Как найти раздел реестра hkey

Что такое и где находится hkey local machine?

Очень часто при поиске того или ного решения компьютерной проблемы, советуют перейти в некую папку hkey_local_machine. Но далеко не всегда толком объясняют что это за папка и где находится.

В данной статье мы расскажем вам об hkey_local_machine. Вы узнаете где она находится и как в нее можно попасть на любой версии Windows.

Что такое hkey_local_machine?

Наверняка некоторые из вас хоть раз слышали о системном реестре. Это своеобразная системная база данных, в которой собрана информация обо всех установленных программах и компонентах, а также указаны параметры системы и приложений.

Так вот hkey local machine является одной из начальных (коренных) папок системного реестра. Еще их называют ветками реестра.

В ней находится масса служебной информации. Редактировать что – либо здесь нужно с особой осторожностью. Желательно перед внесением изменений в системный реестр делать точку восстановления, так как один неверно заданный параметр может привести к полной потере работоспособности как операционной системы, так и отдельных ее компонентов или программ.

Где находится или как зайти в hkey local machine?

Для входа в данную папку нужно зайти в реестр windows. Для этого вне зависимости от версии операционной системы нажимаем на клавиатуре комбинацию кнопок “Windows” + “R”.

Откроется окно “Выполнить”, в котором пишем команду “regedit” без кавычек и жмем “Enter”.

Далее запустится реактор реестра, который является своеобразным проводником по недрам реестра. В его левой части указаны корневые папки (ветки), среди которых присутствует и искомая папка hkey_local_machine, содержащая в себе массу различных подпапок и настроек.

В своих статьях я довольно часто пишу «перейдите в раздел реестра HKEY_что-то_там», и это подчас утомительное путешествие (особенно когда требуется попасть в раздел идентификатора класса какого-нибудь ActiveX). Поэтому я хочу поделиться с вами решением, максимально упрощающим переход в раздел реестра до двух действий: копируете в буфер обмена путь к реестре — щелчок мыши — и вы на месте.

Немного теории

Редактор реестра (regedit.exe), начиная с Windows 2000, обладает одной полезной особенностью: он «запоминает» последний раздел, который был открыт в нем до того, как пользователь закрыл программу. Полный путь к этому разделу пишется в параметр Lastkey строкового типа в ключе

HKEY_Current_UserSoftwareMicrosoftWindowsCurrentVersionAppletsRegedit

Для нашей задачи можно (и удобно) воспользоваться этой возможностью. Если заранее записать туда путь, который нам нужен в данный момент, то открыв редактор реестра, никуда переходить не потребуется.

А теперь перейдём к реализации задуманного.

Совет: В Windows 10 можно обойтись без скриптов и программ. Редактор реестра в Windows 10 получил адресную строку, в которую можно вставить скопированный путь к тому или иному разделу реестра, и нажать Enter.

Способ для Windows 10

1. Нажмите Win + R и введите regedit в поле «Выполнить».
2. Щелкните в любом месте его адресной строки или нажмите Ctrl + L, чтобы её активировать.
3. Напечатайте или вставьте путь к ключу, который нужно открыть.

Для имен корневых разделов HKEY_ * можно использовать сокращенную запись. Сокращения таковы:
HKEY_CURRENT_USER = HKCU
HKEY_CLASSES_ROOT = HKCR
HKEY_LOCAL_MACHINE = HKLM
HKEY_USERS = HKU

Например, когда вам нужно перейти к разделу HKEY_CURRENT_USERControl PanelDesktop, вы можете ввести в адресной строке следующее:

hkcucontrol paneldesktop

После того, как вы нажмете клавишу Enter, будет открыт раздел HKEY_CURRENT_USER Control Panel Desktop.

Как перейти в нужный раздел реестра одним щелчком мыши

Я набросал простенький скрипт, который будет получать содержимое буфера обмена, записывает его в реестр и открывает редактор реестра. Предполагается следующий сценарий:

Вы читаете статью, в ней написано – «перейдите в раздел реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion». Вы выделяете путь к разделу на странице, нажимаете CTRL+С и запускаете скрипт. Редактор реестра открывается в нужном месте.

В качестве средства автоматизации я использую возможности Windows Scripting Host (WHS), а в качестве  языка программирования — VBScript.

Буфер обмена

Получение содержимого буфера обмена испокон веков делается через Internet Explorer. Вот так, например, делают авторы блогов Microsoft TechNet:

Dim objIE
Dim сClipBoard
Set objIE = CreateObject("InternetExplorer.Application")
сClipBoard = objIE.document.parentwindow.clipboardData.GetData("text")
objIE.Quit

Код создает экземпляр объекта IE и через его методы выдёргивает содержимое буфера обмена в переменную сClipBoard. Код не лишен недостатков. Во-первых, он требует наличие IE, во-вторых – появляется дурацкое подтверждение прав доступа страницы к буферу обмена (в IE9+Windows 7, во всяком случае). Да и на создание экземпляра IE уходит приличное время, и скрипт явно «тормозит» Мы пойдем другим путем. Мы создадим экземпляр не IE, а HTA-файла. Он не задает вопросов и работает на порядок быстрее. А код будет почти таким же:

set objHTA=createobject("htmlfile")
cClipBoard=objHTA.parentwindow.clipboarddata.getdata("text")

Отличное решение.

Работа с реестром

Необходимыми методами для работы с реестром снабжен объект WScript.Shell. В частности, нас интересует метод RegWrite. Синтаксис смотрим, опять-таки, на MSDN. В нашем случае мы должны перезаписать значение параметра LastKey в разделе [code]HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionAppletsRegedit[/code] Для этого допишем в скрипт следующее:

Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsRegeditLastKey", сClipBoard, "REG_SZ"

Полагаю, здесь ничего сложного нет.
В итоге скрипт получится таким:

Dim objHTA
Dim cClipBoard
Dim WshShell
set objHTA=createobject("htmlfile")
cClipBoard=objHTA.parentwindow.clipboarddata.getdata("text")
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite "HKCUSoftwareMicrosoftWindowsCurrentVersionAppletsRegeditLastKey", cClipBoard, "REG_SZ"
WshShell.Run "regedit.exe -m"
Set objHTA = nothing
Set WshShell = nothing

Сам редактор реестра запускается командой regedit.exe -m, позволяющей открыть редактор реестра в нескольких экземплярах (подробнее о ключах командной строки редактора реестра можно почитать здесь). Сохраняем код скрипта, предположим, в файл d:regnav.vbs. Осталось создать ярлык на запуск скрипта с командой вида[code]wscript d:regnav.vbs[/code]

Проверка работоспособности

Выделяем вот эту строку:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Нажимаем CTRL+C и запускаем. Не правда ли, удобно? Примечание. Раздел, к которому вы переходите посредством копирования в буфер обмена пути в реестре, должен существовать, в противном случае редактор реестра откроется в корне.

Кроме того, есть и другие способы быстро перейти в раздел реестра.

Приложение Winaero Tweaker

Если вы являетесь пользователем моей программы Winaero Tweaker, начиная с версии 0.8 позволяет открыть ключ реестра одним кликом.

Как только вы откроете эту страницу в Winaero Tweaker, она попытается извлечь путь к ключу реестра из буфера обмена, чтобы сэкономить ваше время. Кроме того, если путь не существует, утилита откроет ближайший существующий раздел по указанному пути.

Например, вы указали

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsExplorer

Ключ Explorer по умолчанию не существует в реестре, поэтому утилита откроет HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows.

Скачать Winaero Tweaker

Программа RegistryOwnershipEx

Ещё одно из моих приложений, RegistryOwnershipEx, тоже позволяет быстро перейти в нужный раздел реестра.

Некоторое время назад я создал утилиту RegOwnershipEx, которая позволяет получить полный доступ к разделу реестра одним кликом. Кроме этого, она позволяет перейти в желаемый раздел реестра. 

Она также может извлечь любой путь реестра из буфера обмена Windows. Если вы запустите программу с аргументом командной строки /j, то есть regownershipex.exe /j, она извлечет путь к ключу реестра из буфера обмена и напрямую откроет редактор реестра в нужном месте.

