Тут на самом деле масса вариантов со своей спецификой. Есть продукты работающие на основе снапшотов (типа Total Uninstall etc), если нужно посмотреть только итоговые изменения фс и реестра, есть мониторы в реальном времени, дающие понимание всей последовательности действий как например упомянутая spystudio и подобные, есть решения на основе песочниц и вм, и есть отдельные инструменты для конкретного случая и задачи. Для простых задач (типа сбора инфы для создание портабельной версии программы) хватает примитивных "снапшотных" решений, а для исследования малвари или разных "хитрых" инсталлеров часто и spystudio&co мало полезны и без специальной изолированной среды не обойтись
они бывает драйвера переписывают и системные либы потом если снести то и система летит)) сам когдато хотел такую защиту для триала делать)) но меня опередили)))
ВМ, хотя можно и в живой системе - кому как нравиться
+
SysTracer - создание снимков реестра и файловой системы для их последующего сравнения на предмет модификации, добавления или удаления данных. http://forum.ru-board.com/topic.cgi?forum=35&topic=40033#1
+
Монитор трафика на выбор: Http Analyzer http://forum.ru-board.com/topic.cgi?forum=35&topic=29092#1 или HTTP Debugger http://forum.ru-board.com/topic.cgi?forum=35&topic=34851#1
SDK пишет: а как же Sandboxie ? Buster Sandbox Analyzer ссылку на который я оставлял в предыдущем посте работает как раз на основе Sandboxie
trion1 пишет: Монитор трафика на выбор А если оно по UDP общается? Траф мониторить лучше на выходе из вм, или на уровне ядра подписавшись на соответствующие события. В простых случаях на живой системе можно каким-нибудь Wireshark снифать, или попроще для расшифровки https чем-то вроде Fiddler прокси.