Разное

Виндовс регистр: Реестр Windows для продвинутых пользователей — Windows Server

Содержание

Реестр Windows для продвинутых пользователей — Windows Server



  • Чтение занимает 9 мин

В этой статье

В этой статье описывается реестр Windows и данная статья содержит сведения о том, как редактировать и создать его поддержку.

Исходная версия продукта:   Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ:   256986

Описание реестра

Словарь компьютеров Майкрософт( Fifth Edition) определяет реестр как:

Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000 для хранения сведений, необходимых для настройки системы для одного или более пользователей, приложений и аппаратных устройств.

Реестр содержит сведения, на которые Windows постоянно ссылается во время работы, например профили каждого пользователя, установленные на компьютере приложения и типы документов, которые могут создаваться каждым из них, параметры таблицы свойств для папок и значков приложений, оборудование, установленное в системе, и используемые порты.

Реестр заменяет большинство текстовых INI-файлов, используемых в файлах конфигурации Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр распространен в нескольких операционных системах Windows, между ними есть некоторые различия. Ульи реестра — это группа ключей, подмаек и значений в реестре с набором вспомогательных файлов, содержащих резервные копии данных. Вспомогательные файлы для всех ульев, кроме HKEY_CURRENT_USER, находятся в папке % в SystemRoot%\System32\Config Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в %SystemRoot%\Profiles\Username папке. Расширения имен файлов в этих папках указывают тип содержащихся в них данных. Кроме того, отсутствие расширения иногда может указывать на тип содержащихся в них данных.

Hive реестраВспомогательные файлы
HKEY_LOCAL_MACHINE\SAMSam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\SecuritySecurity, Security.log, Security.sav
HKEY_LOCAL_MACHINE\SoftwareПрограммное обеспечение, Software.log, Software.sav
HKEY_LOCAL_MACHINE\SystemSystem, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIGSystem, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS\DEFAULTDefault, Default.log, Default.sav

В Windows 98 файлы реестра называются User.dat и System.dat. В Выпуске Windows Вметье файлы реестра называются Classes. dat, User.dat и System.dat.

Примечание

Функции безопасности в Windows могут позволить администратору управлять доступом к ключам реестра.

В следующей таблице перечислены предопределные ключи, используемые системой. Максимальный размер имени ключа составляет 255 символов.

Папка/предопределяемая клавишаОписание
HKEY_CURRENT_USERСодержит корневой корень сведений о конфигурации для пользователя, который в данный момент вошел в систему. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения связаны с профилем пользователя. Этот ключ иногда сокращен как HKCU.
HKEY_USERSСодержит все активно загруженные профили пользователей на компьютере. HKEY_CURRENT_USER подмайка HKEY_USERS. HKEY_USERS иногда сокращение от HKU.
HKEY_LOCAL_MACHINEСодержит сведения о конфигурации, определенные для компьютера (для любого пользователя). Этот ключ иногда сокращен как HKLM.
HKEY_CLASSES_ROOTЭто подмайка HKEY_LOCAL_MACHINE\Software . Хранимая здесь информация позволяет убедиться, что при открываемом файле с помощью проводника Windows откроется правильная программа. Этот ключ иногда сокращен как HKCR. Начиная с Windows 2000, эти сведения хранятся в ключах HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER ключах. Этот ключ содержит параметры по умолчанию, которые могут применяться HKEY_LOCAL_MACHINE\Software\Classes для всех пользователей на локальном компьютере. Ключ содержит параметры, переопределяют параметры по умолчанию HKEY_CURRENT_USER\Software\Classes и применяются только к интерактивному пользователю. Ключ HKEY_CLASSES_ROOT предоставляет представление реестра, который объединяет сведения из этих двух источников. HKEY_CLASSES_ROOT также предоставляет это объединеннное представление для программ, предназначенных для более ранних версий Windows. Чтобы изменить параметры интерактивного пользователя, необходимо внести изменения в соответствии с HKEY_CURRENT_USER\Software\Classes HKEY_CLASSES_ROOT. Чтобы изменить параметры по умолчанию, необходимо внести изменения в HKEY_LOCAL_MACHINE\Software\Classes . Если вы пишете ключи в ключ под HKEY_CLASSES_ROOT, система сохраняет сведения HKEY_LOCAL_MACHINE\Software\Classes в . Если записать значения в ключ под HKEY_CLASSES_ROOT и ключ уже существует в этом ключе, система будет хранить сведения в этом ключе, а не HKEY_CURRENT_USER\Software\Classes в HKEY_LOCAL_MACHINE\Software\Classes под .
HKEY_CURRENT_CONFIGСодержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.

Примечание

Реестр в 64-битных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32- и 64-битные ключи. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. 64-битная версия редактора реестра по умолчанию, включаемая в 64-битные версии Windows XP, Windows Server 2003 и Windows Vista, отображает 32-битные ключи под HKEY_LOCAL_MACHINE\Software\WOW6432Node узлом.
Дополнительные сведения о просмотре реестра в 64-битных версиях Windows см. в подсистеме просмотра реестра системы с помощью 64-битных версий Windows.

В следующей таблице перечислены типы данных, которые в настоящее время определены и используются Windows. Максимальный размер имени значения:

  • Windows Server 2003, Windows XP и Windows Vista: 16 383 символов
  • Windows 2000: 260 символов ANSI или 16 383 символов Юникода
  • Windows 98/Windows 95: 255 символов

Длинные значения (более 2048 bytes) должны храниться как файлы с именами файлов, хранимые в реестре. Это помогает эффективно работать в реестре. Максимальный размер значения:

  • Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003/Windows Vista: доступная память
  • Windows 98/Windows 95: 16 300 bytes

Примечание

Общий размер всех значений ключа составляет 64 КБ.

NameТип данныхОписание
Двоичное значениеREG_BINARYНеобработанные двоичные данные. Большая часть сведений об аппаратном компоненте хранится в виде двоичных данных и отображается в редакторе реестра в виде формата.
Значение DWORDREG_DWORDДанные, представленные числом длиной 4 бита (32-битное число). Многие параметры драйверов и служб устройств имеют этот тип и отображаются в редакторе реестра в двоичном, hexadecimal или десятичном формате. Связанные значения DWORD_LITTLE_ENDIAN (наименее значимый byte находится на самом низком адресе) и REG_DWORD_BIG_ENDIAN (наименее значимый byte находится на самом высоком адресе).
Расширяемое строковое значениеREG_EXPAND_SZСтрока данных переменной длины. Этот тип данных включает переменные, которые разрешены, когда программа или служба использует эти данные.
Многострочный параметрREG_MULTI_SZНесколько строк. Значения, содержащие списки или несколько значений в форме, которую могут читать люди, обычно являются этим типом. Записи разделяются пробелами, запятой или другими знаками.
СтрокаREG_SZТекстовая строка фиксированной длины.
Двоичное значениеREG_RESOURCE_LISTРяд вложенных массивов, предназначенных для хранения списка ресурсов, используемого драйвером оборудования или одним из физических устройств, которые он контролирует. Эти данные обнаруживаются и записаны в дереве \ResourceMap системой и отображаются в редакторе реестра в виде двоичного значения.
Двоичное значениеREG_RESOURCE_REQUIREMENTS_LISTРяд вложенных массивов, предназначенных для хранения списка возможных аппаратных ресурсов драйвера или одного из физических устройств, которые он может использовать. Система записывает подмножество этого списка в дерево \ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в формате двоичного значения.
Двоичное значениеREG_FULL_RESOURCE_DESCRIPTORРяд вложенных массивов, предназначенных для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и записи в дереве \HardwareDescription системой и отображаются в редакторе реестра в виде двоичного значения.
НетREG_NONEДанные без определенного типа. Эти данные заносят в реестр системой или приложениями и отображаются в редакторе реестра в виде двоичного значения в виде двоичного значения.
ссылок.REG_LINKСтрока Юникода, именуемая символьной ссылкой.
Значение QWORDREG_QWORDДанные, представленные числом, которое является 64-битным числом. Эти данные отображаются в редакторе реестра как двоичное значение и представлены в Windows 2000.

Back up the registry

Перед изменением реестра экспортируйте ключи из реестра, который планируется изменить, или сируйте все его. В случае возникновения проблемы можно следовать шагам в разделе «Восстановление реестра», чтобы восстановить предыдущее состояние реестра. Для резервного копирования всего реестра используйте с помощью резервной копии состояние системы с помощью резервной копии. Состояние системы включает реестр, базу данных регистрации классов COM+ и файлы загрузки. Дополнительные сведения о резервном копировании состояния системы с помощью резервной копии см. в следующих статьях:

Изменение реестра

Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в функциях реестра.

