Файл registry что это
Registry — что это за процесс? (Windows 10)
Приветствую друзья. Данный материал расскажет о компоненте Registry, который может содержать диспетчер задач операционки OS Windows 10.
Registry — что это за процесс?
Коротко ответ: системный процесс, содержащий часть данных реестра (например HKEY_LOCAL_MACHINE\SOFTWARE, HKEY_CURRENT_USER) в оперативной памяти (RAM) для более быстрого доступа к ним.
Простыми словами: компонент позволяет снизить потребление оперативки системным реестром, поэтому оперативки в теории должно стать немного больше. По факту скорее всего изменения незначительны, едва заметны.
Принцип работы: схож с механизмом компрессии данных оперативки, только сжимаются не страницы, а данные разделов реестра.
Процесс появился после апдейта Windows 10 April 2018 Update из-за архитектурных модификаций операционки.
Registry использует очень мало оперативки, не грузит процессор, ведет себя тихо.
Registry — вирус?
Стандартно компонент запускается от имени польхователя Система, описание содержит NT Kernel & System:
Если попробовать узнать папку запуска процесса, нажав правой кнопкой по нему > выбрав пункт расположение — откроется системная директория C:\Windows\System32 с выделенным модулем ntroskrnl.exe:
Соответственно если открылась директория отличная от System32 — возможно под Registry скрывается вирус, необходимо просканировать ПК на наличие компьютерных угроз. Лучшие инструменты против угроз разных типов — Dr.Web CureIT (против опасных угроз), AdwCleaner/HitmanPro (против рекламных модулей).
Заключение
Реестр Windows¶
Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем семейства Microsoft Windows [2].
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].
Открытие реестра¶
Поскольку файлов в реестре несколько, его нельзя открыть, например, в текстовом редакторе и внести какие-либо коррективы. Для работы с ним требуется специальная программа – редактор реестра, который является встроенным компонентом операционной системы Windows и вызывается путем ввода команды Regedit [4].
Существует несколько способов открыть редактор реестра.
Способ №1 – Открытие через утилиту «Выполнить»:
Рис. 1 – Открытие через утилиту «Выполнить»
Способ №2 – Открытие через поиск по меню «Пуск»:
Рис. 2 – Открытие через поиск по меню «Пуск»
С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.
Структура реестра¶
Реестр имеет иерархическую структуру, которая напоминает файловую систему жесткого диска – с его каталогами, подкаталогами и файлами. Но называются элементы реестра по-другому: верхний уровень иерархии составляют разделы, каждый из которых может содержать вложенные подразделы, а также параметры. Именно в параметрах хранится основное содержимое реестра, разделы служат лишь для группировки схожих по назначению параметров [4].
Рис. 3 – Редактор реестра
Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.
HKEY_CURRENT_USER
HKEY_USERS
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.
Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле: HKEY_LOCAL_MACHINE\Software\WOW6432Node
Файлы реестра на жестком диске¶
Еще есть резервные копии файлов реестра, созданные системой, хранятся они в
По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Анализ реестра Windows
Оглавление
Что такое реестр Windows?
Реестр Windows — это иерархическая база данных, которая содержит все конфигурации и настройки, используемые компонентами, службами, приложениями и почти всем в Windows.
В реестре есть две основные концепции, о которых нужно знать: ключи и значения. «Ключи реестра» — это объекты, которые в основном являются папками и даже выглядят в интерфейсе Редактора реестра точно так же как папки. «Значения реестра» немного похожи на файлы в папках, и они содержат фактические настройки.
Когда вы открываете редактор реестра в первый раз, вы увидите древовидную структуру на левой панели, которая содержит все ключи со значениями в правой части. В целом это напоминает файловый менеджер с вложенными папками и подпапками, в некоторых из которых размещены файлы.
В первую очередь обратим внимание на ключи корневого уровня, которые вы видите в левой части снимка экрана, поскольку в них содержатся все данные. В каждом из них хранится разный набор информации, поэтому в зависимости от того, что вы пытаетесь сделать, вам нужно будет знать, в какой раздел перейти.
Иерархическая структура реестра
Структура реестра похожа на структуру хранилища файлов.
Таблица «Терминология реестра»
Реестр | Другие деревья | Файловое хранилище |
---|---|---|
Куст (Hive) | Дерево | Файловая система |
Ключ | Узел | Директория или папка |
Подключ | Подузел | Поддиректория или подпапка |
Значение | Ключ | Файл |
Тип | Тип | Тип файла |
Данные | Значение | Содержимое файла |
Обратите внимание, что ключ может содержать подразделы или значения. Подраздел может иметь другой подраздел, поэтому ключ и подраздел обычно взаимозаменяемы так же, как каталог и подкаталог или папка и подпапка. Ключ без значения может хранить данные в так называемом значении по умолчанию.
Что такое куст или улей реестра (hive)?
В литературе, особенно посвящённой программам по анализу реестра, часто используются выражения «куст реестра» или «улей реестра», в английском языке это обозначается словом hive.
Говоря о программах для анализа реестра, под выражением «куст реестра» обычно понимается один из файлов SOFTWARE, SAM, SECURITY, SYSTEM и так далее. То есть кустом реестра является файл, в котором хранятся ключи корневого уровня или ключи корневого уровня.