Скачать RegOwnershipEx

С помощью RegJump

RegJump — отличный инструмент от Windows Sysinternals, который существует очень давно. Он автоматически запускает редактор реестра и переходит по указанному пути реестра. Путь реестра необходимо указать как параметр командной строки для RegJump.

Чтобы редактор реестра открывал ветку HKEY_LOCAL_MACHINE Software Microsoft напрямую, вы должны использовать эту команду:

regjump.exe HKLMSoftwareMicrosoftWindows

RegJump поддерживает опцию командной строки -c, которая указывает программе извлечь путь реестра, хранящийся в буфере обмена. Это позволяет быстро открыть нужный раздел.

Вы можете создать ярлык для запуска приложения с ключом -c, поэтому после копирования пути к ключу реестра просто щелкните созданный ярлык, и это откроет Regedit.exe по нужному ключу.

Помимо Windows 10, RegJump также работает в Windows 7 и Windows 8.

---

Была ли эта информация для вас полезной? Возможно, у вас есть более простое и эффективное решение? Расскажите об этом в комментариях!

💡Узнавайте о новых статьях быстрее. Подпишитесь на наши каналы в Telegram и Twitter.

Реестр Windows – описание, настройка и полезные ветки реестра

Данная статья посвящена такому обширному и очень полезному разделу изучения операционной системы Windows это – системный реестр Windows. Здесь мы с Вами попробуем узнать основы реестра, а также я Вам покажу полезные и прикольные ветки реестра, которые Вам могут пригодиться.

Что такое реестр Windows

Системный реестр – особая база данных в операционной системе Windows, в которой содержатся сведения об установленном оборудовании, программах и их параметрах, а так же информация об учетных записях пользователей операционной системы. Windows постоянно обращается к этой базе. Она необходима для нормальной и связанной работы всех аппаратных частей компьютера и программного обеспечения.
Реестр формируется в процессе установки windows, и в дальнейшем при каждом изменение (даже малом), это изменение вносится в реестр. Реестр сам по себе представляет собой несколько файлов:

которые располагаются обычно вот здесь C:windowssystem32config

Реестр заменяет собой большинство текстовых ini-файлов, которые использовались в Windows 3.x, а также файлы конфигурации MS-DOS (например, Autoexec.bat и Config.sys). В наше время реестр это как бы «сердце» Windows, с помощью реестра можно настроить все что угодно т.к. вы, изменяя вид папки, вносите, сами того не подозревая, изменения в реестр.
Реестр представляет собой иерархическую базу данных, и он состоит из так называемых ветвей:

Разделы и подразделы — это, грубо говоря, папки в левом окне Regedit’а. Ключ реестра, или параметр — это некая переменная, которой присвоено определенное значение, проще говоря — это то, что мы видим в правом окне Regedit’а.
Куст (основной раздел, стандартный раздел, в английской документации — улей, от англ. hive) — это раздел реестра, отображаемый как файл на жестком диске. Куст является набором разделов, подчиненных разделов и параметров и имеет корни на верхнем уровне иерархии реестра.

Обычный пользователь думает что, запуская утилиту REGEDIT он видит реестр, но это не так, он видит редактор реестра, а сам реестр как я уже сказал, выглядит в виде файлов. Запустить редактор реестра можно следующим образом: Пуск->выполнить->regedit также можно использовать альтернативные редакторы реестра, которых в настоящий момент множество.

Все значения ключей реестра относятся к определенному типу данных:

Если вы будете редактировать реестр, то лучше всего сначала сделать копию той ветки (Резервирование и восстановление веток реестра Windows), какую вы собираетесь изменить. А копию можно сделать следующим образом: встаньте на ту ветку и нажмите файл->экспорт и сохраните, а потом в случае чего можно восстановить с помощью импорта.

Полезные ветки реестра

Небольшую теорию теперь Вы знаете, теперь перейдем к практике. Я Вам расскажу основные (важные, на мой взгляд, ну или прикольные:)) ветки реестра и параметры.

Еще раз напоминаю «Делайте копию» при любом изменение!

Источник

Реестр Windows¶

Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем семейства Microsoft Windows [2].

В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].

Открытие реестра¶

Поскольку файлов в реестре несколько, его нельзя открыть, например, в текстовом редакторе и внести какие-либо коррективы. Для работы с ним требуется специальная программа – редактор реестра, который является встроенным компонентом операционной системы Windows и вызывается путем ввода команды Regedit [4].

Существует несколько способов открыть редактор реестра.

Способ №1 – Открытие через утилиту «Выполнить»:

Рис. 1 – Открытие через утилиту «Выполнить»

Способ №2 – Открытие через поиск по меню «Пуск»:

Рис. 2 – Открытие через поиск по меню «Пуск»

С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.

Структура реестра¶

Реестр имеет иерархическую структуру, которая напоминает файловую систему жесткого диска – с его каталогами, подкаталогами и файлами. Но называются элементы реестра по-другому: верхний уровень иерархии составляют разделы, каждый из которых может содержать вложенные подразделы, а также параметры. Именно в параметрах хранится основное содержимое реестра, разделы служат лишь для группировки схожих по назначению параметров [4].

Рис. 3 – Редактор реестра

Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.

HKEY_CURRENT_USER

HKEY_USERS

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.

Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле: HKEY_LOCAL_MACHINESoftwareWOW6432Node

Файлы реестра на жестком диске¶

Еще есть резервные копии файлов реестра, созданные системой, хранятся они в

По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.

Источник

Редактор реестра Windows. Используем правильно.

Во многих публикациях на сайте pc-assistent.ru для решения тех или иных задач я использовал редактор реестра Windows.
В сегодняшней статье я постараюсь вас познакомить по ближе с системным реестром Windows.

Редактор реестра Windows [Общая информация]

С помощью редактора реестра Windows можно поменять различные параметры, настройки системы, оптимизировать её работу, отключить те функции, которыми вы не пользуетесь и многое другое. В этой публикации мы не будем рассматривать отключение, включение, настройку каких либо функций, также и поиск нужных веток и изменение параметров его значений. На это уйдёт очень много страниц. О таких настройках мы будем говорить в отдельных статьях. Сегодня же мы рассмотрим общие вопросы, такие как:

Как видите вопросов много, но и ответов будет столько же 🙂

Системный реестр Windows.

На примере картинки читается так: Раздел HKEY_CLASSES_ROOT имеет параметр По умолчанию, которому значение не присвоено.

Основные разделы (категории, кусты) реестра Windows.

Желательно правильно ориентироваться в основных 5 разделах системного реестра Windows. Поэтому, коротко опишу какой раздел какие настройки хранит.

Место хранения файлов реестра Windows.

Создание и изменение разделов.

Пункт меню «Избранное» в редакторе реестра

С помощью пункта меню «Избранное» можно ускорить доступ к определённой ветке реестра, которой вы часто пользуетесь. Например к веткам автозапуска. Это:

Чтобы добавить их в Избранное, нужно выделить нужную ветку, нажать на пункт меню «Избранное» и далее выбрать пункт «Добавить в избранное. «. Эта ветка теперь будет доступна в пункте меню Избранное. Таким образом можно быстренько добраться до избранного раздела.

Меню Файл ⇒ Загрузить куст.

Пункт меню Файл ⇒ Загрузить куст может понадобиться, когда необходимо перенести ветки реестра с другого компьютера. К примеру такая необходимость может возникнуть при загрузке компьютера с флешки при помощи Live CD. Live CD (англ. «живой» компакт-диск, произносится лайв си-ди́) — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск. Этим же понятием обозначают и носители с такими ОС (иногда различают Live CD «лайв си-ди́», Live DVD «лайв ди-ви-ди́» и Live USB «лайв ю-эс-би́» — в зависимости от носителя).
Источник: Wikipedia
Данная функция используется, когда загрузка системы невозможна.

Пункт «Загрузить куст» доступен только при выборе разделов реестра HKEY_LOCAL_MACHINE и HKEY_USERS.