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), групповой политики, системной политики, реестра (REG) или с помощью скриптов, таких как файлы скриптов VisualBasic.

Использование пользовательского интерфейса Windows

Для изменения параметров системы рекомендуется использовать пользовательский интерфейс Windows, а не редактировать реестр вручную. Однако редактирование реестра иногда может быть лучшим способом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошагами инструкции по редактированию реестра для этой проблемы. Мы рекомендуем выполнять эти инструкции в точности.

Использование редактора реестра

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Редактор реестра можно использовать для следующих действий:

  • Найдите подtree, key, subkey или value
  • Добавление подмайки или значения
  • Изменение значения
  • Удаление подмайки или значения
  • Переименование подмайки или значения

Область навигации редактора реестра отображает папки. Каждая папка представляет предопределяемую клавишу на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределяемого ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использование групповой политики

В консоли управления (MMC) размещены средства администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, применяемые к компьютерам или пользователям. Вы можете реализовать групповую политику на локальных компьютерах с помощью локальной оснастки MMC групповой политики Gpedit.msc. Групповую политику в Active Directory можно реализовать с помощью оснастки «Пользователи и компьютеры Active Directory». Дополнительные сведения об использовании групповой политики см. в справке в соответствующей оснастке MMC групповой политики.

Использование файла записей регистрации (REG)

Создайте файл записей регистрации (REG), содержащий изменения реестра, а затем запустите REG-файл на компьютере, где нужно внести изменения. REG-файл можно запустить вручную или с помощью скрипта для запуска. Дополнительные сведения см. в статьях о добавлении, изменении и удалении поднастроек и значений реестра с помощью файла записей регистрации (REG).

Использование хоста скриптов Windows

На хост-компьютере скриптов Windows можно запускать сценарии VBScript JScript сценарии непосредственно в операционной системе. Вы можете создавать VBScript и JScript файлы, которые используют методы хоста скриптов Windows для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах можно получить на следующих веб-сайтах Майкрософт:

Использование инструмента управления Windows

Инструментарий управления Windows (WMI) является компонентом операционной системы Microsoft Windows и является реализацией корпорацией Майкрософт Web-Based Enterprise Management (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии для доступа к информации управления в корпоративной среде. С помощью WMI можно автоматизировать административные задачи (например, изменение реестра) в корпоративной среде. WMI можно использовать в языках сценариев, которые имеют обработок в Windows и обрабатывают объекты Microsoft ActiveX. Для изменения реестра Windows можно также Command-Line WMI Wmic.exe (Wmic.exe).

Дополнительные сведения о инструментарии управления Windows см. в документе «Инструментарий управления Windows».

Дополнительные сведения о средстве WMI Command-Line см. в описании средства командной строки инструментали управления Windows (WMI) (Wmic.exe).

Использование средства реестра консоли для Windows

Для изменения реестра можно использовать средство реестра консоли для Windows (Reg.exe). Для получения справки по Reg.exe введите в командной панели reg /? и нажмите кнопку «ОК».

Восстановление реестра

Чтобы восстановить реестр, используйте соответствующий метод.

Метод 1. Восстановление ключей реестра

Чтобы восстановить экспортированных подмеков реестра, дважды щелкните файл записей регистрации (REG), сохраненный в разделе «Экспорт подмаек реестра». Или можно восстановить весь реестр из резервной копии. Дополнительные сведения о восстановлении всего реестра см. в разделе «Метод 2. Восстановление всего реестра» далее в этой статье.

Метод 2. Восстановление всего реестра

Чтобы восстановить весь реестр, восстановим состояние системы из резервной копии. Дополнительные сведения о восстановлении состояния системы из резервной копии см. в подсистеме резервного копирования для защиты данных и восстановления файлов и папок на компьютере в Windows XP и Windows Vista.

Примечание

При архивном копировании состояния системы также создаются обновленные копии файлов реестра в %SystemRoot%\Repair папке.

Ссылки

Дополнительные сведения можно получить на следующих веб-сайтах:

Каталог тестовых продуктов Windows Server — это справочник по продуктам, которые были протестированы на совместимость с Windows Server.

Data Protection Manager (DPM) является ключевым членом семейства продуктов управления Microsoft System Center и предназначен для помощи ИТ-специалистам в управлении средой Windows. DPM — это новый стандарт резервного копирования и восстановления Windows, который обеспечивает непрерывную защиту данных для приложений и файлового сервера Майкрософт, которые используют легко интегрированные дисковые и ленточные носитли. Дополнительные сведения о том, как создать и восстановить реестр, см. в сведениях о том, как создать и восстановить реестр в Windows XP и Windows Vista.



Что такое реестр Windows и как с ним работать

Доброго времени суток, дорогие читатели. В сегодняшней статье речь пойдет о такой штуке как реестр Windows.

Для большинства пользователей, реестр ассоциируется с чем-то совершенно неизвестным, носит какой-то прямо таки мифический характер и вызывает чуть ли не трепет.

Надо сказать, что всё это не зря, ибо шутить с реестром достаточно опасно и даже маленькое неверное движение приводит зачастую к самым тяжким последствиям. Однако при корректном обращении он становится незаменимым инструментом по настройке Windows.

Нижеописанные советы прояснят некоторые вещи для Вас и проложат некий путь, идя по которому Вы научитесь основам обращения с реестром, чтобы, при необходимости, Вы смогли без особой боязни вносить изменения в его параметры.

Поехали.

Реестр Windows — вводная и термины

Можно сказать, что системный реестр Windows представляет собой базу данных, в которой хранятся различные значения параметров ОС (операционной системы) и установленных Вами приложений.

Преимуществом использования реестра является возможность изменять такие параметры, к которым Вы не доберётесь с помощью окон Windows.

Однако, с другой стороны, изменение этих опций не подкреплено подсказками, визуальным оформлением и всякими предостережениями от неправильных действий, которые зачастую даются при использовании панели управления или других опций системы\программ.

Таким образом, работа с ними представляет собой, так сказать, ходьбу по минному полю для неосведомлённых пользователей и, особенно в силу отсутствия визуальной наглядности, многие даже близко не подходят к этому инструменту.

к содержанию ↑

Что делает реестр Windows?

Вообще механизм его работы достаточно прост. При установке программы (или изменении какого-либо параметра Windows в любом из меню настроек) система сама разыскивает нужные параметры и вносит коррективы в одно из значений реестра.

Например, сие происходит при удалении приложений с помощью инструмента «Установка и удаление программ» («Панель управления»).

Кстати, когда Вы по безалаберности удаляете папку с установленной программой посредством простого нажатия Удалить в Мой компьютер, а не через соответствующие инструменты в системе, пункты реестра, отвечающие (а именно содержащие настройки программы, информацию о расположении и тд и тп) за эту программу, не исчезают, а остаются в системе и таким образом захламляют её.

Вот почему так важно грамотно удалять приложения, своевременно очищать жёсткий диск и ухаживать за системой, о чем я неоднократно писал в своих статьях — «Чистим реестр, временные файлы и “следы” после удаления программ» или, скажем, «Удаляем любые программы начисто».

Как выглядит реестр? Это некая таблица, содержащая в себе все записи реестра, которая хранится на жёстком диске в виде нескольких файлов, но заныкана она так, что единственный путь работы с ней – использование встроенных инструментов Windows или сторонних программ.

к содержанию ↑

regedit — смотрим на реестр Windows своими глазами

Чтобы войти в Windows-средство для правки реестра откройте «Пуск» -> «Выполнить», затем в появившемся окне напишите regedit и нажмите Enter.

Перед Вам появится штука (она и есть встроенный Windows-редактор реестра), в которой Вы сможете посмотреть, что же представляет собой сие чудо, о котором я веду речь в этой статье.

Хранящиеся значения разделены на категории и размещены в папках, наподобие тех, которые Вы так привыкли видеть в «Мой компьютер». Чтобы раскрыть папку нажмите по ней пару раз мышкой или воспользуйтесь небольшим плюсиком рядом с её названием.

Папки раздела называются ключами, а содержимое папок, которое отобразится справа, – значениями.

к содержанию ↑

Зачем может быть нужен реестр Windows

Перед тем, как начать мучить и ковырять систему, предупреждаю: информация, сохранённая в реестре, очень важна для корректной работы Windows, её изменение или удаление может привести к сбою в работе компьютера.

Также стоит отметить, что изменения вступают в силу тогда, когда вы их сделали. Реестр Windows – это не документ Word, в котором вы подтверждаете или отменяете внесение поправок в настройки, поэтому ни в коем случае не изменяйте неизвестные вам параметры.