В контексте «Редактора реестра» под кустом реестра может пониматься иерархическая часть реестра, необязательно расположенная в отдельном файле.
HKEY_CLASSES_ROOT
HKEY_CLASSES_ROOT, часто сокращённо HKCR, представляет собой куст реестра в реестре Windows и содержит информацию об ассоциации расширения файла, а также данные программного идентификатора (ProgID), идентификатора класса (CLSID) и идентификатора интерфейса (IID). Этот ключ на самом деле просто ссылка на HKLM\Software\Classes.
Проще говоря, куст реестра HKEY_CLASSES_ROOT содержит необходимую информацию, чтобы Windows знала, что делать, когда вы просите её сделать что-то, например, просмотреть содержимое диска или открыть файл определённого типа и т. д.
Вы также можете использовать этот раздел, если хотите настроить контекстное меню для определённого типа файла.
Подразделы реестра в HKEY_CLASSES_ROOT
Список ключей реестра в кусте HKEY_CLASSES_ROOT очень длинный и столь же запутанный. Мы не можем объяснить каждый из тысяч ключей, которые вы можете увидеть там, но мы можем разбить его на несколько управляемых частей, которые, надеюсь, немного прояснят эту часть реестра.
Вот некоторые из многих ключей ассоциации расширений файлов, которые вы найдёте в кусте HKEY_CLASSES_ROOT, большинство из которых начинаются с точки:
Каждый из этих разделов реестра хранит информацию о том, что Windows должна делать при двойном щелчке или двойном касании файла с этим расширением. Он может включать в себя список программ, которые можно найти в разделе «Открыть с помощью…» при щелчке/касании файла правой кнопкой мыши, а также путь к каждому из перечисленных приложений.
Например, на вашем компьютере, когда вы открываете файл с именем draft.rtf, этот файл может открываться с помощью программы WordPad. Данные реестра, которые отвечают за это, хранятся в ключе HKEY_CLASSES_ROOT\.rtf, который определяет WordPad как программу, которая должна открывать файл RTF.
HKCR и CLSID, ProgID и IID
Остальные ключи в HKEY_CLASSES_ROOT — это ключи ProgID, CLSID и IID. Вот несколько примеров каждого из них:
Ключи ProgID расположены в корне HKEY_CLASSES_ROOT вместе с описанными выше ассоциациями расширений файлов:
Все ключи CLSID находятся в подразделе CLSID:
Все ключи IID расположены в подразделе Интерфейс:
Для чего нужны ключи ProgID, CLSID и IID, связано с некоторыми очень техническими аспектами компьютерного программирования и выходит за рамки этого обсуждения. Однако вы можете узнать больше обо всех трёх здесь, здесь и здесь соответственно.
Подробнее о HKEY_CLASSES_ROOT
Хотя вы можете редактировать и полностью удалять любой подраздел внутри куста HKEY_CLASSES_ROOT, сама корневая папка, как и все кусты в реестре, не может быть переименована или удалена.
HKEY_CLASSES_ROOT — это глобальный куст, что означает, что он может содержать информацию, которая применяется ко всем пользователям на компьютере и доступна для просмотра каждому пользователю. Это отличается от некоторых ульев, в которых есть информация, которая относится только к пользователю, выполнившему вход в систему.
Однако, поскольку куст HKEY_CLASSES_ROOT на самом деле представляет собой объединённые данные, обнаруженные как в кусте HKEY_LOCAL_MACHINE (HKEY_LOCAL_MACHINE\Software\Classes), так и в кусте HKEY_CURRENT_USER (HKEY_CURRENT_USER\Software\Classes), он также содержит информацию, специфичную для пользователя. Несмотря на то, что это так, HKEY_CLASSES_ROOT по-прежнему может просматривать любой пользователь.
Это, конечно, означает, что когда новый ключ реестра создаётся в кусте HKEY_CLASSES_ROOT, тот же самый ключ появится в HKEY_LOCAL_MACHINE\Software\Classes, а когда один из них будет удалён, тот же ключ будет удалён из другого места.
Если ключ реестра находится в обоих местах, но каким-то образом конфликтует, данные, найденные в кусте пользователя, выполнившего вход, HKEY_CURRENT_USER\Software\Classes, имеют приоритет и используются в HKEY_CLASSES_ROOT.
HKEY_CURRENT_USER
HKEY_CURRENT_USER содержит информацию о конфигурации для Windows и программного обеспечения, специфичного для текущего пользователя, вошедшего в систему.
Например, различные значения реестра в различных разделах реестра, расположенных в кусте HKEY_CURRENT_USER, управляют параметрами пользовательского уровня, такими как установленные принтеры, обои рабочего стола, параметры отображения, переменные среды, раскладка клавиатуры, подключённые сетевые диски и многое другое.
Многие из параметров, которые вы настраиваете в различных апплетах на панели управления, фактически хранятся в кусте реестра HKEY_CURRENT_USER.
Подразделы реестра в HKEY_CURRENT_USER
Вот некоторые общие ключи реестра, которые вы можете найти в кусте HKEY_CURRENT_USER:
Ключи реестра, расположенные в кусте HKEY_CURRENT_USER на вашем компьютере, могут отличаться от приведённого выше списка. Версия Windows, которую вы используете, и установленное вами программное обеспечение определяют, какие ключи могут там присутствовать.