Функции Экспорт. и Импорт.

С помощью этих функций можно Выгружать ветки с реестра, для последующей их загрузки в реестр на другом компьютере, либо на этом же компьютере спустя некоторое время. При экспорте выгружаются и подразделы. Они выгружаются в формате reg, который является текстовым файлом. Reg-файл можно редактировать любым текстовым редактором.
Для импорта параметров из такого файла достаточно просто дважды кликнуть по нему, либо через меню Файл ⇒ Импорт. Импорт может понадобиться, например, если слетели ассоциации файлов Windows.

Очистка и оптимизация системного реестра.

В сети интернет достаточно популярными стали программы, которые предлагают очистку и оптимизацию реестра. Мой выбор пал на программу Wise register cleaner, о которой писал в статье Очистка компьютера от мусора и оптимизация системы.
Данная программа позволяет оптимизировать системный реестр путём дефрагментации. Про дефрагментацию подробно писал тут.
Что касается очистки реестра, то не имеет смысла выполнять её для профилактики. Её стоит выполнять лишь для удаления записей вредоносных программ, а также для очистки от следов удалённых программ.

Источник

Windows реестра для продвинутых пользователей

В этой статье описывается Windows реестр и содержится информация о том, как изменить и создать его обратно.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 256986

Описание реестра

Словарь microsoft Computer Dictionary( Пятое издание) определяет реестр как:

Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000 г., используется для хранения сведений, необходимых для настройки системы для одного или более пользователей, приложений и аппаратных устройств.

Реестр содержит сведения, Windows постоянно ссылаются во время работы, такие как профили для каждого пользователя, установленные на компьютере приложения и типы документов, которые каждый может создать, параметры листов свойств для папок и значков приложений, оборудование, которое существует в системе, и используемые порты.

Ульй реестра	Поддержка файлов
HKEY_LOCAL_MACHINESAM	Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINESecurity	Безопасность, Security.log, Security.sav
HKEY_LOCAL_MACHINESoftware	Программное обеспечение, Software.log, Software.sav
HKEY_LOCAL_MACHINESystem	System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG	System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERSDEFAULT	Default, Default.log, Default.sav

В Windows 98 файлы реестра называются User.dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.

Функции безопасности Windows доступ администратора к клавишам реестра.

В следующей таблице перечислены предопределяные ключи, используемые системой. Максимальный размер имени ключа — 255 символов.

В следующей таблице перечислены типы данных, которые в настоящее время определены и используются Windows. Максимальный размер имени значения:

Длинные значения (более 2048 bytes) должны храниться в качестве файлов с именами файлов, хранимыми в реестре. Это помогает реестру работать эффективно. Максимальный размер значения:

Существует ограничение в 64K для общего размера всех значений ключа.

Имя	Тип данных	Описание
Двоичное значение	REG_BINARY	Необработанные двоичные данные. Большинство сведений о компонентах оборудования хранятся в виде двоичных данных и отображаются в редакторе реестра в гексадецимальной форме.
Значение DWORD	REG_DWORD	Данные представляются числом длиной 4 bytes (32-bit integer). Многие параметры для драйверов и служб устройств являются этим типом и отображаются в редакторе реестра в двоичном, hexadecimal или десятичном формате. Соответствующие значения DWORD_LITTLE_ENDIAN (наименее значительный byte находится на самом низком адресе) и REG_DWORD_BIG_ENDIAN (наименее значительный byte находится на самом высоком адресе).
Расширяемое значение строки	REG_EXPAND_SZ	Строка данных переменной длины. Этот тип данных включает переменные, которые решаются при помощи данных программы или службы.
Многострочный параметр	REG_MULTI_SZ	Несколько строк. Значения, содержащие списки или несколько значений в форме, которую люди могут прочитать, обычно являются этим типом. Записи разделены пробелами, запятой или другими метками.
Значение строки	REG_SZ	Текстовая строка фиксированной длины.
Двоичное значение	REG_RESOURCE_LIST	Серия вложенных массивов, предназначенных для хранения списка ресурсов, который используется драйвером аппаратного устройства или одним из физических устройств, которые он контролирует. Эти данные обнаруживаются и пишутся в дереве ResourceMap системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение.
Двоичное значение	REG_RESOURCE_REQUIREMENTS_LIST	Серия вложенных массивов, предназначенных для хранения списка возможных аппаратных ресурсов драйвера или одного из физических устройств, которые он контролирует. Система записывает подмножество этого списка в дереве ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение.
Двоичное значение	REG_FULL_RESOURCE_DESCRIPTOR	Серия вложенных массивов, предназначенных для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и пишутся в дереве HardwareDescription системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение.
Нет	REG_NONE	Данные без определенного типа. Эти данные записаны в реестр системой или приложениями и отображаются в редакторе реестра в hexadecimal формате как двоичное значение
Ссылка	REG_LINK	Строка Unicode, именуемая символической ссылкой.
Значение QWORD	REG_QWORD	Данные, представленные числом, которое представляет собой 64-битный набор. Эти данные отображаются в редакторе реестра как двоичное значение и были представлены Windows 2000 году.

Back up the registry

Перед изменением реестра экспортируйте ключи из реестра, который планируется изменить, или закапируйте весь реестр. Если возникает проблема, вы можете следовать шагам в разделе Восстановление реестра, чтобы восстановить реестр в прежнем состоянии. Чтобы создать резервную копию всего реестра, используйте утилиту Резервное копирование для резервного копирования состояния системы. Состояние системы включает реестр, базу данных регистрации класса COM+ и файлы загрузки. Дополнительные сведения об использовании утилиты Резервного копирования для резервного копирования состояния системы см. в следующих статьях:

Изменение реестра

Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в функциях реестра.

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или запуска сценариев, таких как файлы скриптов VisualBasic.

Использование пользовательского Windows интерфейса

Рекомендуется использовать интерфейс Windows для изменения параметров системы, а не вручную изменять реестр. Однако редактирование реестра иногда может быть оптимальным методом для решения проблемы продукта. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошагированными инструкциями по редактированию реестра для этой проблемы. Мы рекомендуем выполнять эти инструкции точно.

Использование редактора реестра

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Вы можете использовать редактор реестра для следующих действий:

Область навигации редактора реестра отображает папки. Каждая папка представляет предопределяемую клавишу на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределённых ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использование групповой политики

На консоли управления Майкрософт (MMC) размещены административные средства, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, применяемые к компьютерам или пользователям. Групповую политику можно реализовать на локальных компьютерах с помощью локальной оснастки MMC групповой политики Gpedit.msc. Можно реализовать групповую политику в Active Directory с помощью оснастки пользователей и компьютеров Active Directory MMC. Дополнительные сведения об использовании групповой политики см. в разделе Справка в соответствующей оснастке MMC групповой политики.

Использование файла Записи регистрации (.reg)

Использование Windows скрипта

Хост Windows скриптов позволяет запускать VBScript и JScript непосредственно в операционной системе. Вы можете создать VBScript и JScript, которые используют Windows для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах можно получить на следующих веб-сайтах Майкрософт:

Использование Windows инструментов управления

Windows Инструментарий управления (WMI) является компонентом операционной системы Microsoft Windows и является microsoft реализация Web-Based Enterprise управления (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии для доступа к сведениям об управлении в корпоративной среде. С помощью WMI можно автоматизировать административные задачи (например, редактирование реестра) в корпоративной среде. WMI можно использовать в языках скриптов, на Windows которые обрабатывают объекты Microsoft ActiveX. Вы также можете использовать утилиту WMI Command-Line (Wmic.exe) для изменения Windows реестра.

Дополнительные сведения о утилите WMI Command-Line см. в описании утилиты командной строки управления Windows (WMI) (Wmic.exe).

Используйте средство реестра консоли для Windows

Для редактирования реестра можно использовать средство реестра консоли Windows (Reg.exe). Для получения помощи с Reg.exe введите в reg /? командной подсказке, а затем нажмите кнопку ОК.

Восстановление реестра

Чтобы восстановить реестр, используйте соответствующий метод.