Самый лёгкий способ обезопасить систему – перед совершением каких либо действий, создать точку восстановления (об этом читайте ниже), которая автоматически сделает копию реестра и к ней Вы, скорее всего (но не всегда), сможете вернуться в случае возникновения проблем.

Иногда стоит записывать внесённые изменения на бумагу, что значительно упростит поиск неисправности, если что-либо пойдёт не так, как планировалось (в голове все не удержишь).

Насколько важен реестр Windows, можно судить по тому, что система самостоятельно создаёт резервные копии всех его значений при каждой загрузке, а поэтому в системе есть такой вариант, как «Загрузка последней удачной конфигурации» (обитает там же где и безопасный режим, а именно при нажатии кнопки F8 перед загрузочным экраном Windows XP (там ползет полосочка)).

к содержанию ↑

Чем и как редактировать реестр

Существует множество программ, предоставляющих большой набор функций для работы с реестром, однако при выборе таких средств надо быть внимательными, поскольку непрофессиональные реализации программ могут негативно сказаться на работе системы.

Поэтому, стоит использовать лишь проверенные приложения или инструменты системы. Я предпочитаю встроенный в Windows инструмент regedit речь о котором уже шла чуть выше (и будет идти чуть ниже 🙂 ).

Вообще управлять реестром не так сложно как кажется, прежде всего Вы должны знать какие из значений изменять и на что их изменять. А там уж дело техники.

Главное окно управления программы Regedit практически не отличается по внешнему виду от привычного пользователю Windows проводника.

Кроме этого, она, как и Internet Explorer, обладает меню «Избранное», которое можно использовать для быстрого доступа к параметрам различных ключей.

Для этого выделите нужное значение, нажмите Избранное — Добавить в избранное, введите название и нажмите кнопку «ОК». Эта функция очень пригодится, если вам нужно регулярно вносить изменения в одну или несколько опций.

к содержанию ↑

За что отвечают категории реестра и что можно в нём делать

Каждая из пяти основных категорий отвечает за хранение своего набора параметров. Например, HKCU – она же HKEY_CURRENT_USER – содержит в себе ключи, управляющие настройками конкретного пользователя, а HKEY_LOCAL_MACHINE – операционной системы в целом.

Я приведу несколько простейших примеров по работе с реестром дабы Вам были понятны основы:

Очищаем историю

  • Несмотря на то, что список сайтов, которые Вы посетили c помощью Internet Explorer можно удалить вручную, они все таки всплывут, когда Вы будете вводить в адресную строку схожие варианты;
  • Избавиться от этой истории можно с помощью сторонних программ или по средством правки реестра. Открываем regedit и проходим по пути «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs»;
  • Зайдя туда, в правой части редактора Вы увидите список адресов, которые Вы можете удалить путём выделения и нажатия на кнопку «Удалить» (предварительно тыкнув правой кнопкой мышки на том, что мы хотим удалить).

Ну или например.

Блокируем диспетчер задач

С помощью реестра можно разблокировать или заблокировать диспетчер задач:

  • Откройте regedit и перейдите к «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\»;
  • Если в левой части, ниже «Policies», Вы не обнаружите директорию «System» щелкните правой кнопкой мыши по «Policies» и выберите пункт «Создать», а потом «Раздел»;
  • Чуть ниже появится новая папка, которую вам надо переименовать в «System»;
  • Далее, в окне с параметрами (это справа), тыкните правой кнопкой мышки, выберите Создать -> Параметр DWORD и задайте ему имя DisableTaskMgr;
  • Тыкните по нему правой кнопкой мыши и выберите пункт «Изменить»;
  • В строке ввода значения поставьте 1 для выключения (или 0 для включения) диспетчера задач, а затем установите переключатель «Система исчисления» на «Десятичная»;
  • После этого, при попытке вызова диспетчера задач будет появляться «Диспетчер задач отключён администратором» (или наоборот это сообщение исчезнет, если он был заблокирован).

Двигаемся далее.

к содержанию ↑

Осторожность при применении

Хотелось бы ещё раз предостеречь вас от изменений неизвестных значений. Каждый раз, погружаясь в настройки, создавайте контрольные точки для восстановления, а также производите резервное копирование важных файлов. Это защитит Вас от случайных сбоев и потери информации.

Дабы создать точку восстановления, нажмите «Пуск — Выполнить — msconfig — Восстановление системы». В открывшемся окне вам необходимо выбрать «Создать точку восстановления», после чего, следуя подсказкам, Вы без проблем сохраните нынешнее состояние ОС. Восстановить прежнее состояние можно также с помощью этого меню, воспользовавшись соседним пунктом.

Дабы сделать резервную копию ветки реестра\реестра целиком, запустите regedit, выделите нужный раздел\ветку\папку, нажмите «Файл — Экспорт», а затем выберите куда сохранить файл .reg.

Дабы потом воспользоваться этой резервной копией либо нажмите Файл — Импорт, либо просто надавите мышкой на файл и подтвердите кнопочкой «Да» добавление данных в реестр Windows.

Если Вы сохраняете какую-то ветку, то она сохраняется (и импортируется, соответственно, тоже) с подпапками и со всеми значениями в ней.

к содержанию ↑

Послесловие

Вот такие пироги. Кстати говоря, на просторах всемирной паутины есть очень много веб-сайтов, которые повествуют о различных параметрах и изменениях в реестре. Будьте внимательны, не стоит использовать первый попавшийся совет, не зная результата.

Опять же я не могу не упомянуть о spyware и прочих шпионских модулях, считающих реестр Windows своим вторым домом. Дабы держать свою систему в безопасности обязательно имейте под рукой антивирус, а так же проверяйте систему на наличие Spyware с помощью, например, этой моей статьи и указанным в нем софте.

Если есть какие-то вопросы или дополнения по статье — милости прошу, оставляйте комментарии 😉

PS: Статья написана благодаря огромным стараниям постоянного читателя — Некраш Сергей — за что ему огромное спасибо. Проделанная им работа достойна уважения.

Что такое системный реестр Windows?

Официальное издание компании Microsoft – Microsoft Computer Dictionary – определяет системный реестр Windows (Windows Registry, регистр Windows) как иерархическую централизованную базу данных, используемую в операционных системах Microsoft, начиная с версии Microsoft Windows 98, и предназначенную для хранения сведений, необходимых для настройки операционной системы, для работы с пользователями, программами и устройствами.

Таким образом, системный реестр Windows – прежде всего основа операционной системы, огромная база данных настроек, хранящихся в папках %SystemRoot%\System32\Config и папке пользовательских профилей (Ntuser.dat). Без него операционная система была бы просто набором программ, неспособных выполнить даже простейшие функции ОС. Все, включая любые детали конфигурационных данных, размещено в системном реестре. Все хранящиеся в реестре данные представлены в стандартизированной форме и четко структурированы согласно предложенной разработчиками Windows иерархии. Информация в системном реестре хранится в бинарном, то есть в двоичном представлении, что позволяет не только помещать туда значительно больший объем различных данных, но и существенно увеличить скорость работы с ним.

В системном реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах. К этим данным операционная система постоянно обращается во время загрузки, работы и ее завершения. Многие программы хранят не только данные о своих настройках в реестре, но и данные об их регистрации, особенно это касается пробных («триальных») версий, которые истечение пробного срока проверяют через системный реестр Windows.

В случае установки или удаления каких бы то ни было устройств, приложений, данных о пользователях или системных компонентов информация о подобных изменениях записывается в реестр и считывается оттуда в ходе каждой загрузки операционной системы. Неудивительно, что со временем размер системного реестра постоянно увеличивается, что отрицательно сказывается и на времени доступа к нему. При удалении многие программы оставляют за собой недействительные более ключи, неверные ссылки, а это приводит к тому, что в реестре Windows появляется огромное количество мусора, также отрицательно сказывающегося на времени доступа.

Изучение работы операционной системы дало информацию, что во время запуска системы происходит до тысячи обращений к системному реестру, а во время работы на ПК в течение одного сеанса работы – до 10 тысяч. Из этого можно сделать вывод: от того, какие именно параметры указаны в реестре, во многом зависят возможности операционной системы, ее быстродействие и алгоритм работы всего компьютера в целом.

Сказанное выше приводит и к следующему выводу: некорректное изменение хранящейся в системном реестре информации вполне способно нарушить работоспособность Windows. Достаточно допустить ошибку в записи значения какого-либо ключа или параметра, и пользователь больше не сможет загрузить компьютер. Именно по этой причине разработчики ОС заметно ограничили доступ к реестру Windows, и редактировать его параметры, касающиеся безопасности, могут только пользователи ОС, имеющие в системе учетную запись администратора.