Поскольку куст HKEY_CURRENT_USER зависит от пользователя, ключи и значения, содержащиеся в нем, будут отличаться от пользователя к пользователю даже на одном компьютере. В этом отличие от большинства других глобальных кустов реестра, таких как HKEY_CLASSES_ROOT, которые сохраняют одинаковую информацию для всех пользователей Windows.
Примеры HKCU
Ниже приводится некоторая информация о нескольких примерах ключей, найденных в кусте HKEY_CURRENT_USER:
Здесь можно найти ярлыки, звуки и описания для различных функций в Windows и сторонних приложениях, таких как звуковые сигналы факса, завершённые задачи iTunes, сигнал низкого заряда батареи, звуковые сигналы почты и т. д.
В разделе \Control Panel\Keyboard находятся несколько параметров клавиатуры, такие как параметры задержки клавиатуры и скорости клавиатуры, оба из которых контролируются с помощью параметров задержки повторения и частоты повторения в апплете панели управления клавиатурой.
Mouse applet — ещё один, настройки которого хранятся в HKEY_CURRENT_USER\Control Panel\Mouse key. Некоторые параметры включают DoubleClickHeight, ExtendedSounds, MouseSensitivity, MouseSpeed, MouseTrails и SwapMouseButtons.
Ещё один раздел панели управления предназначен исключительно для курсора мыши, он находится в разделе «Cursors». Здесь хранятся имя и физическое расположение файлов курсоров по умолчанию и пользовательских курсоров. Windows использует файлы неподвижных и анимированных курсоров с расширениями файлов CUR и ANI соответственно, поэтому большинство файлов курсоров, найденных здесь, указывают на файлы этих типов в папке %SystemRoot%\cursors\.
То же самое верно и для клавиши рабочего стола панели управления HKCU, которая определяет множество параметров рабочего стола в таких значениях, как WallpaperStyle, который описывает, следует ли центрировать обои или растягивать их по дисплею. Другие в том же месте включают CursorBlinkRate, ScreenSaveActive, ScreenSaveTimeOut и MenuShowDelay.
Ключ Environment — это то место, где находятся переменные среды, такие как PATH и TEMP. Изменения можно внести здесь или через проводник Windows, и они будут отражены в обоих местах.
В этом разделе реестра перечислено множество записей программного обеспечения для конкретных пользователей. Одним из примеров является расположение программы веб-браузера Firefox. В этом подразделе находится значение PathToExe, объясняющее, где находится firefox.exe в папке установки:
Подробнее о HKEY_CURRENT_USER
Улей HKEY_CURRENT_USER на самом деле является просто указателем на ключ, расположенный под кустом HKEY_USERS, который назван так же, как ваш идентификатор безопасности. Вы можете вносить изменения в любом месте, так как они одинаковы.
Причина, по которой HKEY_CURRENT_USER существует, учитывая, что это просто ориентир для другого улья, заключается в том, что он обеспечивает более простой способ просмотра информации. Альтернативный вариант — найти идентификатор безопасности вашей учётной записи и перейти в эту область в кусте HKEY_USERS.
Опять же, всё, что видно в HKEY_CURRENT_USER, относится только к пользователю, который в данный момент вошёл в систему, а не к другим пользователям, существующим на компьютере. Это означает, что каждый пользователь, который входит в систему, будет извлекать свою собственную информацию из соответствующего куста HKEY_USERS, что, в свою очередь, означает, что HKEY_CURRENT_USER будет отличаться для каждого пользователя, который его просматривает.
Из-за того, как это настроено, вы можете просто перейти к идентификатору безопасности другого пользователя в HKEY_USERS, чтобы увидеть всё, что они увидят в HKEY_CURRENT_USER, когда войдут в систему.
HKEY_LOCAL_MACHINE
Здесь хранятся все общесистемные настройки, и обычно он обозначается аббревиатурой HKLM. В основном вы будете использовать ключ HKLM\Software для проверки общесистемных настроек.
HKEY_LOCAL_MACHINE, часто сокращённо пишется как HKLM, является одним из нескольких кустов реестра, составляющих реестр Windows. Этот конкретный куст содержит большую часть информации о конфигурации установленного вами программного обеспечения, а также самой операционной системы Windows.
Помимо данных о конфигурации программного обеспечения, куст HKEY_LOCAL_MACHINE также содержит много ценной информации об обнаруженном оборудовании и драйверах устройств.
В Windows 10, Windows 8, Windows 7 и Windows Vista информация о конфигурации загрузки вашего компьютера также включена в этот куст.
Подразделы реестра в HKEY_LOCAL_MACHINE
Следующие разделы реестра находятся в кусте HKEY_LOCAL_MACHINE:
Ключи, расположенные в разделе HKEY_LOCAL_MACHINE на вашем компьютере, могут несколько отличаться в зависимости от вашей версии Windows и конкретной конфигурации вашего компьютера. Например, более новые версии Windows не включают ключ HKEY_LOCAL_MACHINE\COMPONENTS.
Подраздел HARDWARE содержит данные, относящиеся к BIOS, процессорам и другим аппаратным устройствам. Например, в HARDWARE находится DESCRIPTION > System > BIOS, где вы найдёте текущую версию BIOS и информацию о производителе материнской платы.
