Je installeert of gebruikt een toepassing en je wilt weten welke registersleutels of bestanden die zoal creëert of wijzigt, omdat je het bijvoorbeeld niet helemaal vertrouwt. Of je past een Windows- of een programma-instelling aan en wilt onderzoeken waar in het register die wijziging plaatsvindt zodat je die ook gemakkelijk elders kunt toepassen. Bestanden monitoren doe je zo.

Niet alleen Windows zelf maar ook heel wat achtergrondprocessen en toepassingen creëren of wijzigen voortdurend en ongemerkt allerlei bestanden en ook talloze registersleutels. In dit artikel bespreken we enkele tools waarmee je dergelijke veranderingen kunt monitoren, want die informatie kan best nuttig zijn. Vooral de wat gevorderde gebruiker zal zich hier aangesproken weten. We beperken ons tot technieken die ook bruikbaar zijn in Windows 10 Home en gaan dus voorbij aan de krachtige auditfuncties zoals die in Windows 10 Pro en hoger zijn ingebouwd. We focussen ons eerst op het Windows-register en bekijken daarna het bestandssysteem.

Register in beeld

Het Windows-register is een reeks bestanden die samen een hiërarchisch opgebouwde database vormen met daarin talloze configuratie-instellingen van zowel Windows, hardwarecomponenten als toepassingen. Je kunt deze database bestuderen door Windows-toets+R in te drukken en tik dan in: Regedit.

Stel, je installeert een toepassing en je wilt graag weten welke registerwijzigingen tijdens deze installatie worden uitgevoerd. Probeer dan de gratis, portable tool RegistryChangesView, waarvoor ook een Nederlands taalbestand beschikbaar is. Start de tool op, kies Momentopname van register maken, kies een locatie, beperk de snapshot eventueel tot specifieke registeronderdelen (zoals HKEY_CURRENT_USER) en bevestig met Momentopname maken. Daarna start je de installatie van de toepassing. Opnieuw bij RegistryChangesView kies je  Bestand, RegistryChangesView-opties. Bij de eerste gegevensbron verwijs je naar het zonet opgeslagen snapshotbestand en de tweede stel je in op Huidige register. Klik op OK om een overzicht van alle verschillen in het overzichtsvenster te zien.

©PXimport

Specifieke sleutels

Tools als RegistryChangesView zijn natuurlijk minder handig als je specifieke registersleutels wilt monitoren. Dan is het gratis, portable BgInfo meer geschikt. Hier kun je zelf een of meer registersleutels selecteren waarvan je de sleutelwaarden zichtbaar kunt maken op je bureaublad. Telkens als je BgInfo (of Windows) herstart, kun je zien of de betreffende sleutelwaarden zijn aangepast.

Pak het archiefbestand uit en start Bginfo.exe of Bginfo64.exe op. Standaard blijkt heel wat systeeminformatie beschikbaar, zoals Boot Time, DHCP Server en Free Space, maar wij zijn alleen in specifieke registersleutels geïnteresseerd en dus mag je alle items in de blauwgroene tab verwijderen. Druk vervolgens op Custom, New en selecteer Registry Value. Bij Path vul je nu het pad naar de beoogde registersleutel in. Dat kan ook als volgt: start Regedit op, navigeer naar de sleutel en kies Bewerken, Sleutelnaam kopiëren. Via Ctrl+V plak je die vervolgens in het Path-veld, waarna je er achteraan de juiste waarde toevoegt. Bijvoorbeeld: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreen. Bevestig met OK, selecteer het zojuist toegevoegde item, druk op Add en op Preview voor het resultaat. Druk nogmaals op Preview en op Apply of OK om de configuratie te bewaren.

©PXimport

Filtervoorwaarden

Windows Pro en hoger bevatten een aantal configuratie-opties die niet in Windows Home beschikbaar zijn of in ieder geval niet bereikbaar zijn vanuit de grafische interface. Maar vaak kun je die opties toch ook in Home instellen door de corresponderende registersleutel(s) te creëren of te wijzigen. De vraag is in dit geval: om welke registersleutel(s) gaat het precies? Dat kan de krachtige en gratis tool Process Monitor je vertellen.

Pak het archiefbestand uit en start Procmon.exe dan wel Procmon64.exe op. Klik op het vergrootglaspictogram zodat het automatisch loggen stopt en maak de huidige log leeg met het gumicoontje. Klik op de knoppenbalk op de vier meest rechtse pictogrammen zodat ze worden uitgeschakeld, maar laat het pictogram Show Registry Activity wel ingeschakeld.