Теперь о том, в каком виде хранится реестр в операционной системе. Его версии для разных операционных систем семейства Windows имеют определенные различия. Например, в Windows 98 файлы системного реестра называются User.dat и System.dat. В Windows Millennium Edition — Classes.dat, User.dat и System.dat.

Реестр Windows XP и более старших версий устроен несколько сложнее. Хотя в программах просмотра реестра он представляется нам в виде единой базы данных, но на физическом уровне реестр неоднороден и состоит из множества файлов, каждый из которых отвечает за собственный объем представленной в этой базе информации.

Некоторые из отображаемых в системном реестре сведений никогда не сохраняются на диске в виде физических файлов, а помещаются в память компьютера в процессе его загрузки и утрачиваются в момент отключения питания. Такие разделы реестра получили название энергозависимых (volatile). В частности, к энергозависимым разделам реестра Windows относятся данные, в которых аккумулируются сведения о подключенном в системе оборудовании и назначенных различным устройствам ресурсах: запросах на прерывание (IRQ), каналах прямого доступа к памяти (DMA) и диапазонах ввода/вывода (I/O Range). Поскольку опрос, инициализация устройств и динамическое распределение ресурсов производятся именно в ходе загрузки Windows, все эти сведения хранятся непосредственно в памяти компьютера: при следующем запуске машины состав оборудования может оказаться уже другим.

Прочие компоненты реестра Windows, хранящие данные о конфигурации операционной системы, ее настройках и параметрах, содержатся в системной папке %systemroot%\System32\Config. Файлы, включающие сведения о профилях пользователей Windows XP, хранятся в папке %systemroot%\Profiles. И наконец, все данные, относящиеся к каким-либо конкретным настройкам системы для каждого пользователя, а также данные об их персональной конфигурации рабочей среды представлены в папках %Drive%\Documents and Settings\%UserName%, где %Drive% — имя дискового раздела, на котором установлена Windows XP, а %UserName% — папка, имя которой соответствует имени одного из зарегистрированных в системе пользователей. Дополнительные сведения о локальных пользователях Windows по умолчанию содержатся в папке %Drive%\Documents and Settings\LocalService, а данные о настройках системы для удаленных пользователей — в папке %Drive%\Documents and Settings\NetworkService.

С появлением 64-х разрядных операционных систем появились различия и в их системных реестрах – реестры 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista подразделяется на 32- и 64-разрядные разделы. При этом большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот.

Трюки с реестром Windows. Часть 1

Реестр Windows, как известно, представляет собой настоящую сокровищницу всевозможных «тонких» настроек операционной системы и различных ее компонентов, а раз так, то неплохо бы было досконально изучить его на предмет чего-нибудь вкусненького и заодно полезного. Чему, собственно, и посвятим сегодняшний материал. Не будем пользоваться специальными программными утилитами-твикерами, а постараемся «покопать» в этом направлении вручную.
Перед тем как перейти к делу, спешим напомнить, что реестр является наиболее уязвимым элементом Windows, и любое некорректное вмешательство в его недра может частично лишить «форточки» работоспособности или вообще отправить систему на «тот свет».

Реестр Windows, как известно, представляет собой настоящую сокровищницу всевозможных «тонких» настроек операционной системы и различных ее компонентов, а раз так, то неплохо бы было досконально изучить его на предмет чего-нибудь вкусненького и заодно полезного. Чему, собственно, и посвятим сегодняшний материал. Не будем пользоваться специальными программными утилитами-твикерами, а постараемся «покопать» в этом направлении вручную.
Перед тем как перейти к делу, спешим напомнить, что реестр является наиболее уязвимым элементом Windows, и любое некорректное вмешательство в его недра может частично лишить «форточки» работоспособности или вообще отправить систему на «тот свет».

Поэтому, чтобы не лить потом в три ручья горькие слезы, рекомендуем перед началом экспериментов создать резервную копию реестра.

Сделать это можно несколькими способами:

  • Экспортировать с помощью редактора реестра (Пуск -> Выполнить… -> regedit.exe), либо, набрав в командной строке regedit.exe /E c:\all.reg, скопировать все ветки реестра в файл all.reg.
  • Воспользоваться программой архивации и восстановления системы (Пуск -> Программы -> Стандартные -> Служебные -> Архивация данных), входящей в стандартную поставку многих ОС Windows.
  • Взять на вооружение какую-либо специализированную программу, например, jv16 PowerTools 2006.

И последнее замечание. Все нижеследующие манипуляции с реестром рассчитаны главным образом на систему Windows популярной линейки 2000/XP/2003, для других версий ОС эффективность приведенных советов не гарантируется.
Что ж, пожалуй, начнем.

Очистка файла подкачки после завершения работы

Во время своей работы Windows активно использует файл подкачки pagefile.sys, перенаправляя в него данные, не умещающиеся в оперативной памяти компьютера. Естественно, после плодотворной и творческой работы, часть информации (порой и конфиденциального характера) может в нем осесть. Поэтому, чтобы не оставлять злоумышленнику не единого шанса, запускаем редактор реестра, находим ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management и присваиваем параметру ClearPageFileAtShutdown значение «1». Все.
Важно лишь помнить, что пользоваться этим маниакальным средством нужно лишь в случае действительно крайней необходимости, потому как в обычной жизни активация этой функции Windows может только навредить нервной системе пользователя, которому рано и поздно порядком поднадоест томительное ожидание перезагрузки или отключения компьютера.

С появлением миниатюрных, доступных по цене USB-носителей вопрос информационной безопасности стал как никогда актуальным. Ведь, посудите сами, практически любой сотрудник офиса без особого труда, озлобившись на все и вся, может унести любую информацию из корпоративной сети, тем самым, нанеся ощутимый финансовый урон компании. Одним из эшелонов обороны от таких недоброжелательных пользователей является блокирование записи данных на внешние USB-диски.
Для активации этой функции находим в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control раздел StorageDevicePolicies (если такового ключа нет, то создаем его) и формируем в нем DWORD-параметр WriteProtect со значением «1» (включено) или «0» (отключено), после чего закрываем редактор реестра и перезагружаем компьютер для активации изменений.

Замечание. Данная «фича» работоспособна только на Windows XP с установленным вторым сервис-паком.

К редактированию списка проинсталлированных приложений, ютящегося в меню «Панель управления -> Установка и удаление программ», иногда прибегают опытные пользователи для наведения там порядка и удаления «мертвых» ссылок на стертые ранее приложения. К тому же, подобная опция вполне пригодится для защиты от случайной деинсталляции того или иного программного обеспечения.

Впрочем, от слов — к делу. Чистка списка достигается путем удаления соответствующих разделов ветки HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall (см. скриншот).

Автоматический вход в Windows

В случае если за компьютером работает только один пользователь, то сэкономить время при загрузке операционной системы поможет функция автоматического входа в Windows. Тут, правда, есть два «но»: первое — не стоит забывать об информационной безопасности своего рабочего места (ведь доступ к вашим файлам и документам сможет получить любой человек), второе — логин и пароль, указанные в качестве идентификационных параметров, хранятся в реестре и не шифруются.
Схема настройки следующая. Находим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и там работаем со следующими строковыми параметрами (если некоторые из них отсутствуют, то их необходимо создать):

  • значение AutoAdminLogon ставим равным «1»
  • в DefaultUserName указываем имя пользователя, в поле DefaultPassword его пароль
  • при наличии домена в сети корректируем параметр DefaultDomainName

Сохраняем изменения и пользуемся на здоровье.

Автор: Андрей Крупин

Ещё статьи о Windows


    • Трюки с реестром Windows часть 3

      Обычно при наборе в адресной строке IE какой-нибудь фразы, не соответствующей формату интернет-адреса, браузер передает эту строку установленному в параметрах онлайновому поисковику от Microsoft (auto.search.msn.com). Однако, отдавая…


    • Настройка бэкапа данных «1С:Бухгалтерии»…

      Недавно у меня, как, наверное, и у многих других системных администраторов, возникла необходимость ежедневного сохранения копии данных «1С:Бухгалтерии» на другой жесткий диск с глубиной давности в семь дней. Что это значит? А то, что на. ..