Раздел SOFTWARE является наиболее часто используемым из кустов HKLM. Он организован в алфавитном порядке по поставщикам программного обеспечения, и именно здесь каждая программа записывает данные в реестр, чтобы при следующем открытии приложения его конкретные настройки можно было применить автоматически, чтобы вам не приходилось перенастраивать программу каждый раз, когда она используется. Это также полезно при поиске SID пользователя.
Подраздел SOFTWARE также содержит подраздел Windows, который описывает различные детали пользовательского интерфейса операционной системы, подраздел Classes, детализирующий, какие программы связаны с какими расширениями файлов, и другие.
HKLM\SOFTWARE\Wow6432Node\ встречается в 64-битных версиях Windows, но используется 32-битными приложениями. Это эквивалент HKLM\SOFTWARE, но не совсем то же самое, поскольку он выделен с единственной целью предоставления информации 32-битным приложениям в 64-битной ОС. WoW64 показывает этот ключ 32-битным приложениям как «HKLM\SOFTWARE\».
Скрытые подразделы в HKLM
В большинстве конфигураций следующие подразделы являются скрытыми ключами, поэтому их нельзя просматривать, как другие разделы куста реестра HKLM:
В большинстве случаев эти ключи выглядят пустыми, когда вы их открываете, и/или содержат пустые подключи.
Подраздел SAM относится к информации о базах данных Security Accounts Manager (SAM) для доменов. В каждой базе данных есть псевдонимы групп, пользователи, гостевые учётные записи и учётные записи администраторов, а также имя, используемое для входа в домен, криптографические хэши пароля каждого пользователя и многое другое.
Подраздел SECURITY используется для хранения политики безопасности текущего пользователя. Он связан с базой данных безопасности домена, в котором пользователь вошёл в систему, или с кустом реестра на локальном компьютере, если пользователь вошёл в домен локальной системы.
Чтобы увидеть содержимое ключа SAM или SECURITY, редактор реестра должен быть открыт с использованием системной учётной записи, которая имеет более широкие права, чем любой другой пользователь, даже пользователь с правами администратора. Как это сделать, будет показано ниже.
После открытия редактора реестра с соответствующими разрешениями ключи HKEY_LOCAL_MACHINE\SAM и HKEY_LOCAL_MACHINE\SECURITY могут быть исследованы, как и любой другой ключ в кусте.
Некоторые бесплатные служебные программы, такие как PsExec от Microsoft, могут открывать редактор реестра с соответствующими разрешениями для просмотра этих скрытых ключей.
Подробнее о HKEY_LOCAL_MACHINE
Может быть интересно узнать, что HKEY_LOCAL_MACHINE на самом деле нигде на компьютере не существует, а вместо этого является просто контейнером для отображения фактических данных реестра, загружаемых через подключи, расположенные в кустах, перечисленных выше.
Другими словами, HKEY_LOCAL_MACHINE действует как ярлык для ряда других источников данных о вашем компьютере.
Из-за того, что HKEY_LOCAL_MACHINE не существует, ни вы, ни какая-либо установленная вами программа не может создавать дополнительные ключи в HKEY_LOCAL_MACHINE.
Улей HKEY_LOCAL_MACHINE является глобальным, что означает, что он один и тот же независимо от того, какой пользователь на компьютере просматривает его, в отличие от куста реестра, такого как HKEY_CURRENT_USER, который является специфическим для каждого пользователя, просматривающего его во время входа в систему.
Хотя HKEY_LOCAL_MACHINE часто пишется как HKLM, это не совсем «официальная» аббревиатура. Это важно знать, потому что некоторые программы в некоторых случаях, даже инструменты, доступные непосредственно от Microsoft, не позволяют сокращать имя куста в путях реестра таким образом. Если вы получаете сообщение об ошибке при использовании «HKLM», используйте вместо него полный путь и посмотрите, исправит ли это вашу проблему.
HKEY_USERS
Сохраняет все настройки для всех пользователей системы. Для доступа к своим настройкам, вы обычно используете HKCU, но если вам нужно проверить настройки для другого пользователя на вашем компьютере, вы можете использовать этот раздел.
HKEY_USERS, иногда называемый HKU, является одним из многих кустов реестра в реестре Windows.
Он содержит пользовательскую информацию о конфигурации для всех в настоящее время активных пользователей на компьютере. Это означает, что пользователи, вошедшие в систему в данный момент (вы) и любые другие пользователи, которые также вошли в систему, но находятся в состоянии «переключение пользователей».
Каждый раздел реестра, расположенный в кусте HKEY_USERS, соответствует пользователю в системе и назван с идентификатором безопасности этого пользователя или SID. Разделы реестра и значения реестра, расположенные под каждым параметром управления SID, относящимся к данному пользователю, например подключённые диски, установленные принтеры, переменные среды, фон рабочего стола и многое другое, загружаются при первом входе пользователя в систему.
Подразделы реестра в HKEY_USERS
Вот пример того, что вы можете найти под этим ульем:
Идентификаторы безопасности, которые вы видите здесь, безусловно, будут отличаться от списка, который мы включили выше.
Подробнее о HKEY_USERS и SID
Улей HKEY_CURRENT_USER действует как своего рода ярлык для подраздела HKEY_USERS, соответствующего вашему SID.