Метод 1. Восстановление ключей реестра

Чтобы восстановить подкайки реестра, которые вы экспортировали, дважды щелкните файл Registration Entries (.reg), сохраненный в разделе Subkeys реестра экспорта. Или можно восстановить весь реестр из резервного копирования. Дополнительные сведения о восстановлении всего реестра см. в разделе Method 2: Restore the whole registry section later in this article.

Метод 2. Восстановление всего реестра

Чтобы восстановить весь реестр, восстановим состояние системы из резервного копирования. Дополнительные сведения о восстановлении состояния системы из резервного копирования см. в материалах Как использовать резервное копирование для защиты данных и восстановления файлов и папок на компьютере в Windows XP и Windows Vista.

При копировании состояния системы также создаются обновленные копии файлов реестра в %SystemRoot%Repair папке.

Ссылки

Дополнительные сведения можно получить на следующих веб-сайтах:

Каталог Windows серверов тестовых продуктов — это ссылка на продукты, протестированные на совместимость Windows Server.

Data Protection Manager (DPM) является ключевым членом семейства продуктов microsoft System Center управления и предназначена для того, чтобы помочь ИТ-специалистам управлять своей Windows средой. DPM — это новый стандарт для Windows резервного копирования и восстановления и обеспечивает непрерывную защиту данных для приложений и файлового сервера Майкрософт, которые используют бесшовно интегрированные дисковые и ленточные носитли. Дополнительные сведения о том, как создать реестр и восстановить его, см. в дополнительных сведениях о том, как создать и восстановить реестр в Windows XP и Windows Vista.

Источник

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Анализ реестра Windows

Оглавление

Что такое реестр Windows?

Реестр Windows — это иерархическая база данных, которая содержит все конфигурации и настройки, используемые компонентами, службами, приложениями и почти всем в Windows.

В реестре есть две основные концепции, о которых нужно знать: ключи и значения. «Ключи реестра» — это объекты, которые в основном являются папками и даже выглядят в интерфейсе Редактора реестра точно так же как папки. «Значения реестра» немного похожи на файлы в папках, и они содержат фактические настройки.

Когда вы открываете редактор реестра в первый раз, вы увидите древовидную структуру на левой панели, которая содержит все ключи со значениями в правой части. В целом это напоминает файловый менеджер с вложенными папками и подпапками, в некоторых из которых размещены файлы.

В первую очередь обратим внимание на ключи корневого уровня, которые вы видите в левой части снимка экрана, поскольку в них содержатся все данные. В каждом из них хранится разный набор информации, поэтому в зависимости от того, что вы пытаетесь сделать, вам нужно будет знать, в какой раздел перейти.

Иерархическая структура реестра

Структура реестра похожа на структуру хранилища файлов.

Таблица «Терминология реестра»

Реестр	Другие деревья	Файловое хранилище
Куст (Hive)	Дерево	Файловая система
Ключ	Узел	Директория или папка
Подключ	Подузел	Поддиректория или подпапка
Значение	Ключ	Файл
Тип	Тип	Тип файла
Данные	Значение	Содержимое файла

Обратите внимание, что ключ может содержать подразделы или значения. Подраздел может иметь другой подраздел, поэтому ключ и подраздел обычно взаимозаменяемы так же, как каталог и подкаталог или папка и подпапка. Ключ без значения может хранить данные в так называемом значении по умолчанию.

Что такое куст или улей реестра (hive)?

В литературе, особенно посвящённой программам по анализу реестра, часто используются выражения «куст реестра» или «улей реестра», в английском языке это обозначается словом hive.

Говоря о программах для анализа реестра, под выражением «куст реестра» обычно понимается один из файлов SOFTWARE, SAM, SECURITY, SYSTEM и так далее. То есть кустом реестра является файл, в котором хранятся ключи корневого уровня или ключи корневого уровня.

В контексте «Редактора реестра» под кустом реестра может пониматься иерархическая часть реестра, необязательно расположенная в отдельном файле.

HKEY_CLASSES_ROOT

HKEY_CLASSES_ROOT, часто сокращённо HKCR, представляет собой куст реестра в реестре Windows и содержит информацию об ассоциации расширения файла, а также данные программного идентификатора (ProgID), идентификатора класса (CLSID) и идентификатора интерфейса (IID). Этот ключ на самом деле просто ссылка на HKLMSoftwareClasses.

Проще говоря, куст реестра HKEY_CLASSES_ROOT содержит необходимую информацию, чтобы Windows знала, что делать, когда вы просите её сделать что-то, например, просмотреть содержимое диска или открыть файл определённого типа и т. д.

Вы также можете использовать этот раздел, если хотите настроить контекстное меню для определённого типа файла.

Подразделы реестра в HKEY_CLASSES_ROOT

Список ключей реестра в кусте HKEY_CLASSES_ROOT очень длинный и столь же запутанный. Мы не можем объяснить каждый из тысяч ключей, которые вы можете увидеть там, но мы можем разбить его на несколько управляемых частей, которые, надеюсь, немного прояснят эту часть реестра.

Вот некоторые из многих ключей ассоциации расширений файлов, которые вы найдёте в кусте HKEY_CLASSES_ROOT, большинство из которых начинаются с точки:

Каждый из этих разделов реестра хранит информацию о том, что Windows должна делать при двойном щелчке или двойном касании файла с этим расширением. Он может включать в себя список программ, которые можно найти в разделе «Открыть с помощью…» при щелчке/касании файла правой кнопкой мыши, а также путь к каждому из перечисленных приложений.

Например, на вашем компьютере, когда вы открываете файл с именем draft.rtf, этот файл может открываться с помощью программы WordPad. Данные реестра, которые отвечают за это, хранятся в ключе HKEY_CLASSES_ROOT.rtf, который определяет WordPad как программу, которая должна открывать файл RTF.

HKCR и CLSID, ProgID и IID

Остальные ключи в HKEY_CLASSES_ROOT — это ключи ProgID, CLSID и IID. Вот несколько примеров каждого из них:

Ключи ProgID расположены в корне HKEY_CLASSES_ROOT вместе с описанными выше ассоциациями расширений файлов:

Все ключи CLSID находятся в подразделе CLSID:

Все ключи IID расположены в подразделе Интерфейс:

Для чего нужны ключи ProgID, CLSID и IID, связано с некоторыми очень техническими аспектами компьютерного программирования и выходит за рамки этого обсуждения. Однако вы можете узнать больше обо всех трёх здесь, здесь и здесь соответственно.

Подробнее о HKEY_CLASSES_ROOT

Хотя вы можете редактировать и полностью удалять любой подраздел внутри куста HKEY_CLASSES_ROOT, сама корневая папка, как и все кусты в реестре, не может быть переименована или удалена.

HKEY_CLASSES_ROOT — это глобальный куст, что означает, что он может содержать информацию, которая применяется ко всем пользователям на компьютере и доступна для просмотра каждому пользователю. Это отличается от некоторых ульев, в которых есть информация, которая относится только к пользователю, выполнившему вход в систему.

Однако, поскольку куст HKEY_CLASSES_ROOT на самом деле представляет собой объединённые данные, обнаруженные как в кусте HKEY_LOCAL_MACHINE (HKEY_LOCAL_MACHINESoftwareClasses), так и в кусте HKEY_CURRENT_USER (HKEY_CURRENT_USERSoftwareClasses), он также содержит информацию, специфичную для пользователя. Несмотря на то, что это так, HKEY_CLASSES_ROOT по-прежнему может просматривать любой пользователь.

Это, конечно, означает, что когда новый ключ реестра создаётся в кусте HKEY_CLASSES_ROOT, тот же самый ключ появится в HKEY_LOCAL_MACHINESoftwareClasses, а когда один из них будет удалён, тот же ключ будет удалён из другого места.

Если ключ реестра находится в обоих местах, но каким-то образом конфликтует, данные, найденные в кусте пользователя, выполнившего вход, HKEY_CURRENT_USERSoftwareClasses, имеют приоритет и используются в HKEY_CLASSES_ROOT.