    • Для чего нужно контролировать трафик в сети?…

      Для чего нужно контролировать трафик в сети?
      На сегодняшний день каждый современный человек сидит в Интернете. Кто-то зарабатывает деньги с помощью систем копирайта и рерайта, кто-то создает сайты, другие люди просто играют в игры и…


    • Безопасное шифрование данных в NTFS

      Как показывает практика, от применения шифрования очень часто страдают сами пользователи, а не взломщики. Если система неожиданно «упадет» (а это рано или поздно случается), то восстановить данные будет практически невозможно.Чтобы…


    • Установка Windows с usb флешки

      Возможна ли установка Windows с usb флешки? Конечно да, причем не важно — XP, 7 или 8. Возможность установки операционной системы с помощью флешки актуальна для нетбуков, ультрабуков или для компьютеров, у которых не работает привод. Но…


    • Сводные таблицы и диаграммы в Excel

      Сводные таблицы и диаграммы в Excel
      Сводные таблицы – моя любимая тема. Слышали когда-нибудь про OLAP-кубы? OLAP — On-Line Analytical Processing – это способ организации больших коммерческих баз данных. Данные OLAP организованы таким…

Основы работы с реестром Windows – Вадим Стеркин

В этой статье излагаются базовые принципы работы с реестром Windows, знание которых пригодится вам в настройке операционной системы при помощи твиков реестра.

Терминология

Прежде чем перейти к делу, нужно определиться с терминологией. Я использую официальную терминологию Microsoft, поэтому термины вполне соответствуют элементам редактора реестра.

Рисунок 1 — Редактор реестра

Разделы реестра
Параметры реестра
Значения параметров

Как видите, здесь нет никаких «веток» и «ключей». Теперь к делу.

REG-файл

REG-файл — это текстовый файл с расширением REG, составленный в определенном формате.

Формат REG-файла

Ниже приводится пример REG-файла, отключающего меню недавних документов.

Windows Registry Editor Version 5.00

;Отключить меню недавних документов
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
Создание REG-файла

Создать REG-файл очень просто. Скопируйте код в любой текстовый редактор (например, Блокнот). Нажмите CTRL+S и сохраните файл с любым именем и расширением .reg, заключая оба в кавычки, чтобы избежать расширения txt.

Рисунок 2 — Создание REG-файла

Синтаксис REG-файла
  • Windows Registry Editor Version 5.00 — заголовок файла, являющийся его неотъемлемой частью. Также в качестве заголовка вы можете встретить REGEDIT4 — это формат Windows 98 / NT 4.0, который впрочем поймут и более новые операционные системы Windows. Подробнее о различиях в форматах можно прочитать на сайте JSO FAQ (на английском языке).
  • ;Отключить меню недавних документов — комментарий. Все строки, начинающиеся с ; (точка с запятой) представляют собой комментарии.
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] — это раздел реестра. Графически (в редакторе реестра) он представляет собой путь к параметру. В формате REG-файлов разделы всегда заключаются в квадратные скобки. В этом примере (под)раздел Explorer принадлежит разделу HKEY_CURRENT_USER.
  • «NoRecentDocsMenu»=hex:01,00,00,00 — параметр реестра и его значение. В зависимости от значения параметра, меняется поведение операционной системы или объекта. Многие параметры можно настроить в графическом интерфейсе операционной системы, но далеко не все. В таких случаях для изменения параметра используют редакторы реестра, твикеры или REG-файлы.

В REG-файле может содержаться несколько разделов и параметров реестра, но заголовок используется только в самом начале.

Пример:

Windows Registry Editor Version 5.00

;Отключить перезагрузку в случае BSOD
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

;Отключить уведомление на экране приветствия о непрочитанных сообщениях
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UnreadMail]
"MessageExpiryDays"=dword:00000000

Данный REG-файлом был получен путем экспорта из редактора реестра regedit. exe. При помощи REG-файлов можно вносить изменения в системный реестр — эта операция называется импортом параметров реестра.

Экспорт параметров реестра

Экспорт параметров реестра является несложной задачей. Как правило, параметры экспортируют перед внесением изменений в реестр (резервное копирование), либо для того чтобы создать REG-файл для последующего импорта в реестр другого компьютера или при автоматической установке системы.

Экспортировать параметры реестра можно различными способами.

Редактор реестра Windows (regedit.exe)

В состав ОС Windows входит программа для редактирования реестра — regedit.exe. Поскольку она располагается в системном каталоге, для ее запуска в командной строке не нужно указывать полный путь (например, достаточно будет такой последовательности: Пуск — Выполнить — regedit — OK).

Для того чтобы экспортировать раздел реестра, достаточно щелкнуть по нему правой кнопкой мыши и выбрать из контекстного меню команду Экспортировать (в Windows 2000 эта команда расположена в меню Файл).

Другие редакторы реестра

Существует великое множество программ для внесения изменений в системный реестр, которые также обладают возможностью экспорта параметров. Если Вы часто работаете с реестром, то Вам, наверняка, пригодится программа, обладающая адресной строкой. В адресную строку можно вставить скопированный (из статьи или из сообщения на форуме) раздел реестра и быстро перейти к нужному параметру. Примером такой программы может служить RegWorks.

Командная строка

Из командной строки экспорт параметров реестра можно выполнить при помощи команды REG EXPORT, обладающей следующим синтаксисом.


REG EXPORT

      Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
         (только для локального компьютера).
      Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
      Полный путь к разделу реестра в выбранном корневом разделе.
      Имя файла на диске для экспорта.

Примеры:

  REG EXPORT HKLM\Software\MyCo\MyApp AppBkUp. reg
    Экспортирует все подразделы и значения параметров раздела MyApp
    в файл AppBkUp.reg

Импорт параметров реестра

Импорт параметров реестра можно осуществить несколькими способами.

Запуск REG-файла при помощи графического интерфейса

Это самый простой способ. Он заключается в запуске REG-файла, содержащего необходимые параметры, двойным щелчком мыши или из командной строки.

Двойной щелчок мыши

Как это ни тривиально звучит, но двойным щелчком мыши на REG-файле можно внести изменения в реестр. Правда, сначала система уточнит, действительно ли вы хотите это сделать. В случае положительного ответа изменения будут внесены.

Рисунок 3 — Система запрашивает подтверждение на внесение изменений.

Из-за этого запроса такой способ не подходит для импорта параметров в реестр во время автоматической установки системы. Но есть и другие способы.

Командная строка

Для импорта REG-файлов из командной строки существует команда REGEDIT. Набрав в командной строке

REGEDIT C:\hklm.reg

Вы получите точно такое же диалоговое окно, как при двойном щелчке мыши. Подавить появление диалогового окна можно запустив команду с параметром /S. Именно этот способ чаще всего применяется во время автоматической установки Windows.

REGEDIT /S C:\hklm.reg
Команда REG ADD

При помощи команды REG ADD также можно импортировать параметры реестра. Она удобна тем, что команды для импорта параметров можно включить в состав пакетного файла, выполняющего также и другие задачи (т. е. нет необходимости в дополнительном REG-файле). Например, эта команда нередко применяется для импорта значений реестра в раздел RunOnceEx и последующей установки программ при первом входе в систему. Синтаксис команды достаточно прост — посмотрите его самостоятельно, выполнив в командной строке команду REG ADD.

INF-файл

Импортировать параметры в реестр можно и при помощи INF-файлов. Их общий синтаксис несколько сложнее, чем у REG-файлов, но непосредственно запись в реестр осуществляется достаточно просто. Ниже приводится пример из аддона Msgina


[Version]
Signature="$Windows NT$"

[Optional Components]
Msgina

[Msgina]
OptionDesc="Msgina"
Tip="Библиотека GINA входа в систему"
Modes=0,1,2,3
AddReg=Msgina.AddReg

[Msgina.AddReg]
HKLM,"Software\Policies\Microsoft\Windows\System\Shutdown","ShowHibernateButton",0x10001,1
HKLM,"Software\Policies\Microsoft\Windows\System\Shutdown","HibernateAsButton",0x10001,1

Примечание. Дополнительную информацию об INF-файлах можно найти в подробном руководстве.

Как восстановить реестр операционной системы Windows — Starus Recovery

Если посреди “ясной погоды” ваш компьютер стал тормозить или вовсе отказывается запускаться, первое на что следует обратить внимание — реестр Windows. Это один из важнейших и ключевых элементов работы операционной системы, от которого зависит функционирование большинства установленных программ. В связи с этим любая реестровая ошибка может поставить под угрозу работу всего компьютера. Но обо всем по порядку. Давайте сперва разберем что же такое этот реестр.


Содержание статьи:


 

Что такое реестр Windows

Реестр — это база данных компьютера. Он хранит в себе информацию с настройками и параметрами, необходимыми для корректной работы программного и аппаратного обеспечения. Например, для каждой программы существует своя реестровая ветка, которая содержит данные о местоположении софта, его версии и способе запуска.