Другими словами, когда вы вносите изменения в HKEY_CURRENT_USER, вы вносите изменения в ключи и значения под ключом в HKEY_USERS, который назван так же, как ваш SID.
Например, если ваш SID следующий:
… HKEY_CURRENT_USER укажет на это:
Редактировать можно в любом месте, поскольку они являются одним и тем же.
Как найти идентификатор безопасности пользователя (SID) в Windows
Если вы хотите изменить данные реестра для пользователя, чей SID не отображается в HKEY_USERS, вы можете либо войти в систему как этот пользователь, и внести изменения, либо загрузить куст реестра этого пользователя вручную. Смотрите раздел ниже «Как загрузить куст реестра», если вам нужна помощь.
Помните, что, поскольку они одинаковы, если вы редактируете свои собственные настройки (настройки для пользователя, под которым вы в настоящее время вошли в систему), гораздо проще просто открыть HKEY_CURRENT_USER, чем определить свой собственный SID и затем вносить изменения в HKEY_USERS. Использование HKEY_USERS для доступа к папке SID для пользователя обычно полезно только в том случае, если вам нужно изменить значения реестра для пользователя, который в настоящее время не вошёл в систему.
Подключ HKEY_USERS\.DEFAULT в точности совпадает с подразделом HKEY_USERS\S-1-5-18. Любые изменения, внесённые в один, автоматически и мгновенно отражаются в другом, точно так же, как подключ SID текущего пользователя в HKEY_USERS идентичен значениям, найденным в HKEY_CURRENT_USER.
Также важно знать, что HKEY_USERS\.DEFAULT используется учётной записью LocalSystem, а не учётной записью обычного пользователя. Часто ошибочно принимают этот ключ за тот, который можно отредактировать, чтобы его изменения применялись ко всем пользователям, учитывая, что он называется «по умолчанию» (DEFAULT), но это не так.
Два других подраздела HKEY_USERS в реестре Windows, которые используются системными учётными записями, включают S-1-5-19, который предназначен для учётной записи LocalService, и S-1-5-20, который используется учётной записью NetworkService.
HKEY_CURRENT_CONFIG
Хранит всю информацию о текущей конфигурации оборудования. Он используется не очень часто, и это просто ссылка на HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current.
HKEY_CURRENT_CONFIG, иногда сокращенно HKCC, представляет собой куст реестра, который является частью реестра Windows. Сам он не хранит никакой информации, а вместо этого действует как указатель или ярлык для раздела реестра, в котором хранится информация об используемом в данный момент профиле оборудования.
HKEY_CURRENT_CONFIG — это ярлык для улья HKEY_LOCAL_MACHINE. В частности, в раздел реестра \SYSTEM\CurrentControlSet\Hardware Profiles\Current\ этого куста. Именно там информация действительно хранится — HKEY_CURRENT_CONFIG просто предоставляет быстрый способ добраться туда.
Следовательно, HKEY_CURRENT_CONFIG действительно существует просто для удобства. Легче получить доступ к данным в другом разделе реестра — просмотреть и изменить его, просто перейдя в HKEY_CURRENT_CONFIG. Поскольку они содержат одинаковую информацию и всегда связаны друг с другом, вы можете вносить изменения в любом месте, чтобы получить одинаковые результаты.
Подразделы реестра в HKEY_CURRENT_CONFIG
Два ключа реестра, которые вы найдёте в кусте HKEY_CURRENT_CONFIG:
Подробнее о HKEY_CURRENT_CONFIG
Как мы уже говорили выше, HKEY_CURRENT_CONFIG реплицирует всё, что находится в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\. Это означает, что если вы измените что-либо в первом разделе реестра, это будет отражено во втором, и наоборот.
Например, если вы добавляете, редактируете, удаляете или переименовываете что-либо в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\, а затем выйдите из редактора реестра и повторно откройте его (или обновите его с помощью клавиши F5), вы увидите что изменение произошло немедленно в ключе the HKEY_CURRENT_CONFIG\Software\.
Вы можете заметить, что внутри HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\ есть несколько ключей реестра. Это потому, что этот раздел реестра используется для хранения всех профилей оборудования для всего компьютера. Причина, по которой вы видите только один профиль оборудования в ключе HKEY_CURRENT_CONFIG, заключается в том, что он указывает только на один из этих профилей оборудования, в частности, на тот, который относится к пользователю, который в данный момент вошёл в систему.
В некоторых версиях Windows вы можете создать дополнительные профили оборудования, щёлкнув ссылку «Система» на панели управления. Щёлкните или коснитесь вкладки «Оборудование», а затем «Профили оборудования».
Где реестр хранится на диске?
Файлы реестра хранятся в нескольких местах.
Вы можете найти большинство из них в папке C:\Windows\System32\config.
Видите эти файлы SAM, SECURITY, SOFTWARE и SYSTEM? Они соответствуют тем же ключам в папке HKEY_LOCAL_MACHINE.
Данные для ветви HKEY_CURRENT_USER хранятся в вашей пользовательской папке в скрытом файле NTUSER.DAT. Этот файл свой у каждого пользователя операционной системы, то есть на одном компьютере таких файлов может быть много.
В следующей таблице перечислены все каталоги Windows, в которых можно найти файлы данных реестра. Эти файлы фактически являются снимками большинства, но не всех кустов реестра. В таблице 3 приведены основные расположения файлов. Если вы посмотрите на свой диск, вы увидите, что в каждом из этих каталогов есть дополнительные подкаталоги.
