在 Windows Server 2016 Technical Preview 4 上,为 MSI 成本估算创建了多个条目。
在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{ProductCode} 下,在 MSI 执行期间会创建 EstimatedSize 条目,但一段时间后会自动创建另一个条目“sEstimatedSize2”。问题是,在卸载期间,{ProductCode} 配置单元仍保留在 sEstimatedSize2 注册表中。
有没有办法找出谁修改了注册表?我可以使用 regscanner 找出该注册表项的创建时间。
答案1
我建议使用进程监控- 这将向您显示哪些进程正在创建、读取和修改文件、文件夹和注册表项。您可以将其过滤为与特定掩码匹配的注册表项(您必须这样做,因为它会很快向您发送垃圾邮件,其中包含您机器上正在发生的所有事情)。
希望这能帮助您找出问题所在。