 

Причины повреждения реестра

Возникновение каждой ошибки имеет за собой определенную цепочку событий, которая вызвала ее. Неважно в чем именно произошел сбой — повредился реестр или вредоносная программа поразила драйвер. Всему есть причина и следствие.

5 распространенных причин повреждения реестра:

1. Запись отсутствующего программного обеспечения.

Уровень угрозы: низкий.

Появляется вследствие удаления программы, которая после стирания оставляет за собой некоторые фрагменты кода. Несмотря на то, что многие программы по чистке реестра смело назовут такую запись опасной, она не представляет высокой угрозы и занимает в памяти компьютера не больше нескольких килобайт.

2. Дубликаты.

Уровень угрозы: низкий.

Данный феномен возникает вследствие повторной установки программного обеспечения. Ключ может храниться как в двух экземплярах, так и в большом количестве. Программы по чистке реестра утверждают, что избыток дубликатов придет к снижению производительности приложения, однако на деле это не критично.

3. Высокая фрагментация реестра.

Уровень угрозы: средне-низкий.

Не является серьезной проблемой, поскольку это явление весьма похоже на ситуацию с дубликатами. Только в отличие от многократно повторяющихся записей, здесь мы наблюдаем их “разбросанностью” по веткам.

4. Ошибки при отключении питания.

Уровень угрозы: средний.

Не стоит недооценивать важность корректного выключения компьютера. Если вы привыкли при завершении работы нажимать на “большую красную кнопку” в системном блоке, то рано или поздно наверняка столкнетесь с реестровой ошибкой. Каждый раз при выключении компьютера, Windows сохраняет текущее состояние реестра в системную память. Если же питание пропало внезапно посреди работы важного процесса, вероятно при включении ПК, Windows уведомит вас об ошибке.

5. Вредоносное программное обеспечение и вирусы.

Уровень угрозы: высокий.

Любое заражение вирусом подразумевает или внедрение опасного для системы ключа или модификацию уже существующих программ. Каждое из этих изменений способно привести к катастрофическим для компьютера последствиям.

Как избежать повреждений реестра

Самый простой ответ на этот вопрос — постараться не допустить ситуаций, описанных выше. Тем не менее, мы не всегда можем уследить за каждым нюансом. Бывает, что забываем об этом, а случается так, что просто нет лишнего времени. Однако существует способ, который с гарантией в 99% помогает избежать всех возможных повреждений.

1. С помощью комбинации клавиш Windows + R запустите утилиту Выполнить и введите команду regedit. Нажмите Enter.

2. Перед вами откроется окно Редактор реестра.

3. Щелкните по клавише Файл и выберите параметр Экспорт.

4. Сохраните текущее состояние регистра в удобную для вас папку.

5. Теперь вы всегда можете восстановить регистр просто загрузив созданный недавно файл.

В этой статье мы рассмотрим 4 способа восстановления реестра, которые которые помогут вам в исправлении как текущих ошибок, так и возможных повреждений в будущем.

Восстановление реестра Windows

Способ №1. Восстановление с помощью резервной копии

Мы редко думаем о последствиях наших действий, поэтому первый способ используется довольно редко. Главная причина этому — необходимая предусмотрительность. Если вы не сделали резервную копию реестра перед установкой программы, вызвавшей сбой, то данный способ теряет всякую эффективность. Тем не менее, как вводный курс в сферу восстановления реестр, его необходимо рассмотреть.

1. Откройте папку в которой лежит резервная копия реестра Windows.

2. Щелкните правой кнопкой по файлу и выберите параметр Слияние.

3. Готово. Регистр восстановлен к рабочему состоянию.

Дополнительно:

Планировщик заданий Windows автоматически создает копию реестра операционной системы раз в 10 дней. Поэтому, если вы уверены, что 10 дней назад реестр был в полном порядке, загрузите автоматически созданное сохранение. Найти его можно по следующему пути:

C:\Windows\System32\config\RegBack

Здесь вы можете восстановить любой тип ключей:

  • Default.

    Восстанавливает настройки по умолчанию для новых пользователей.
  • Security.

    Восстановление настроек безопасности Windows.
  • Software.

    Восстановление настроек программного обеспечения.
  • System.

    Восстановление системных настроек.
  • SAM (Security Accounts Manager).

    Восстановления хеша паролей.

Способ №2. Восстановление с помощью Windows RE (командная строка)

Вы не сможете реализовать данный способ в запущенной операционной системе. Несмотря на то, что в нем задействована командная строка, вам потребуется особый режим компьютера — запуск среды восстановления Windows (Windows RE).

Как запустить среду восстановления Windows:

1. Откройте Настройки Windows с помощью клавиш Windows + I.

2. Перейдите в раздел Обновление и безопасность.

3. Откройте подраздел Восстановление.

4. Найдите пункт Особые варианты загрузки и щелкните по клавише Перезагрузить сейчас.

Исправление ошибок реестра:

Сначала нужно узнать точную букву диска на котором установлена операционная система. Это может странно звучать, но в среде восстановления имя системного диска может отличаться от имени устройства в рабочем компьютере.

Как только ПК запустится в режиме восстановления Windows, найдите инструмент запуска командной строки и выполните следующее:

1. В окне командной строке введите команду diskpart.

2. Теперь введите команду list volume. Она позволит отобразить список подключенных к компьютеру дисков.

Итак, мы определились, с тем, что буква диска в diskpart среды восстановления идентична букве диска в рабочем состоянии. На этом этапе нам нужно восстановить реестр из резервной копии:

Еще раз откройте командную строку и введите команду xcopy c:\windows\system32\config\regback c:\windows\system32\config

Пусть вас не смущает длина команды — она правильная и все работает, пишется в одну строку.

Если же буквы системных дисков в diskpart отличались, просто замените букву с: на нужную. Например:

xcopy d:\windows\system32\config\regback d:\windows\system32\config

Закройте командную строку и выйдите из средства восстановления Windows.

Способ №3. Восстановление с помощью Windows RE (копирование файлов)

Если во втором способе мы восстанавливали реестр с помощью резервной копии, то в этом мы сделаем копирование нужных файлов.

1. Откройте Настройки Windows с помощью клавиш Windows + I.

2. Перейдите в раздел Обновление и безопасность.

3. Откройте подраздел Восстановление.

4. Найдите пункт Особые варианты загрузки и щелкните по клавише Перезагрузить сейчас.

5. После перезапуска откройте командную строку.

6. Введите команду notepad.

7. В открывшемся меню блокнота войдите в меню Файл, щелкните Открыть и перейдите по следующему пути: Windows > System32 > config. В опции Тип файла выберите Все файлы.

8. Измените формат файлов DEFAULT, SAM, SECURITY, SOFTWARE и SYSTEM на .old или .bak.

9. Перейдите в папку RegBack.

10. По очереди скопируйте каждый файл из папка RegBack и вставьте их в папку config. Сделать это можно комбинацией клавиш Ctrl + CCtrl + V.

Покиньте среду восстановления и перезапустите компьютер.

Способ №4. Восстановление реестра в Windows 10

Начиная с версии 1803, в операционной системе Windows больше не создаются резервные копии реестра. Даже не смотря на то, что в “Планировщике заданий” все еще присутствует эта функция — она больше не реализуется.

В сложившейся ситуации единственное что мы можем сделать — принудительно заставить Windows делать копии реестра. Выполняется это следующим образом:

1. Запустите командную строку от имени администратора.

2. Введите команду md %WinDir%\system32\config\RegBack & schtasks /create /ru system /sc daily /st 16:00:00 /tn «RegIdleBackup» /tr «cmd /c del /f /q %WinDir%\system32\config\RegBack & cd /d %WinDir%\system32\config\RegBack & reg save HKLM\SAM SAM & reg save HKLM\SECURITY SECURITY & reg save HKLM\SOFTWARE SOFTWARE & reg save HKLM\SYSTEM SYSTEM & reg save HKU\.DEFAULT DEFAULT»

При желании, вы всегда можете изменить время создания резервной копии с 16:00 на любое удобное вам.

Восстановить реестр из резервной копии, созданной таким образом, можно через среду восстановления Windows способом, описанным выше.

Напоминаем команду:

xcopy c:\windows\system32\config\regback c:\windows\system32\config

В большинстве случаев восстановить реестр можно только с помощью среды восстановления Windows и командной строки. Однако, к сожалению, это невозможно при отсутствии необходимых файлов бэкапа. Поэтому, во избежание неприятных ситуаций, постарайтесь позаботиться об их автоматическом или ручном своевременном создании.