HKEY_CURRENT_USER

HKEY_CURRENT_USER содержит информацию о конфигурации для Windows и программного обеспечения, специфичного для текущего пользователя, вошедшего в систему.

Например, различные значения реестра в различных разделах реестра, расположенных в кусте HKEY_CURRENT_USER, управляют параметрами пользовательского уровня, такими как установленные принтеры, обои рабочего стола, параметры отображения, переменные среды, раскладка клавиатуры, подключённые сетевые диски и многое другое.

Многие из параметров, которые вы настраиваете в различных апплетах на панели управления, фактически хранятся в кусте реестра HKEY_CURRENT_USER.

Подразделы реестра в HKEY_CURRENT_USER

Вот некоторые общие ключи реестра, которые вы можете найти в кусте HKEY_CURRENT_USER:

Ключи реестра, расположенные в кусте HKEY_CURRENT_USER на вашем компьютере, могут отличаться от приведённого выше списка. Версия Windows, которую вы используете, и установленное вами программное обеспечение определяют, какие ключи могут там присутствовать.

Поскольку куст HKEY_CURRENT_USER зависит от пользователя, ключи и значения, содержащиеся в нем, будут отличаться от пользователя к пользователю даже на одном компьютере. В этом отличие от большинства других глобальных кустов реестра, таких как HKEY_CLASSES_ROOT, которые сохраняют одинаковую информацию для всех пользователей Windows.

Примеры HKCU

Ниже приводится некоторая информация о нескольких примерах ключей, найденных в кусте HKEY_CURRENT_USER:

Здесь можно найти ярлыки, звуки и описания для различных функций в Windows и сторонних приложениях, таких как звуковые сигналы факса, завершённые задачи iTunes, сигнал низкого заряда батареи, звуковые сигналы почты и т. д.

В разделе Control PanelKeyboard находятся несколько параметров клавиатуры, такие как параметры задержки клавиатуры и скорости клавиатуры, оба из которых контролируются с помощью параметров задержки повторения и частоты повторения в апплете панели управления клавиатурой.

Mouse applet — ещё один, настройки которого хранятся в HKEY_CURRENT_USERControl PanelMouse key. Некоторые параметры включают DoubleClickHeight, ExtendedSounds, MouseSensitivity, MouseSpeed, MouseTrails и SwapMouseButtons.

Ещё один раздел панели управления предназначен исключительно для курсора мыши, он находится в разделе «Cursors». Здесь хранятся имя и физическое расположение файлов курсоров по умолчанию и пользовательских курсоров. Windows использует файлы неподвижных и анимированных курсоров с расширениями файлов CUR и ANI соответственно, поэтому большинство файлов курсоров, найденных здесь, указывают на файлы этих типов в папке %SystemRoot%cursors.

То же самое верно и для клавиши рабочего стола панели управления HKCU, которая определяет множество параметров рабочего стола в таких значениях, как WallpaperStyle, который описывает, следует ли центрировать обои или растягивать их по дисплею. Другие в том же месте включают CursorBlinkRate, ScreenSaveActive, ScreenSaveTimeOut и MenuShowDelay.

Ключ Environment — это то место, где находятся переменные среды, такие как PATH и TEMP. Изменения можно внести здесь или через проводник Windows, и они будут отражены в обоих местах.

В этом разделе реестра перечислено множество записей программного обеспечения для конкретных пользователей. Одним из примеров является расположение программы веб-браузера Firefox. В этом подразделе находится значение PathToExe, объясняющее, где находится firefox.exe в папке установки:

Подробнее о HKEY_CURRENT_USER

Улей HKEY_CURRENT_USER на самом деле является просто указателем на ключ, расположенный под кустом HKEY_USERS, который назван так же, как ваш идентификатор безопасности. Вы можете вносить изменения в любом месте, так как они одинаковы.

Причина, по которой HKEY_CURRENT_USER существует, учитывая, что это просто ориентир для другого улья, заключается в том, что он обеспечивает более простой способ просмотра информации. Альтернативный вариант — найти идентификатор безопасности вашей учётной записи и перейти в эту область в кусте HKEY_USERS.

Опять же, всё, что видно в HKEY_CURRENT_USER, относится только к пользователю, который в данный момент вошёл в систему, а не к другим пользователям, существующим на компьютере. Это означает, что каждый пользователь, который входит в систему, будет извлекать свою собственную информацию из соответствующего куста HKEY_USERS, что, в свою очередь, означает, что HKEY_CURRENT_USER будет отличаться для каждого пользователя, который его просматривает.

Из-за того, как это настроено, вы можете просто перейти к идентификатору безопасности другого пользователя в HKEY_USERS, чтобы увидеть всё, что они увидят в HKEY_CURRENT_USER, когда войдут в систему.

HKEY_LOCAL_MACHINE

Здесь хранятся все общесистемные настройки, и обычно он обозначается аббревиатурой HKLM. В основном вы будете использовать ключ HKLMSoftware для проверки общесистемных настроек.

HKEY_LOCAL_MACHINE, часто сокращённо пишется как HKLM, является одним из нескольких кустов реестра, составляющих реестр Windows. Этот конкретный куст содержит большую часть информации о конфигурации установленного вами программного обеспечения, а также самой операционной системы Windows.

Помимо данных о конфигурации программного обеспечения, куст HKEY_LOCAL_MACHINE также содержит много ценной информации об обнаруженном оборудовании и драйверах устройств.

В Windows 10, Windows 8, Windows 7 и Windows Vista информация о конфигурации загрузки вашего компьютера также включена в этот куст.

Подразделы реестра в HKEY_LOCAL_MACHINE

Следующие разделы реестра находятся в кусте HKEY_LOCAL_MACHINE:

Ключи, расположенные в разделе HKEY_LOCAL_MACHINE на вашем компьютере, могут несколько отличаться в зависимости от вашей версии Windows и конкретной конфигурации вашего компьютера. Например, более новые версии Windows не включают ключ HKEY_LOCAL_MACHINECOMPONENTS.

Подраздел HARDWARE содержит данные, относящиеся к BIOS, процессорам и другим аппаратным устройствам. Например, в HARDWARE находится DESCRIPTION > System > BIOS, где вы найдёте текущую версию BIOS и информацию о производителе материнской платы.

Раздел SOFTWARE является наиболее часто используемым из кустов HKLM. Он организован в алфавитном порядке по поставщикам программного обеспечения, и именно здесь каждая программа записывает данные в реестр, чтобы при следующем открытии приложения его конкретные настройки можно было применить автоматически, чтобы вам не приходилось перенастраивать программу каждый раз, когда она используется. Это также полезно при поиске SID пользователя.

Подраздел SOFTWARE также содержит подраздел Windows, который описывает различные детали пользовательского интерфейса операционной системы, подраздел Classes, детализирующий, какие программы связаны с какими расширениями файлов, и другие.

HKLMSOFTWAREWow6432Node встречается в 64-битных версиях Windows, но используется 32-битными приложениями. Это эквивалент HKLMSOFTWARE, но не совсем то же самое, поскольку он выделен с единственной целью предоставления информации 32-битным приложениям в 64-битной ОС. WoW64 показывает этот ключ 32-битным приложениям как «HKLMSOFTWARE».

Скрытые подразделы в HKLM

В большинстве конфигураций следующие подразделы являются скрытыми ключами, поэтому их нельзя просматривать, как другие разделы куста реестра HKLM:

В большинстве случаев эти ключи выглядят пустыми, когда вы их открываете, и/или содержат пустые подключи.

Подраздел SAM относится к информации о базах данных Security Accounts Manager (SAM) для доменов. В каждой базе данных есть псевдонимы групп, пользователи, гостевые учётные записи и учётные записи администраторов, а также имя, используемое для входа в домен, криптографические хэши пароля каждого пользователя и многое другое.

Подраздел SECURITY используется для хранения политики безопасности текущего пользователя. Он связан с базой данных безопасности домена, в котором пользователь вошёл в систему, или с кустом реестра на локальном компьютере, если пользователь вошёл в домен локальной системы.