Druk nu op het Filter-icoon zodat het dialoogvenster Process Monitor Filter verschijnt. Druk op de knop Reset waarna je bij Display entries matching these conditions er met behulp van de uitklapmenu’s voor zorgt dat je het volgende verkrijgt: Category is Write then Include. Voeg deze voorwaarde aan de standaardlijst toe met de knop Add en druk op OK. Open nu het menu Filter en plaats een vinkje bij Drop filtered events, zodat Process Monitor gefilterde gebeurtenissen niet toont of bewaart.

©PXimport

Verder inzoomen

Je bent nu bijna klaar om registerwijzigingen te loggen. Laat Process Monitor geopend en ga naar het instellingenvenster met de optie waarvan je wilt onderzoeken in welke registersleutel die wordt bewaard. Wijzig deze optie nog niet maar versleep eerst het vizier-icoon van Process Monitor naar het instellingenvenster, zodat er een filter wordt toegevoegd die alleen registerwijzingen zal loggen als die van het proces van dat instellingenvenster afkomstig is. Dat merk je aan de toegevoegde pid-regel (process idd) in het venster van Process Monitor Filter.

Start nu het loggingsproces in Process Monitor door op het vergrootglas-icoon te klikken of via de sneltoets Ctrl+E, waarna je de betreffende optie in- of uitschakelt. Meteen erna zet je het loggen weer stop. Als het goed is duiken even later een of meerdere registersleutels op in het logpaneel en weet je dus op welke sleutel(s) het in- of uitschakelen van de optie een impact heeft.

©PXimport

Reg-bestanden

Met enige handigheid kun je nu een bestand (op je bureaublad) creëren waarmee je die sleutelwaarde snel kunt aanpassen, zodat je voortaan niet meer naar dat instellingenvenster hoeft. Rechtsklik op de betreffende sleutel in het logvenster van Proces Monitor en kies Jump To. De Register-editor (Regedit) opent zich en navigeert automatisch tot bij die sleutel. Met die sleutel geselecteerd open je in Regedit het menu Bestand en kies je Exporteren. Zorg dat de optie Geselecteerde subsleutels is aangevinkt en vul een geschikte bestandsnaam in met bijvoorbeeld je bureaublad als opslaglocatie. Bevestig met Opslaan. Op het bureaublad zie je nu een reg-bestand. Klik hierop met rechts en kies Bewerken zodat de inhoud in het Kladblok zichtbaar wordt.

Zo’n regbestand begint altijd met Windows Registry Editor Version 5.00, gevolgd door een lege regel en vervolgens het sleutelpad tussen vierkante haken, met daaronder de feitelijke instructie ("<naam>"=[type:]<inhoud>), bijvoorbeeld: "UseDefaultTile"=dword:00000000. Mocht je langs deze weg een sleutelwaarde willen verwijderen dan volstaat "<naam>"=-, bijvoorbeeld "UseDefaultTile"=-.

Je kunt nu ook twee complementaire regbestanden maken: een waarbij de optie wordt ingeschakeld en een waarbij die wordt uitgeschakeld. Omschakelen is dan alleen een kwestie van een paar muisklikken: dubbelklik op het gewenste reg-bestand en bevestig met Ja (2x) en OK. Afhankelijk van de sleutel kan het wel zijn dat je je opnieuw moet aanmelden bij Windows of zelfs Windows moet herstarten voordat de wijziging plaatsvindt.

©PXimport

Bestandsfiltering

Soms worden niet alleen registersleutels, maar ook bestanden gecreëerd of gewijzigd. Het kan interessant zijn te weten welke bestanden worden benaderd, bijvoorbeeld door een applicatie die je niet echt vertrouwt. Ook dat kan met Process Monitor en wij achterhaalden hiermee bijvoorbeeld de werking van Secret Disk. Deze tool creëert een verborgen station dat alleen na het intikken van een wachtwoord zichtbaar wordt.

Wil je dit onderzoek ook zelf uitvoeren, installeer dan Secret Disk en start de tool op. Vul een Pin (2x) en e-mailadres in en bevestig met Sla op. Vul nogmaals je pin in en druk op Login. Start vervolgens Process Monitor, schakel tijdelijk de logging uit en reset het filtervenster. Zorg dat deze keer alleen het knopje Show File System Activity is ingeschakeld. In het menu Filter zet je een vinkje bij Drop Filtered Events. Versleep het vizier-icoon naar het programmavenster van het inmiddels opgestarte Secret Disk en schakel de logfunctie van Process Monitor in.