 

Надеемся, статья была для вас полезной и помогла разобраться в теме восстановления реестра.

 


Похожие статьи про восстановление данных:

Дата:

Теги: Windows, Восстановление файлов, Как восстановить, Компьютер, обновление

Windows Defender больше нельзя отключить через реестр — «Хакер»

На прошлой неделе журналисты Bleeping Computer обратили внимание, что после релиза Windows 10 1903 и появления защитной функции Tamper Protection стало невозможно отключить Windows Defender с помощью реестра, командной строки или групповых политик.

Издание поясняет, что раньше Windows Defender отключался с помощью групповой политики Turn off Microsoft Defender Antivirus. В этом случае в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, появлялся параметр DisableAntiSpyware, значение которого устанавливалось на «1».  Однако в Microsoft сочли эту настройку устаревшей и решили избавиться от нее, ведь Windows Defender все равно автоматически отключается при обнаружении другого антивирусного ПО.

Исследователи отмечают, что отключением антивируса через DisableAntiSpyware злоупотребляло множество вредоносов, включая TrickBot, Novter, Clop, Ragnarok и AVCrypt. Более того, даже после появления защиты Tamper Protection злоупотребить DisableAntiSpyware Registry по-прежнему было возможно на протяжении некоторого времени. Так, если параметр был включен, и малварь перезагружала компьютер, Windows Defender оказывался выключен для этого конкретного сеанса. При следующей перезагрузке срабатывала защита Tamper Protection и снова включала встроенный антивирус.

В конце августа 2020 года инженеры Microsoft окончательно избавились то данной политики, чтобы предотвратить описанные выше злоупотребления. Разработчики поясняют:

«Функция Microsoft Defender Tamper Protection по умолчанию включена для всех потребительских устройств под управлением Windows 10. Данная функция защищает устройства от кибератак, отключающих встроенные защитные безопасности (такие как антивирусы) в попытке получить доступ к вашим данным, установить вредоносное ПО или иным образом использовать ваши данные, личность и устройства.
Поскольку антивирус Microsoft Defender автоматически отключается при обнаружении другой антивирусной программы, мы удаляем устаревший параметр реестра под названием DisableAntiSpyware. Он предназначался для OEM-производителей и ИТ-администраторов, чтобы они могли отключить антивирус Microsoft Defender с целью развертывания другого антивирусного продукта, не должен использоваться на потребительских устройствах и будет удален, начиная с версии Microsoft Defender Antimalware 4. 18.2007.8 и выше».

Реестр Windows

для опытных пользователей — Windows Server

  • 11 минут на чтение

В этой статье

В этой статье описывается реестр Windows и предоставляется информация о том, как его редактировать и создавать резервные копии.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Оригинальный номер базы знаний: 256986

Описание реестра

Компьютерный словарь Microsoft , пятое издание, определяет реестр как:

Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000, используемая для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.

Реестр содержит информацию, на которую Windows постоянно ссылается во время работы, такую ​​как профили для каждого пользователя, приложения, установленные на компьютере, и типы документов, которые каждый может создавать, настройки окна свойств для папок и значков приложений, какое оборудование существует в системе , и используемые порты.

Реестр заменяет большинство текстовых файлов .ini, которые используются в файлах конфигурации Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр является общим для нескольких операционных систем Windows, между ними есть некоторые различия. Куст реестра — это группа ключей, подразделов и значений в реестре, имеющая набор вспомогательных файлов, содержащих резервные копии его данных. Вспомогательные файлы для всех кустов, кроме HKEY_CURRENT_USER, находятся в папке% SystemRoot% \ System32 \ Config в Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в папке % SystemRoot% \ Profiles \ Username . Расширения имен файлов в этих папках указывают на тип данных, которые они содержат. Кроме того, отсутствие расширения иногда может указывать на тип данных, которые они содержат.

Система

Система

Улей реестра Вспомогательные файлы
HKEY_LOCAL_MACHINE \ SAM Сэм, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE \ Security Безопасность, Security.log, Security.sav
HKEY_LOCAL_MACHINE \ Программное обеспечение Программное обеспечение, Программное обеспечение.журнал, Software.sav
HKEY_LOCAL_MACHINE \ System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS \ ПО УМОЛЧАНИЮ По умолчанию, Default.log, Default.sav

В Windows 98 файлы реестра называются «Пользователь». dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.

Примечание

Функции безопасности в Windows позволяют администратору контролировать доступ к разделам реестра.

В следующей таблице перечислены предварительно определенные ключи, используемые системой. Максимальный размер имени ключа — 255 символов.

Папка / предопределенный ключ Описание
HKEY_CURRENT_USER Содержит корень информации о конфигурации для пользователя, который в настоящее время вошел в систему.Здесь хранятся папки пользователя, цвета экрана и настройки панели управления. Эта информация связана с профилем пользователя. Этот ключ иногда обозначается сокращением HKCU .
HKEY_USERS Содержит все активно загружаемые профили пользователей на компьютере. HKEY_CURRENT_USER — это подраздел HKEY_USERS. HKEY_USERS иногда сокращается до HKU .
HKEY_LOCAL_MACHINE Содержит информацию о конфигурации конкретного компьютера (для любого пользователя).Этот ключ иногда обозначается как HKLM .
HKEY_CLASSES_ROOT — это подраздел HKEY_LOCAL_MACHINE \ Software . Информация, которая хранится здесь, гарантирует, что правильная программа открывается при открытии файла с помощью проводника Windows. Этот ключ иногда обозначается как HKCR . Начиная с Windows 2000, эта информация хранится под ключами HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Ключ HKEY_LOCAL_MACHINE \ Software \ Classes содержит настройки по умолчанию, которые могут применяться ко всем пользователям на локальном компьютере.Ключ HKEY_CURRENT_USER \ Software \ Classes содержит параметры, которые переопределяют параметры по умолчанию и применяются только к интерактивному пользователю. Ключ HKEY_CLASSES_ROOT обеспечивает представление реестра, объединяющего информацию из этих двух источников. HKEY_CLASSES_ROOT также предоставляет это объединенное представление для программ, разработанных для более ранних версий Windows. Чтобы изменить настройки для интерактивного пользователя, необходимо внести изменения в HKEY_CURRENT_USER \ Software \ Classes , а не в HKEY_CLASSES_ROOT.Чтобы изменить настройки по умолчанию, необходимо внести изменения в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы пишете ключи к ключу в HKEY_CLASSES_ROOT, система сохраняет информацию в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы записываете значения в ключ под HKEY_CLASSES_ROOT, а ключ уже существует под HKEY_CURRENT_USER \ Software \ Classes , система сохранит информацию там, а не под HKEY_LOCAL_MACHINE \ Software \ Classes .
HKEY_CURRENT_CONFIG Содержит информацию о профиле оборудования, который используется локальным компьютером при запуске системы.

Примечание

Реестр в 64-битных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32-битные и 64-битные ключи. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. В 64-разрядной версии редактора реестра по умолчанию, входящей в состав 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista, 32-разрядные ключи отображаются в узле HKEY_LOCAL_MACHINE \ Software \ WOW6432Node .Дополнительные сведения о просмотре реестра в 64-разрядных версиях Windows см. В разделе
Как просмотреть системный реестр в 64-битных версиях Windows.

В следующей таблице перечислены типы данных, которые определены в настоящее время и используются Windows. Максимальный размер имени значения:

  • Windows Server 2003, Windows XP и Windows Vista: 16 383 символа
  • Windows 2000: 260 символов ANSI или 16 383 символа Unicode
  • Windows Millennium Edition / Windows 98 / Windows 95: 255 символов

Длинные значения (более 2048 байт) должны храниться как файлы с именами файлов, хранящимися в реестре.Это помогает реестру работать эффективно. Максимальный размер значения:

  • Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows Vista: доступная память
  • Windows Millennium Edition / Windows 98 / Windows 95: 16 300 байт

Примечание

Существует ограничение в 64 КБ для общего размера всех значений ключа.

