De oplossing
Het artikel over Process Monitor in de vorige c't eindigde met twee aanzetten voor eigen experimenten. Het eerste: uitzoeken waar Windows vastlegt of 'hulp op afstand' is toegestaan of niet. De oplossing lijkt erg op het in het artikel beschreven voorbeeld. Laat Procmon loggen, terwijl je de instelling verandert. Vervolgens het vizier (crosshairs) op het dialoogvenster slepen en er blijft maar een handvol registergebeurtenissen over. Nu nog een 'Include'-regel voor de operatie 'RegSetValue' en er blijft nog maar één registersleutel over, die waar we naar op zoek waren: HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Control\Remote Assistance\fAllow ToGetHelp.
De vraag hoe Windows onthoudt welke bureaubladachtergrond er getoond moet worden, is moeilijker te beantwoorden. Want daarbij gebeurt veel meer. Maar met een trucje kom je er relatief snel uit. Maak gebruik van het feit dat Windows op de achtergrond normaal gesproken met Engelstalige standaardbegrippen werkt. In dit geval 'wallpaper'. Let op, hier gaat het niet in het algemeen om achtergrondplaatjes, maar om precies dat ene. Gebruik daarom niet het meervoud 'wallpapers', want dan zou je het gevraagde niet vinden.
Als je geen idee hebt hoe het betreffende begrip in het Engels heet, kun je in Google gewoon het Nederlandse woord intypen met daarachter . Je zult dan in heel veel gevallen Knowledge Base-artikelen vinden die al in de url de vertaling bevatten of een link om het originele artikel in het Engels weer te geven. In dit geval bijvoorbeeld eindigt de url van het eerste zoekresultaat 'Aanbevolen achtergronden - Windows Help Microsoft Support' op 'featuredwallpapers'.
Als je het begrip weet, maak je daarmee een regel: 'Path' 'Contains' wallpaper 'Include'. Je houdt dan registeren bestandsgebeurtenissen over. Verwijder alle registergebeurtenissen met een 'Exclude'-regel met uitzondering van 'RegSetValue'. Dan blijven er twee sleutels over. De eerste legt vast welk plaatje je als bron hebt uitgekozen en de tweede waar de bureaubladachtergrond precies staat. Onder Windows 7 ontdek je zo ook dat Windows een hernoemde kopie van het plaatje gebruikt, terwijl Windows 10 alleen het pad naar het originele plaatje opslaat.