Doorloop nu de procedure in Secret Disk om een ‘geheim’ station te creëren, via Kies een disk letter, Connect en <X>: Open in Verkenner. Eventueel kun je het vizier-icoon nu ook tot boven het Verkenner-venster verslepen zolang je met je ‘geheime’ station aan de slag bent. In de logs merk je dat zowel SecretDisk.exe als explorer.exe veelvuldig het pad C:\Users\<uw_accountnaam>\Local\<…> benaderen. En inderdaad: wanneer je je pc vervolgens met een live (Linux-)medium opstart en naar deze locatie navigeert, dan vind je daar zomaar alle verborgen bestanden van je geheim station. Secret Disk stelt qua beveiliging dus weinig voor.

©PXimport

Map-monitor

Process Monitor is dus de uitgelezen tool om te ontdekken welke bestanden (en registersleutels en netwerkactiviteit) door een toepassing worden benaderd. Maar er zijn ook tools die monitoren en bijhouden welke bestanden zoal worden gecreëerd, gewijzigd of verwijderd in door je zelf in te stellen mappen. Ook dat kan handig zijn, bijvoorbeeld als je wilt weten wanneer een medegebruiker iets in een netwerkshare wijzigt.

Dat kan met tools als FolderChangesView, waarvan een Nederlands taalbestand beschikbaar is, en Folder Monitor. We bekijken de laatste.

Pak het zip-archief uit en start de tool op. Klik met rechts op het pictogram in het Windows-systeemvak en kies Open. Klik met rechts op het nog lege venster en kies Add folder (voor een map) of Add Path (voor een unc-netwerkpad als \\<computernaam>\<sharenaam>). Rechtsklik op het toegevoegde item en verwijder het vinkje bij Recursive als je wijzigingen in submappen niet mee wilt monitoren. Kies Options om te bepalen van welke gebeurtenissen de tool je op de hoogte moet houden: Created, Changed, Renamed of Deleted. Op het tabblad Execute command kun je in dat geval ook een opdracht of programma laten uitvoeren. Op het tabblad Filter kun je specifieke bestanden in- of uitsluiten (met behulp van RegEx). Standaard krijg je zowel een visuele als auditieve notificatie. Die kun je aanpassen door Options te kiezen in het contextmenu van het programma-icoon.

©PXimport

Behoefte aan totale rust tijdens je treinreis? De juiste koptelefoon filtert lawaai weg en verhoogt je concentratie. Ontdek waarom active noise cancelling (ANC) niet mag ontbreken. Wij laten je zien welke functies, zoals comfort en lange accuduur, belangrijk zijn voor de forens of gelegenheidsreiziger.

Reizen met de trein kan heerlijk zijn, maar luidruchtige medepassagiers en het gedender over het spoor verstoren nogal eens de rust. Een goede koptelefoon maakt hier het verschil tussen irritatie en ontspanning. Als je op zoek bent naar de beste optie voor onderweg, is er eigenlijk maar één technologie die er echt toe doet: active noise cancelling. In dit artikel lees je waar je precies op moet letten.

Waarom active noise cancelling onmisbaar is

De absolute topprioriteit voor elke treinreiziger is active noise cancelling, oftewel ANC. Deze techniek gebruikt microfoons aan de buitenkant van de oorschelpen om omgevingsgeluid op te vangen en een tegengeluidsgolf te produceren. Vooral het constante, lage gebrom van de treinmotor en de wielen op de rails worden hiermee effectief weggefilterd. Hoewel geen enkele koptelefoon álle geluiden volledig blokkeert, zorgen modellen met hoogwaardige ANC ervoor dat je op een normaal volume naar muziek of podcasts kunt luisteren zonder dat je het volume ongezond hard hoeft te zetten om het lawaai te overstemmen.

Over-ear versus in-ear in het openbaar vervoer

Naast de technologie is de pasvorm van groot belang voor de demping. Over-ear modellen, die volledig over je oren vallen, bieden van nature al een goede passieve isolatie. De oorkussens sluiten je gehoorgang af van de buitenwereld, wat de actieve ruisonderdrukking aanzienlijk ondersteunt. Voor de meeste forenzen is dit de beste keuze. In-ear oordopjes zijn weliswaar compacter en makkelijker mee te nemen, maar laten vaak toch iets meer geluid door omdat ze minder fysieke barrière opwerpen. Als comfort en maximale stilte voorop staan, wint de over-ear variant het sowieso.

©ER | ID.nl

Comfort en accuduur voor lange ritten

Omdat je in de trein vaak langere tijd stilzit, mag de koptelefoon niet gaan knellen. Let daarom goed op de kwaliteit van de hoofdband en de oorkussens; traagschuim (memory foam) is hierbij een aanrader omdat dit materiaal zich naar je hoofd vormt en de druk verdeelt. Daarnaast is de accuduur een belangrijke factor voor de frequente reiziger. Zoek naar modellen die minimaal 20 tot 30 uur meegaan met ANC ingeschakeld. Veel moderne koptelefoons beschikken bovendien over snellaadfuncties, waardoor je na 10 minuten laden weer uren vooruit kunt. Daarmee voorkom je dat je halverwege je reis opeens zonder muziek komt te zitten.