Универсальное обозначение расположения файла | Пример расположения файла | Имя файла | Описание |
---|---|---|---|
%UserProfile% | C:\Users\ИМЯ ПОЛЬЗОВАТЕЛЯ\ | NTUser.dat | Конфигурация профиля пользователя |
%SystemRoot%\System32\Config\ | C:\Windows\System32\Config\ | Components Default SAM Security Software System | Конфигурация системы |
NTUser.dat | Конфигурации профиля пользователя, используемые Windows | ||
%SystemDrive%\Boot или %SystemDrive%\EFI\Microsoft\Boot | C:\Boot\ или C:\EFI\Microsoft\Boot | BCD | Данные конфигурации загрузки |
%UserProfile% %SystemRoot%\System32\Config\ %SystemRoot%\System32\Config\Txr и т.д. | C:\Users\Username\ C:\Windows\System32\Config\ C:\Windows\System32\Config\Txr и т.д. | Файлы реестра транзакций можно найти в основных папках куста реестра. |
Есть несколько типов файлов реестра
Первичные файлы реестра обычно не имеют расширения (за исключением NTUser.dat), но есть и другие файлы. Они прикрепляют расширение ко всему имени файла, включая исходное расширение. Таблица 4 показывает большинство из этих типов файлов.
1 Начиная с Vista, Transactional Registry (TxR) выполняет обновления транзакций, которыми управляет Transaction Manager (TM) режима ядра Windows. Это обеспечивает атомарные транзакции, при которых все обновления выполняются вместе или не выполняются вовсе. Диспетчер транзакций использует общую файловую систему ведения журнала и хранит файлы реестра в папке %SystemRoot%\System32\Config\ (например, C:\Windows\System32\Config\) и во вложенной папке Txr, а также в других папках реестра.
Создание новых ключей и значений
Щелчок правой кнопкой мыши по любой клавише в левой части окна предоставит вам набор параметров, большинство из которых довольно просты и легки для понимания.
Вы можете создать новый ключ, который будет отображаться как папка с левой стороны, или новое значение, которое будет отображаться с правой стороны. Эти значения могут немного сбивать с толку, но на самом деле есть только пара значений, которые используются регулярно.
Меню избранного
Одна из действительно полезных функций, которую, кажется, никто не замечает, — это меню «Избранное», которое отлично подходит, если вы хотите регулярно проверять место в реестре. Что действительно забавно, так это то, что вы можете экспортировать список избранного и использовать его снова на другом компьютере, без необходимости настраивать на новой машине заново. То есть вы можете перенести список избранного с самыми востребованными местами реестра на любую систему.
Это также отличный способ добавить что-нибудь в реестр, если вы просматриваете несколько мест, чтобы вы могли легко вернуться к тому месту, где вы были в последний раз.
Экспорт файлов реестра
Вы можете экспортировать разделы реестра и все значения, содержащиеся под ними, щёлкнув правой кнопкой мыши раздел и выбрав «Экспортировать». Это действительно важно, если вы собираетесь вносить изменения в свою систему.
После того, как вы получили экспортированный файл реестра, вы можете дважды щёлкнуть по нему, чтобы ввести информацию обратно в реестр, или вы можете выбрать «Изменить», чтобы просмотреть содержимое в Блокноте.
Формат файла для реестра довольно прост — слева имена значений, а справа фактические значения.
Установка разрешений
Некоторые ключи реестра не позволяют вносить изменения по умолчанию. Обычно это происходит потому, что у вас нет разрешений на эти ключи, но вы можете настроить схему разрешений, если хотите, щёлкнув правой кнопкой мыши ключ и выбрав Разрешения, а затем изменив их оттуда.
Следует отметить, что это не очень хорошая идея, и обычно вам следует держаться подальше от редактирования разделов и ключей, на которые по умолчанию у вас нет прав.
Загрузка кустов реестра
Вы можете использовать функцию Файл → Загрузить куст для загрузки реестра из автономной системы. Возможно, вы устраняете неполадки на другом компьютере и хотите узнать, что происходит в реестре системы, которая не загружается. Итак, вы загружаете систему с аварийного диска или, может быть, с Live CD с Linux, а затем копируете файлы реестра на свой флэш-накопитель.
Теперь вы можете открыть их на другом компьютере и осмотреться, используя опцию Загрузить куст.
Как получить доступ к закрытым частям реестра SAM и SECURITY
Как уже было сказано, разделы реестра
не показываются в программе «Редактор реестра»:
Чтобы их увидеть необходимо открыть программу regedit с правами уровня аккаунта System. Дело в том, что права Администратора не являются самыми высокими в Windows. Наивысшие права у System.
Открыть любую программу с правами System можно с помощью утилиты PsExec. Эта утилита входит в PSTools от SysInternals. Если коротко, это официальная утилита Microsoft. Подробности и ссылку на скачивания вы найдёте в статье «Что такое инструменты SysInternals и как их использовать?».
После того как скачали и распаковали архив PSTools, необходимо в командной строке перейти в папку с программой. Помните, что запустить программу с правами аккаунта System можно только если командная строка открыта с правами администратора! Для этого нажмите Win+x и выберите «Windows PowerShell (администратор)».
