. This is because not all registry keys are
always edited or deleted.

Regshot, ¿qué archivos y registro

modifica un programa?
Reporte con los cambios modificados
Regshot es una utilidad de código abierto (LGPL) que permite comparar las
modificaciones que se han realizado en tu registro y/o archivos/directorios. Para
realizar esto, el programa nos permite hacer una primera captura, foto o instantánea
de cómo está el registro y archivos, posteriormente se vuelve a hacer otra captura y
se comparan ambas. Finalmente Regshot mostrará en texto o en HTML un reporte
con todos los cambios que se han producido. Es una herramienta que no debería
faltar en tu almacén de herramientas y vamos a aprender a manejarlo...

Para mí es uno de los mejores programas de su categoría: fácil manejo, rápido,
gratuito, realiza perfectamente su cometido y es multi-idioma. Su página web
es:, desde donde se puede descargar pulsando el
botón de la izquierda "Download regshot files". Este enlace de descarga se abrirá en
una nueva ventana y navegando por el directorio podrás descargar la última versión
aunque normalmente ésta ya se muestra en la parte superior (Looking for the latest
En el archivo de descarga tienes tanto el código fuente como la versión compilada
para 32 bits o 64 bits. Yo lo ejecuto en un procesador x86, así que ejecuto la
aplicación regshot.exe que no me pide ninguna dependencia. Su intuitiva interfaz es
la siguiente:
Descripción y manejo
Su uso es muy sencillo: el programa permite realizar una
primera foto o instantánea del registro y/o archivos, después otra segunta foto y
posteriormente comparar ambas. Regshot comparará dichas capturas y mostrará los
valores, claves, archivos modificados, creados o borrados. Estas fotos son guardadas
en un archivo con extensión .hiv (si quieres, si no será guardadas temporalmente) y
es muy útil porque puedes guardar una instantánea para compararla más adelante.
Vamos a analizar todas las opciones:

 "Comparar logs guardados como": Cuando el programa compara las 2 fotos, permite
que veas los resultados en un archivo de texto o en un archivo con código HTML
para verlo en tu navegador.
 "Escanear dir1[;dir2;...;dir nn]": Esta opción es muy útil y por eso en su presentación
dije que permitía escanear y hacer una foto también de archivos y directorios.
Cuando seleccionas esta opción guardarás una instantánea de los archivos y
directorios. Deberás escribir un directorio o varios separados por ";".
 "Ruta de salida": Es el lugar en el que el programa escribirá y creará los log del primer
punto de esta lista.
 "Añadir comentario al log": Es un comentario que se añade al archivo en la
comparación final en la parte superior del mismo y que te puede ayudar a recordar
por qué o cómo se hizo la captura.
 "1er.Foto": Al pulsarlo se abrirá un menú emergente con tres posibilidades:

o Foto: Realiza una instantánea del registro y/o archivos

o Foto + Guardar: Lo mismo que el anterior pero te permitirá guardar la
captura en un archivo que tendrá extensión .hive
o Cargar: Te permite cargar un archivo .hive que hayas guardado
 "2da. Foto": Es igual que la anterior.
 "Comparar": Permite comparar la primera y segunda captura y mostrará los
resultados en un archivo de texto o HTML según hayas seleccionado.
 "Limpiar": Borra las instantáneas que se hayan creado sin guardar. Los
archivos .hiv no serán eliminados, solo las "fotos" temporales y los botones volverán
a activarse.
 "Salir": Cierra el programa.
 "Sobre": Acerca de.
 "Español": Desplegable para seleccionar el idioma que quieras.

El programa realiza una foto o instantánea del registro pulsando el botón "1er. Foto"

pero también puedes añadir a la foto los archivos seleccionando la opción "Escanear
dir1[;dir2;...;dir nn]" y escribiendo ahí el directorio que quieres que el programa
Ejemplo de uso
Voy a hacer un sencillo ejemplo. Pongo los siguientes datos:

 "Comparar los logs guardados como": Texto.

 "Escanear dir1[;dir2;...;dir nn]": Tildo la opción y escribo C:\ (que
es un directorio de ejemplo que he creado)
 "Ruta de salida": C:\\salida
 "Añadir comentario al log": Esto es un simple ejemplo

Primera foto
Pues ya está todo. Así que hacemos la primera instantánea: "1er. Foto" ⇒ "Foto +
guardar". El programa empezará a procesar la solicitud y, al terminar, preguntará
dónde guardar el archivo .hiv, que es donde estará almacenada toda la captura.
Guárdalo donde quieras.
Segunda foto
Tras esto el primer botón quedará desactivado y el botón para realizar la segunda foto
se activará. Antes de pulsarlo voy a crear en C:\ un archivo
cualquiera para ver si se muestra en el log final. Lo llamo: archivo_creado.txt.
Ahora sí que pulso en "2da. Foto" ⇒ "Foto + guardar". Vuelve a pedir guardar el
segundo archivo, que almaceno -para ser ordenado- en el mismo sitio que el anterior.
Comparar fotos
Finalmente se activará el botón "Comparar", que pulso. Una vez que termina, abre un
archivo de texto (porque lo configuramos así) con todos los cambios que se han
producido. Este archivo se crea en el directorio "Ruta de salida". Y una de las
modificaciones que leo es:
Archivos añadidos:1

Es un programa rápido, que hace su cometido perfectamente y es muy sencillo de
manejar dado que su interfaz es muy sencilla. Sumando a esto que el software es de
código abierto, que en mi caso no ha requerido dependencias y que está
periódicamente actualizándose (aunque la última versión es de diciembre de 2011), es
un programa que no debería faltar en tu caja de herramientas.

Como ejemplo, este es un caso real que me ocurrió hace tiempo:

-He instalado un programa y desde entonces mi ordenador no se conecta a Internet.
Creo que ha modificado "algo" en el registro. ¿Qué ha modificado?
-Mi solución fue reinstalar el programa en una máquina virtual pero antes haciendo
una instantánea con Regshot. Encontré la modificación del registro y su estado por