Чтобы увидеть содержимое ключа SAM или SECURITY, редактор реестра должен быть открыт с использованием системной учётной записи, которая имеет более широкие права, чем любой другой пользователь, даже пользователь с правами администратора. Как это сделать, будет показано ниже.

После открытия редактора реестра с соответствующими разрешениями ключи HKEY_LOCAL_MACHINESAM и HKEY_LOCAL_MACHINESECURITY могут быть исследованы, как и любой другой ключ в кусте.

Некоторые бесплатные служебные программы, такие как PsExec от Microsoft, могут открывать редактор реестра с соответствующими разрешениями для просмотра этих скрытых ключей.

Подробнее о HKEY_LOCAL_MACHINE

Может быть интересно узнать, что HKEY_LOCAL_MACHINE на самом деле нигде на компьютере не существует, а вместо этого является просто контейнером для отображения фактических данных реестра, загружаемых через подключи, расположенные в кустах, перечисленных выше.

Другими словами, HKEY_LOCAL_MACHINE действует как ярлык для ряда других источников данных о вашем компьютере.

Из-за того, что HKEY_LOCAL_MACHINE не существует, ни вы, ни какая-либо установленная вами программа не может создавать дополнительные ключи в HKEY_LOCAL_MACHINE.

Улей HKEY_LOCAL_MACHINE является глобальным, что означает, что он один и тот же независимо от того, какой пользователь на компьютере просматривает его, в отличие от куста реестра, такого как HKEY_CURRENT_USER, который является специфическим для каждого пользователя, просматривающего его во время входа в систему.

Хотя HKEY_LOCAL_MACHINE часто пишется как HKLM, это не совсем «официальная» аббревиатура. Это важно знать, потому что некоторые программы в некоторых случаях, даже инструменты, доступные непосредственно от Microsoft, не позволяют сокращать имя куста в путях реестра таким образом. Если вы получаете сообщение об ошибке при использовании «HKLM», используйте вместо него полный путь и посмотрите, исправит ли это вашу проблему.

HKEY_USERS

Сохраняет все настройки для всех пользователей системы. Для доступа к своим настройкам, вы обычно используете HKCU, но если вам нужно проверить настройки для другого пользователя на вашем компьютере, вы можете использовать этот раздел.

HKEY_USERS, иногда называемый HKU, является одним из многих кустов реестра в реестре Windows.

Он содержит пользовательскую информацию о конфигурации для всех в настоящее время активных пользователей на компьютере. Это означает, что пользователи, вошедшие в систему в данный момент (вы) и любые другие пользователи, которые также вошли в систему, но находятся в состоянии «переключение пользователей».

Каждый раздел реестра, расположенный в кусте HKEY_USERS, соответствует пользователю в системе и назван с идентификатором безопасности этого пользователя или SID. Разделы реестра и значения реестра, расположенные под каждым параметром управления SID, относящимся к данному пользователю, например подключённые диски, установленные принтеры, переменные среды, фон рабочего стола и многое другое, загружаются при первом входе пользователя в систему.

Подразделы реестра в HKEY_USERS

Вот пример того, что вы можете найти под этим ульем:

Идентификаторы безопасности, которые вы видите здесь, безусловно, будут отличаться от списка, который мы включили выше.

Подробнее о HKEY_USERS и SID

Улей HKEY_CURRENT_USER действует как своего рода ярлык для подраздела HKEY_USERS, соответствующего вашему SID.

Другими словами, когда вы вносите изменения в HKEY_CURRENT_USER, вы вносите изменения в ключи и значения под ключом в HKEY_USERS, который назван так же, как ваш SID.

Например, если ваш SID следующий:

… HKEY_CURRENT_USER укажет на это:

Редактировать можно в любом месте, поскольку они являются одним и тем же.

Как найти идентификатор безопасности пользователя (SID) в Windows

Если вы хотите изменить данные реестра для пользователя, чей SID не отображается в HKEY_USERS, вы можете либо войти в систему как этот пользователь, и внести изменения, либо загрузить куст реестра этого пользователя вручную. Смотрите раздел ниже «Как загрузить куст реестра», если вам нужна помощь.

Помните, что, поскольку они одинаковы, если вы редактируете свои собственные настройки (настройки для пользователя, под которым вы в настоящее время вошли в систему), гораздо проще просто открыть HKEY_CURRENT_USER, чем определить свой собственный SID и затем вносить изменения в HKEY_USERS. Использование HKEY_USERS для доступа к папке SID для пользователя обычно полезно только в том случае, если вам нужно изменить значения реестра для пользователя, который в настоящее время не вошёл в систему.

Подключ HKEY_USERS.DEFAULT в точности совпадает с подразделом HKEY_USERSS-1-5-18. Любые изменения, внесённые в один, автоматически и мгновенно отражаются в другом, точно так же, как подключ SID текущего пользователя в HKEY_USERS идентичен значениям, найденным в HKEY_CURRENT_USER.

Также важно знать, что HKEY_USERS.DEFAULT используется учётной записью LocalSystem, а не учётной записью обычного пользователя. Часто ошибочно принимают этот ключ за тот, который можно отредактировать, чтобы его изменения применялись ко всем пользователям, учитывая, что он называется «по умолчанию» (DEFAULT), но это не так.

Два других подраздела HKEY_USERS в реестре Windows, которые используются системными учётными записями, включают S-1-5-19, который предназначен для учётной записи LocalService, и S-1-5-20, который используется учётной записью NetworkService.

HKEY_CURRENT_CONFIG

Хранит всю информацию о текущей конфигурации оборудования. Он используется не очень часто, и это просто ссылка на HKLMSYSTEMCurrentControlSetHardware ProfilesCurrent.

HKEY_CURRENT_CONFIG, иногда сокращенно HKCC, представляет собой куст реестра, который является частью реестра Windows. Сам он не хранит никакой информации, а вместо этого действует как указатель или ярлык для раздела реестра, в котором хранится информация об используемом в данный момент профиле оборудования.

HKEY_CURRENT_CONFIG — это ярлык для улья HKEY_LOCAL_MACHINE. В частности, в раздел реестра SYSTEMCurrentControlSetHardware ProfilesCurrent этого куста. Именно там информация действительно хранится — HKEY_CURRENT_CONFIG просто предоставляет быстрый способ добраться туда.

Следовательно, HKEY_CURRENT_CONFIG действительно существует просто для удобства. Легче получить доступ к данным в другом разделе реестра — просмотреть и изменить его, просто перейдя в HKEY_CURRENT_CONFIG. Поскольку они содержат одинаковую информацию и всегда связаны друг с другом, вы можете вносить изменения в любом месте, чтобы получить одинаковые результаты.

Подразделы реестра в HKEY_CURRENT_CONFIG

Два ключа реестра, которые вы найдёте в кусте HKEY_CURRENT_CONFIG:

Подробнее о HKEY_CURRENT_CONFIG

Как мы уже говорили выше, HKEY_CURRENT_CONFIG реплицирует всё, что находится в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrent. Это означает, что если вы измените что-либо в первом разделе реестра, это будет отражено во втором, и наоборот.

Например, если вы добавляете, редактируете, удаляете или переименовываете что-либо в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware ProfilesCurrentSoftware, а затем выйдите из редактора реестра и повторно откройте его (или обновите его с помощью клавиши F5), вы увидите что изменение произошло немедленно в ключе the HKEY_CURRENT_CONFIGSoftware.

Вы можете заметить, что внутри HKLMSYSTEMCurrentControlSetHardware Profiles есть несколько ключей реестра. Это потому, что этот раздел реестра используется для хранения всех профилей оборудования для всего компьютера. Причина, по которой вы видите только один профиль оборудования в ключе HKEY_CURRENT_CONFIG, заключается в том, что он указывает только на один из этих профилей оборудования, в частности, на тот, который относится к пользователю, который в данный момент вошёл в систему.

В некоторых версиях Windows вы можете создать дополнительные профили оборудования, щёлкнув ссылку «Система» на панели управления. Щёлкните или коснитесь вкладки «Оборудование», а затем «Профили оборудования».

Где реестр хранится на диске?