С помощью cd перейдите в папку с распакованными утилитами SysInternals, например:
Теперь запустите программу PsExec с ключами -s и -i:
В результате вы сможете увидеть и отредактировать содержимое кустов реестра HKEY_LOCAL_MACHINE\SAM и HKEY_LOCAL_MACHINE\SECURITY. Помните, что редактирование данных кустов может привести к полной неработоспособности системы, в результате чего она не будет загружаться!
Утилита REG
Утилита REG — это встроенная программа Windows, которая позволяет выполнять различные действия с реестром, в том числе сохранять в файл кусты реестра или их части, добавлять, удалять значения, делать запрос к реестру, копировать и прочее.
Рассмотрим возможности REG более подробно.
Среди операций могут быть:
REG SAVE — сохранение куста реестра в файл
Пример. Сохранение куста MyApp в файл AppBkUp.hiv текущей папки:
REG QUER — отображение значения параметра реестра
Отображение значения параметра реестра Version:
Отображение всех подразделов и их параметров в разделе реестра Setup удаленного компьютера ABC:
Отображение всех подразделов и параметров со знаком «#» в качестве разделителя для всех параметров типа REG_MULTI_SZ:
Отображение раздела, параметра и данных с учетом реестра букв для точных совпадений с «SYSTEM» типа REG_SZ из корневого раздела HKLM:
Отображение раздела, параметра и данных для совпадений с «0F» типа REG_BINARY среди данных в корневом разделе HKCU:
Отображение параметра и данных для пустого значения (по умолчанию) в разделе HKLM\SOFTWARE:
REG ADD — добавление разделов и параметров в реестр
Добавляет раздел HKLM\Software\MyCo на удаленном компьютере ABC:
Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead):
Добавляет параметр (имя: MRU, тип: REG_MULTI_SZ, данные: fax\0mail\0\0):
Добавляет параметр (имя: Path, тип: REG_EXPAND_SZ, данные: %systemroot%) Примечание. В расширяемой строке используйте знак вставки ( ^ ):
REG DELETE — удаление раздела или параметра реестра
Удаляет раздел реестра Timeout и все его подразделы и параметры:
Удаляет параметр реестра MTU из раздела MyCo на компьютере ZODIAC:
REG COPY — копирование подразделов и параметров
Копирует все подразделы и параметры раздела MyApp в раздел SaveMyApp:
Копирует все параметры раздела MyCo с компьютера ZODIAC в раздел MyCo1 на локальном компьютере:
REG RESTORE — восстановление раздела из файла (с заменой)
Примеры. Восстановление файла NTRKBkUp.hiv заменой раздела ResKit:
REG LOAD — загрузка файла в раздел
Примеры. Загрузка файла TempHive.hiv в раздел HKLM\TempHive:
REG UNLOAD — выгрузка куста реестра
Примеры. Выгрузка куста реестра TempHive в HKLM:
REG COMPARE — сравнение разделов и значений
Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp:
Сравнивает значения Version в разделах MyCo и MyCo1:
Сравнивает все подразделы и значения параметров в разделе HKLM\Software\MyCo реестра на компьютере ZODIAC с аналогичным разделом на текущем компьютере:
REG EXPORT — экспорт всех подразделов и параметров раздела
Пример. Экспорт всех подразделов и параметров раздела MyApp в файл AppBkUp.reg:
REG IMPORT — импорт записей реестра из файла
Пример. Импорт записей реестра из файла AppBkUp.reg:
REG FLAGS — отображает и устанавливает текущие флаги раздела
Отображает текущие флаги раздела MyApp:
Устанавливает флаг DONT_VIRTUALIZE (и удаляет флаги DONT_SILENT_FAIL и RECURSE_FLAG) для раздела MyApp и всех его подразделов:
Программы для извлечения информации из реестра Windows
mimikatz
Программа mimikatz имеет много функций, связанных с безопасностью Windows и хранимыми паролями. Среди прочего, программа умеет извлекать пароли, секреты и хеши как из системы, на которой запущена, так и из сохранённых файлов кустов реестра.
Из полученных хешей может быть взломан пароль пользователя.
RegRippy (regrip.py)
RegRippy — это платформа для чтения и извлечения полезных данных для судебной экспертизы из кустов реестра Windows.
Установка в Kali Linux
Установка в BlackArch
Данная программа также может быть установлена в Windows, подробности здесь.
Пример команды, которая получает имя компьютера (compname), которому принадлежит куст реестра, расположенный по пути /mnt/disk_d/Share/config/SYSTEM (—system /mnt/disk_d/Share/config/SYSTEM):
Пример команды, которая выводит информацию о пользователе, выполнившем последний вход (lastloggedon) используя куст реестра SOFTWARE (—software /mnt/disk_d/Share/config/SOFTWARE):
RegRipper
RegRipper — это инструмент с открытым исходным кодом, написанный на Perl, для извлечения/анализа информации (ключей, значений, данных) из реестра и представления её для анализа.
RegRipper также включает инструмент командной строки (CLI) под названием rip. Rip может быть направлен для анализа куста и может запускать либо профиль (список плагинов), либо отдельный плагин для этого куста, с отправкой результатов в STDOUT. Rip можно включать в пакетные файлы, используя операторы перенаправления для отправки вывода в файл. Rip не ведёт журнал своей деятельности.