Connectiviteit en handige functies

Een functie die specifiek in de trein van pas komt, is de transparantiemodus. Hiermee versterk je tijdelijk het omgevingsgeluid via de microfoons, zodat je een omroepbericht van de conducteur kunt horen zonder je koptelefoon af te zetten. Ook multipoint-bluetooth is een waardevolle toevoeging voor forenzen die werken tijdens het reizen. Hiermee koppel je de koptelefoon gelijktijdig aan zowel je smartphone als je laptop, zodat je naadloos kunt wisselen tussen een videocall en je favoriete afspeellijst zonder opnieuw verbinding te hoeven maken.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt en die zijn voorzien van handige functies. Daarom gaan we een paar keer per week voor je op zoek naar zulke deals en kijken we op vergelijkingssite Kieskeurig.nl wat er zoal te vinden is. Dit keer: betaalbare smartphones met dual-sim voor minder dan 300 euro.

Met een dual-sim-telefoon kun je twee telefoonnummers tegelijkertijd gebruiken, zodat je bijvoorbeeld je zakelijke- en privénummer op één toestel kunt hebben. Dat scheelt weer het meeslepen van een extra telefoon wanneer je op pad bent. Wij zochten naar vijf betaalbare smartphones met dual-sim-mogelijkheden op Kieskeurig.nl voor minder dan 300 euro.

Motorola moto g35 5G / 128 GB

De Motorola moto g35 5G is een betaalbare telefoon met dual‑sim, waarvan één een nano-sim is, en de andere een eSim.. Het toestel heeft 128 GB opslag en draait op Android Het scherm meet ongeveer 17,1 cm (6,7 inch) en de batterij van 5 000 mAh zorgt voor een lange gebruiksduur Volgens de specificaties is de hoofdcamera 50 megapixel en ondersteunt het toestel 5G. De telefoon is waterafstotend en heeft een snelle oplader in de doos.

Samsung Galaxy A15 4G

De Samsung Galaxy A15 is een betaalbare smartphone met 4G‑ondersteuning. Volgens de specificaties heeft hij 128 GB opslag, een 6,5‑inch AMOLED‑scherm en draait hij op Android. De batterijcapaciteit bedraagt 5 000 mAh en de hoofdcamera is 50 megapixel. Dankzij de grote batterij en efficiënte processor kun je de telefoon gerust een dag gebruiken zonder opladen. Let op: deze telefoon is uitgebracht in december 2023, het gaat dus om een wat ouder model. Deze telefoon ondersteunt bijvoorbeeld daardoor geen 5G.

Xiaomi POCO C75 

De Xiaomi POCO C75 is een grote smartphone met een 6,88‑inch scherm. Hij beschikt over 128 GB opslagruimte, een 5 160 mAh batterij en wordt aangedreven door Android. De specificaties vermelden een 50 megapixel hoofdcamera en 13 megapixel selfiecamera. Het toestel ondersteunt dual‑SIM, zodat je twee nummers tegelijk kunt gebruiken. Met een prijs ruim onder de 150 euro (ten tijde van het maken van dit overzicht) is de C75 gericht op budgetbewuste gebruikers die toch een groot scherm en voldoende opslagcapaciteit willen.

Motorola Edge 60

De Motorola Edge 60 combineert een groot P‑OLED‑scherm van 6,67 inch met 5G‑ondersteuning. Het toestel is uitgerust met 256 GB opslagcapaciteit en draait op Android. In de specificaties staat een 5 200 mAh accu en een 50 megapixel camera. Het toestel heeft twee simkaartsleuven (dual‑SIM) zodat je eenvoudig kunt schakelen tussen privé‑ en werknummer. De waterdichte behuizing met IP68‑certificering beschermt tegen stof en water.

Xiaomi Redmi 15 256GB Dual SIM

De Xiaomi Redmi 15 is een betaalbare smartphone met een groot 6,9‑inch scherm en 256 GB opslag. De batterij heeft een capaciteit van 7 000 mAh, wat ruim voldoende is voor twee dagen gemiddeld gebruik. Het toestel ondersteunt dual‑sim en 4G, waardoor je twee simkaarten tegelijk kunt gebruiken. De specificaties melden een 50 megapixel hoofdcamera en een 8 megapixel frontcamera. Met een prijs van ongeveer 159 euro past deze smartphone ruim binnen het budget. Dankzij de grote opslag en de royale batterij is de Redmi 15 een interessante optie voor wie een dual‑sim‑telefoon zoekt zonder veel geld uit te geven.