Файлы реестра хранятся в нескольких местах.

Вы можете найти большинство из них в папке C:WindowsSystem32config.

Видите эти файлы SAM, SECURITY, SOFTWARE и SYSTEM? Они соответствуют тем же ключам в папке HKEY_LOCAL_MACHINE.

Данные для ветви HKEY_CURRENT_USER хранятся в вашей пользовательской папке в скрытом файле NTUSER.DAT. Этот файл свой у каждого пользователя операционной системы, то есть на одном компьютере таких файлов может быть много.

В следующей таблице перечислены все каталоги Windows, в которых можно найти файлы данных реестра. Эти файлы фактически являются снимками большинства, но не всех кустов реестра. В таблице 3 приведены основные расположения файлов. Если вы посмотрите на свой диск, вы увидите, что в каждом из этих каталогов есть дополнительные подкаталоги.

Универсальное обозначение расположения файла	Пример расположения файла	Имя файла	Описание
%UserProfile%	C:UsersИМЯ ПОЛЬЗОВАТЕЛЯ	NTUser.dat	Конфигурация профиля пользователя
%SystemRoot%System32Config	C:WindowsSystem32Config	Components Default SAM Security Software System	Конфигурация системы
NTUser.dat	Конфигурации профиля пользователя, используемые Windows
%SystemDrive%Boot или %SystemDrive%EFIMicrosoftBoot	C:Boot или C:EFIMicrosoftBoot	BCD	Данные конфигурации загрузки
%UserProfile% %SystemRoot%System32Config %SystemRoot%System32ConfigTxr и т.д.	C:UsersUsername C:WindowsSystem32Config C:WindowsSystem32ConfigTxr и т.д.	Файлы реестра транзакций можно найти в основных папках куста реестра.

Есть несколько типов файлов реестра

Первичные файлы реестра обычно не имеют расширения (за исключением NTUser.dat), но есть и другие файлы. Они прикрепляют расширение ко всему имени файла, включая исходное расширение. Таблица 4 показывает большинство из этих типов файлов.

1 Начиная с Vista, Transactional Registry (TxR) выполняет обновления транзакций, которыми управляет Transaction Manager (TM) режима ядра Windows. Это обеспечивает атомарные транзакции, при которых все обновления выполняются вместе или не выполняются вовсе. Диспетчер транзакций использует общую файловую систему ведения журнала и хранит файлы реестра в папке %SystemRoot%System32Config (например, C:WindowsSystem32Config) и во вложенной папке Txr, а также в других папках реестра.

Создание новых ключей и значений

Щелчок правой кнопкой мыши по любой клавише в левой части окна предоставит вам набор параметров, большинство из которых довольно просты и легки для понимания.

Вы можете создать новый ключ, который будет отображаться как папка с левой стороны, или новое значение, которое будет отображаться с правой стороны. Эти значения могут немного сбивать с толку, но на самом деле есть только пара значений, которые используются регулярно.

Меню избранного

Одна из действительно полезных функций, которую, кажется, никто не замечает, — это меню «Избранное», которое отлично подходит, если вы хотите регулярно проверять место в реестре. Что действительно забавно, так это то, что вы можете экспортировать список избранного и использовать его снова на другом компьютере, без необходимости настраивать на новой машине заново. То есть вы можете перенести список избранного с самыми востребованными местами реестра на любую систему.

Это также отличный способ добавить что-нибудь в реестр, если вы просматриваете несколько мест, чтобы вы могли легко вернуться к тому месту, где вы были в последний раз.

Экспорт файлов реестра

Вы можете экспортировать разделы реестра и все значения, содержащиеся под ними, щёлкнув правой кнопкой мыши раздел и выбрав «Экспортировать». Это действительно важно, если вы собираетесь вносить изменения в свою систему.

После того, как вы получили экспортированный файл реестра, вы можете дважды щёлкнуть по нему, чтобы ввести информацию обратно в реестр, или вы можете выбрать «Изменить», чтобы просмотреть содержимое в Блокноте.

Формат файла для реестра довольно прост — слева имена значений, а справа фактические значения.

Установка разрешений

Некоторые ключи реестра не позволяют вносить изменения по умолчанию. Обычно это происходит потому, что у вас нет разрешений на эти ключи, но вы можете настроить схему разрешений, если хотите, щёлкнув правой кнопкой мыши ключ и выбрав Разрешения, а затем изменив их оттуда.

Следует отметить, что это не очень хорошая идея, и обычно вам следует держаться подальше от редактирования разделов и ключей, на которые по умолчанию у вас нет прав.

Загрузка кустов реестра

Вы можете использовать функцию Файл → Загрузить куст для загрузки реестра из автономной системы. Возможно, вы устраняете неполадки на другом компьютере и хотите узнать, что происходит в реестре системы, которая не загружается. Итак, вы загружаете систему с аварийного диска или, может быть, с Live CD с Linux, а затем копируете файлы реестра на свой флэш-накопитель.

Теперь вы можете открыть их на другом компьютере и осмотреться, используя опцию Загрузить куст.

Как получить доступ к закрытым частям реестра SAM и SECURITY

Как уже было сказано, разделы реестра

не показываются в программе «Редактор реестра»:

Чтобы их увидеть необходимо открыть программу regedit с правами уровня аккаунта System. Дело в том, что права Администратора не являются самыми высокими в Windows. Наивысшие права у System.

Открыть любую программу с правами System можно с помощью утилиты PsExec. Эта утилита входит в PSTools от SysInternals. Если коротко, это официальная утилита Microsoft. Подробности и ссылку на скачивания вы найдёте в статье «Что такое инструменты SysInternals и как их использовать?».

После того как скачали и распаковали архив PSTools, необходимо в командной строке перейти в папку с программой. Помните, что запустить программу с правами аккаунта System можно только если командная строка открыта с правами администратора! Для этого нажмите Win+x и выберите «Windows PowerShell (администратор)».

С помощью cd перейдите в папку с распакованными утилитами SysInternals, например:

Теперь запустите программу PsExec с ключами -s и -i:

В результате вы сможете увидеть и отредактировать содержимое кустов реестра HKEY_LOCAL_MACHINESAM и HKEY_LOCAL_MACHINESECURITY. Помните, что редактирование данных кустов может привести к полной неработоспособности системы, в результате чего она не будет загружаться!

Утилита REG

Утилита REG — это встроенная программа Windows, которая позволяет выполнять различные действия с реестром, в том числе сохранять в файл кусты реестра или их части, добавлять, удалять значения, делать запрос к реестру, копировать и прочее.

Рассмотрим возможности REG более подробно.

Среди операций могут быть:

REG SAVE — сохранение куста реестра в файл

Пример. Сохранение куста MyApp в файл AppBkUp.hiv текущей папки:

REG QUER — отображение значения параметра реестра

Отображение значения параметра реестра Version:

Отображение всех подразделов и их параметров в разделе реестра Setup удаленного компьютера ABC:

Отображение всех подразделов и параметров со знаком «#» в качестве разделителя для всех параметров типа REG_MULTI_SZ:

Отображение раздела, параметра и данных с учетом реестра букв для точных совпадений с «SYSTEM» типа REG_SZ из корневого раздела HKLM:

Отображение раздела, параметра и данных для совпадений с «0F» типа REG_BINARY среди данных в корневом разделе HKCU:

Отображение параметра и данных для пустого значения (по умолчанию) в разделе HKLMSOFTWARE:

REG ADD — добавление разделов и параметров в реестр

Добавляет раздел HKLMSoftwareMyCo на удаленном компьютере ABC:

Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead):

Добавляет параметр (имя: MRU, тип: REG_MULTI_SZ, данные: faxmail):

Добавляет параметр (имя: Path, тип: REG_EXPAND_SZ, данные: %systemroot%) Примечание. В расширяемой строке используйте знак вставки ( ^ ):

REG DELETE — удаление раздела или параметра реестра

Удаляет раздел реестра Timeout и все его подразделы и параметры:

Удаляет параметр реестра MTU из раздела MyCo на компьютере ZODIAC:

REG COPY — копирование подразделов и параметров

Копирует все подразделы и параметры раздела MyApp в раздел SaveMyApp:

Копирует все параметры раздела MyCo с компьютера ZODIAC в раздел MyCo1 на локальном компьютере:

REG RESTORE — восстановление раздела из файла (с заменой)

Примеры. Восстановление файла NTRKBkUp.hiv заменой раздела ResKit:

REG LOAD — загрузка файла в раздел

Примеры. Загрузка файла TempHive.hiv в раздел HKLMTempHive:

REG UNLOAD — выгрузка куста реестра

Примеры. Выгрузка куста реестра TempHive в HKLM:

REG COMPARE — сравнение разделов и значений

Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp:

Сравнивает значения Version в разделах MyCo и MyCo1:

Сравнивает все подразделы и значения параметров в разделе HKLMSoftwareMyCo реестра на компьютере ZODIAC с аналогичным разделом на текущем компьютере:

REG EXPORT — экспорт всех подразделов и параметров раздела

Пример. Экспорт всех подразделов и параметров раздела MyApp в файл AppBkUp.reg:

REG IMPORT — импорт записей реестра из файла

Пример. Импорт записей реестра из файла AppBkUp.reg:

REG FLAGS — отображает и устанавливает текущие флаги раздела

Отображает текущие флаги раздела MyApp:

Устанавливает флаг DONT_VIRTUALIZE (и удаляет флаги DONT_SILENT_FAIL и RECURSE_FLAG) для раздела MyApp и всех его подразделов:

Программы для извлечения информации из реестра Windows

mimikatz

Программа mimikatz имеет много функций, связанных с безопасностью Windows и хранимыми паролями. Среди прочего, программа умеет извлекать пароли, секреты и хеши как из системы, на которой запущена, так и из сохранённых файлов кустов реестра.

Из полученных хешей может быть взломан пароль пользователя.

RegRippy (regrip.py)

RegRippy — это платформа для чтения и извлечения полезных данных для судебной экспертизы из кустов реестра Windows.

Установка в Kali Linux

Установка в BlackArch

Данная программа также может быть установлена в Windows, подробности здесь.

Пример команды, которая получает имя компьютера (compname), которому принадлежит куст реестра, расположенный по пути /mnt/disk_d/Share/config/SYSTEM (—system /mnt/disk_d/Share/config/SYSTEM):

Пример команды, которая выводит информацию о пользователе, выполнившем последний вход (lastloggedon) используя куст реестра SOFTWARE (—software /mnt/disk_d/Share/config/SOFTWARE):

RegRipper

RegRipper — это инструмент с открытым исходным кодом, написанный на Perl, для извлечения/анализа информации (ключей, значений, данных) из реестра и представления её для анализа.

RegRipper также включает инструмент командной строки (CLI) под названием rip. Rip может быть направлен для анализа куста и может запускать либо профиль (список плагинов), либо отдельный плагин для этого куста, с отправкой результатов в STDOUT. Rip можно включать в пакетные файлы, используя операторы перенаправления для отправки вывода в файл. Rip не ведёт журнал своей деятельности.

Установка и запуск в Linux

Скачайте необходимые файлы:

Запускать проще всего с Wine, поэтому начните с его установки по Полному руководство по Wine: от установки до примеров использования.

Установка в Windows

Чтобы открыть графический интерфейс, дважды кликните файл rr.exe.

Если вы хотите воспользоваться утилитой с интерфейсом командной строки, то откройте PowerShell или CMD, перейдите в папку с распакованным архивом и запустите файл

Запуск программы с графическим интерфейсом в Linux:

Выберите ветвь реестра для анализа и имя файла для сохранения отчёта.

Затем нажмите кнопку «Rip!».

Дождитесь завершения работы.

Откройте файл с отчётом.

Registry Explorer

Registry Explorer — это инструмент на основе графического интерфейса, используемый для просмотра содержимого автономных кустов реестра. Он может загружать несколько кустов сразу, выполнять поиск по всем загруженным кустам с использованием строк или регулярных выражений, выполняет экспорт данных, вы можете установить закладки на выбранные фрагменты, сохранить сделанные изменения в проект и многое другое.

Установка Registry Explorer в Windows

Со страницы https://ericzimmerman.github.io/ скачайте архив «Registry Explorer/RECmd». Распакуйте его в любую папку, программа является портативной и не требует установки.

Для запуска графического интерфейса дважды кликните файл RegistryExplorer.exe.

creddump

creddump — это инструмент Python для извлечения различных учётных данных и секретов из кустов реестра Windows. В настоящее время он извлекает:

Программа предустановлена в Kali Linux.

Установка в BlackArch:

Пример команды, которая выводит хеши локальных паролей, кусты реестра расположены в файлах /mnt/disk_d/Share/config/SYSTEM и /mnt/disk_d/Share/config/SAM:

regipy

Regipy — это библиотека Python для анализа автономных кустов реестра.

Установка в Kali Linux

Установка в BlackArch

Запуск плагинов для извлечения информации из куста SYSTEM и сохранение результатов в файл plugins_output.json:

Тип куста будет определён автоматически, и будут запущены соответствующие плагины.

chntpw

chntpw — эта небольшая программа позволяет просматривать информацию и изменять пароли пользователей в файле базы данных пользователей Windows NT/2000. Старые пароли не нужно знать, поскольку они будут перезаписаны. Кроме того, она также содержит простой редактор реестра (запись данных того же размера) и шестнадцатеричный редактор, который позволяет вам возиться с битами и байтами в файле по своему усмотрению.

Программа предустановлена в Kali Linux.

Установка в BlackArch

Сброс пароля пользователя ShareOverlord (-u ShareOverlord), когда куст реестра расположен по пути /mnt/windows/Windows/System32/config/SAM:

Разблокировка пользователя Администратор:

Утилиты NirSoft для работы с реестром

Подробности о программах данного автора смотрите в статье «Утилиты NirSoft для извлечения информации из Windows», для работы с реестром обратите внимание на такие утилиты как:

Извлечение кустов реестра Windows из виртуальных машин

С помощью утилиты virt-win-reg, входящий в пакет libguestfs, можно извлекать кусты реестра Windows напрямую из виртуальных дисков даже не запуская виртуальные машины. Подробности о libguestfs смотрите в разделе «Доступ к содержимому образов виртуальных машин и их изменение».

Программа virt-win-reg позволяет извлекать кусты реестра Windows, в том числе те, которые доступны только для учётной записи System.

По умолчанию содержимое будет выведено на экран, поэтому для сохранения данных в файл нужно воспользоваться перенаправлением вывода.

Например, команда для извлечения куста HKEY_LOCAL_MACHINESYSTEM из операционной системы Windows, чей виртуальный диск расположен в /mnt/disk_d/Виртуальные машины/Windows 10 (en).vdi и сохранение полученных данных в файл SYSTEM.reg:

Ещё один пример, извлечение куста реестра HKEY_LOCAL_MACHINESAM из образа диска /mnt/disk_d/Виртуальные машины/Windows Server 2019.vdi и сохранение данных в файл SAM.reg:

winregfs

Программа winregfs монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.

Также включён инструмент под названием «fsck.winregfs», который выполняет базовую проверку целостности куста реестра.

Установка в Kali Linux

Установка в BlackArch

Чтобы использовать winregfs, создайте каталог для монтирования и укажите его на интересующий куст реестра:

Теперь вы можете увидеть всё, что есть в этом улье, в директории «/tmp/reg«:

Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.

Вы хотите увидеть, что содержат эти значения.

libregf

Программа libregf аналогична winregfs, то есть она монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.

Установка в Kali Linux

Установка в BlackArch

Для монтирования файла REGF (куст реестра Windows) /mnt/disk_d/Share/config/SOFTWARE в директорию /tmp/reg:

Эта команда откроет каталоги и файлы, содержащие элементы, содержащиеся в файле REGF.

Теперь вы можете увидеть всё, что есть в этом улье, в директории «/tmp/reg«:

Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.

Вы хотите увидеть, что содержат эти значения.

Источник