Установка и запуск в Linux
Скачайте необходимые файлы:
Запускать проще всего с Wine, поэтому начните с его установки по Полному руководство по Wine: от установки до примеров использования.
Установка в Windows
Чтобы открыть графический интерфейс, дважды кликните файл rr.exe.
Если вы хотите воспользоваться утилитой с интерфейсом командной строки, то откройте PowerShell или CMD, перейдите в папку с распакованным архивом и запустите файл
Запуск программы с графическим интерфейсом в Linux:
Выберите ветвь реестра для анализа и имя файла для сохранения отчёта.
Затем нажмите кнопку «Rip!».
Дождитесь завершения работы.
Откройте файл с отчётом.
Registry Explorer
Registry Explorer — это инструмент на основе графического интерфейса, используемый для просмотра содержимого автономных кустов реестра. Он может загружать несколько кустов сразу, выполнять поиск по всем загруженным кустам с использованием строк или регулярных выражений, выполняет экспорт данных, вы можете установить закладки на выбранные фрагменты, сохранить сделанные изменения в проект и многое другое.
Установка Registry Explorer в Windows
Со страницы https://ericzimmerman.github.io/ скачайте архив «Registry Explorer/RECmd». Распакуйте его в любую папку, программа является портативной и не требует установки.
Для запуска графического интерфейса дважды кликните файл RegistryExplorer.exe.
creddump
creddump — это инструмент Python для извлечения различных учётных данных и секретов из кустов реестра Windows. В настоящее время он извлекает:
Программа предустановлена в Kali Linux.
Установка в BlackArch:
Пример команды, которая выводит хеши локальных паролей, кусты реестра расположены в файлах /mnt/disk_d/Share/config/SYSTEM и /mnt/disk_d/Share/config/SAM:
regipy
Regipy — это библиотека Python для анализа автономных кустов реестра.
Установка в Kali Linux
Установка в BlackArch
Запуск плагинов для извлечения информации из куста SYSTEM и сохранение результатов в файл plugins_output.json:
Тип куста будет определён автоматически, и будут запущены соответствующие плагины.
chntpw
chntpw — эта небольшая программа позволяет просматривать информацию и изменять пароли пользователей в файле базы данных пользователей Windows NT/2000. Старые пароли не нужно знать, поскольку они будут перезаписаны. Кроме того, она также содержит простой редактор реестра (запись данных того же размера) и шестнадцатеричный редактор, который позволяет вам возиться с битами и байтами в файле по своему усмотрению.
Программа предустановлена в Kali Linux.
Установка в BlackArch
Сброс пароля пользователя ShareOverlord (-u ShareOverlord), когда куст реестра расположен по пути /mnt/windows/Windows/System32/config/SAM:
Разблокировка пользователя Администратор:
Утилиты NirSoft для работы с реестром
Подробности о программах данного автора смотрите в статье «Утилиты NirSoft для извлечения информации из Windows», для работы с реестром обратите внимание на такие утилиты как:
Извлечение кустов реестра Windows из виртуальных машин
С помощью утилиты virt-win-reg, входящий в пакет libguestfs, можно извлекать кусты реестра Windows напрямую из виртуальных дисков даже не запуская виртуальные машины. Подробности о libguestfs смотрите в разделе «Доступ к содержимому образов виртуальных машин и их изменение».
Программа virt-win-reg позволяет извлекать кусты реестра Windows, в том числе те, которые доступны только для учётной записи System.
По умолчанию содержимое будет выведено на экран, поэтому для сохранения данных в файл нужно воспользоваться перенаправлением вывода.
Например, команда для извлечения куста HKEY_LOCAL_MACHINE\SYSTEM из операционной системы Windows, чей виртуальный диск расположен в /mnt/disk_d/Виртуальные машины/Windows 10 (en).vdi и сохранение полученных данных в файл SYSTEM.reg:
Ещё один пример, извлечение куста реестра HKEY_LOCAL_MACHINE\SAM из образа диска /mnt/disk_d/Виртуальные машины/Windows Server 2019.vdi и сохранение данных в файл SAM.reg:
winregfs
Программа winregfs монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.
Также включён инструмент под названием «fsck.winregfs», который выполняет базовую проверку целостности куста реестра.
Установка в Kali Linux
Установка в BlackArch
Чтобы использовать winregfs, создайте каталог для монтирования и укажите его на интересующий куст реестра:
Теперь вы можете увидеть всё, что есть в этом улье, в директории «/tmp/reg«:
Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.
Вы хотите увидеть, что содержат эти значения.
libregf
Программа libregf аналогична winregfs, то есть она монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.
Установка в Kali Linux
Установка в BlackArch
Для монтирования файла REGF (куст реестра Windows) /mnt/disk_d/Share/config/SOFTWARE в директорию /tmp/reg:
Эта команда откроет каталоги и файлы, содержащие элементы, содержащиеся в файле REGF.
Теперь вы можете увидеть всё, что есть в этом улье, в директории «/tmp/reg«:
Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.
Вы хотите увидеть, что содержат эти значения.
Связанные статьи:
Рекомендуется Вам:
One Comment to Анализ реестра Windows
Здравствуйте! Спасибо за статью. Оказывается есть много разных программ, помогите пожалуйста, какой программой можно восстановить в реестре запись пользователя.