Имя Тип данных Описание
Двоичное значение REG_BINARY Необработанные двоичные данные.Большая часть информации о компонентах оборудования хранится в виде двоичных данных и отображается в редакторе реестра в шестнадцатеричном формате.
Значение DWORD REG_DWORD Данные представлены числом длиной 4 байта (32-битное целое число). Многие параметры для драйверов устройств и служб относятся к этому типу и отображаются в редакторе реестра в двоичном, шестнадцатеричном или десятичном формате. Связанные значения: DWORD_LITTLE_ENDIAN (младший байт находится в младшем адресе) и REG_DWORD_BIG_ENDIAN (младший байт находится в старшем адресе).
Расширяемое строковое значение REG_EXPAND_SZ Строка данных переменной длины. Этот тип данных включает переменные, которые разрешаются, когда программа или служба используют данные.
Многострочное значение REG_MULTI_SZ Множественная строка. К этому типу обычно относятся значения, содержащие списки или несколько значений в форме, доступной для чтения. Записи разделяются пробелами, запятыми или другими знаками.
Строковое значение REG_SZ Текстовая строка фиксированной длины.
Двоичное значение REG_RESOURCE_LIST Серия вложенных массивов, предназначенная для хранения списка ресурсов, который используется драйвером оборудования или одним из физических устройств, которыми он управляет. Эти данные обнаруживаются и записываются системой в дереве \ ResourceMap и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Двоичное значение REG_RESOURCE_REQUIREMENTS_LIST Серия вложенных массивов, предназначенная для хранения списка драйверов устройства возможных аппаратных ресурсов, которые драйвер или одно из физических устройств, которыми он управляет, могут использовать.Система записывает подмножество этого списка в дерево \ ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Двоичное значение REG_FULL_RESOURCE_DESCRIPTOR Серия вложенных массивов, предназначенная для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и записываются системой в дереве \ HardwareDescription и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение.
Нет REG_NONE Данные без какого-либо конкретного типа. Эти данные записываются в реестр системой или приложениями и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение
Ссылка REG_LINK Строка Unicode, называющая символическую ссылку.
QWORD Значение REG_QWORD Данные представлены числом, которое является 64-битным целым числом. Эти данные отображаются в редакторе реестра как двоичное значение и были введены в Windows 2000.

Резервное копирование реестра

Перед редактированием реестра экспортируйте разделы реестра, которые вы планируете редактировать, или сделайте резервную копию всего реестра. В случае возникновения проблемы вы можете выполнить действия, описанные в разделе «Восстановление реестра», чтобы восстановить реестр до его предыдущего состояния. Чтобы создать резервную копию всего реестра, используйте утилиту резервного копирования для резервного копирования состояния системы. Состояние системы включает в себя реестр, базу данных регистрации классов COM + и ваши загрузочные файлы.Дополнительные сведения об использовании служебной программы резервного копирования для резервного копирования состояния системы см. В следующих статьях:

Редактировать реестр

Для изменения данных реестра программа должна использовать функции реестра, определенные в разделе «Функции реестра».

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или путем запуска сценариев, таких как файлы сценариев VisualBasic.

Использование пользовательского интерфейса Windows

Мы рекомендуем вам использовать пользовательский интерфейс Windows для изменения системных настроек вместо ручного редактирования реестра.Однако редактирование реестра иногда может быть лучшим методом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Microsoft, будет доступна статья с пошаговыми инструкциями по редактированию реестра для решения этой проблемы. Мы рекомендуем вам точно следовать этим инструкциям.

Использовать редактор реестра

Предупреждение

Серьезные проблемы могут возникнуть, если вы измените реестр неправильно с помощью редактора реестра или другим способом. Эти проблемы могут потребовать переустановки операционной системы.Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вы вносите изменения в реестр на свой страх и риск.

Вы можете использовать редактор реестра для выполнения следующих действий:

  • Найдите поддерево, ключ, подключ или значение
  • Добавить подраздел или значение
  • Изменить значение
  • Удалить подраздел или значение
  • Переименовать подраздел или значение

В области навигации редактора реестра отображаются папки. Каждая папка представляет собой предопределенный ключ на локальном компьютере.При доступе к реестру удаленного компьютера появляются только два предопределенных ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использовать групповую политику

Microsoft Management Console (MMC) содержит инструменты администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, которые применяются к компьютерам или пользователям. Вы можете реализовать групповую политику на локальных компьютерах с помощью оснастки локальной групповой политики MMC, Gpedit.msc. Вы можете реализовать групповую политику в Active Directory с помощью оснастки MMC «Пользователи и компьютеры Active Directory». Дополнительные сведения об использовании групповой политики см. В разделах справки в соответствующей оснастке MMC групповой политики.

Использование файла регистрационных записей (.reg)

Создайте файл регистрационных записей (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, на котором вы хотите внести изменения. Вы можете запустить REG-файл вручную или с помощью сценария входа в систему.Дополнительные сведения см. В разделе «Добавление, изменение или удаление подразделов и значений реестра с помощью файла регистрационных записей (.reg)».

Использовать Windows Script Host

Узел сценариев Windows позволяет запускать сценарии VBScript и JScript непосредственно в операционной системе. Вы можете создавать файлы VBScript и JScript, которые используют методы Windows Script Host для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах см. На следующих веб-сайтах корпорации Майкрософт:

Используйте инструментарий управления Windows

Windows Management Instrumentation (WMI) является компонентом операционной системы Microsoft Windows и реализацией Microsoft для управления предприятием через Интернет (WBEM).WBEM — это отраслевая инициатива по разработке стандартной технологии доступа к управленческой информации в корпоративной среде. Вы можете использовать WMI для автоматизации административных задач (таких как редактирование реестра) в корпоративной среде. Вы можете использовать WMI в языках сценариев, которые имеют движок в Windows и обрабатывают объекты Microsoft ActiveX. Вы также можете использовать служебную программу командной строки WMI (Wmic.exe) для изменения реестра Windows.

Для получения дополнительных сведений о WMI см. Инструментарий управления Windows.

Дополнительные сведения о служебной программе командной строки WMI см. В разделе Описание служебной программы командной строки инструментария управления Windows (WMI) (Wmic.exe).

Используйте инструмент реестра консоли для Windows

Для редактирования реестра можно использовать Console Registry Tool для Windows (Reg.exe). Чтобы получить справку по инструменту Reg.exe, введите reg /? в командной строке, а затем нажмите ОК .

Восстановить реестр

Для восстановления реестра используйте соответствующий метод.

Способ 1. Восстановить ключи реестра

Чтобы восстановить экспортированные подразделы реестра, дважды щелкните файл регистрационных записей (.reg), который вы сохранили в разделе «Экспорт подразделов реестра». Или вы можете восстановить весь реестр из резервной копии. Дополнительные сведения о том, как восстановить весь реестр, см. В разделе «Метод 2: восстановление всего реестра» далее в этой статье.

Метод 2: Восстановить весь реестр

Чтобы восстановить весь реестр, восстановите состояние системы из резервной копии.Дополнительные сведения о том, как восстановить состояние системы из резервной копии, см. В разделе Как использовать резервную копию для защиты данных и восстановления файлов и папок на вашем компьютере в Windows XP и Windows Vista.

Примечание

Резервное копирование состояния системы также создает обновленные копии файлов реестра в папке % SystemRoot% \ Repair .

Список литературы

Для получения дополнительной информации посетите следующие веб-сайты:

Каталог протестированных продуктов Windows Server — это справочник по продуктам, которые были протестированы на совместимость с Windows Server.

Data Protection Manager (DPM) является ключевым членом семейства продуктов управления Microsoft System Center и разработан, чтобы помочь ИТ-специалистам управлять своей средой Windows. DPM — это новый стандарт резервного копирования и восстановления Windows, обеспечивающий непрерывную защиту данных для приложений и файловых серверов Microsoft, которые используют интегрированные дисковые и ленточные носители. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows XP и Windows Vista.

Реестр Windows

(что это такое и как его использовать)

Реестр Windows — это набор баз данных параметров конфигурации для операционных систем Microsoft Windows.

Для чего используется реестр Windows?

Кусты реестра (Windows 10).

В реестре Windows хранится большая часть информации и настроек программного обеспечения, аппаратных устройств, пользовательских настроек и конфигураций операционной системы.

Например, когда устанавливается новая программа, новый набор инструкций и ссылок на файлы может быть добавлен в реестр в определенном месте для программы и другие, которые могут взаимодействовать с ней, для получения дополнительной информации, например, где находятся файлы. расположены, какие опции использовать в программе и т. д.

Во многих отношениях реестр можно рассматривать как своего рода ДНК операционной системы Windows.

Не обязательно, чтобы все приложения Windows использовали реестр Windows. Некоторые программы хранят свои конфигурации в XML или других типах файлов вместо реестра, а другие полностью переносимы и хранят свои данные в исполняемом файле.

Как получить доступ к реестру Windows

Доступ к реестру Windows и его настройка осуществляется с помощью программы Registry Editor , бесплатной утилиты для редактирования реестра, включенной по умолчанию во все версии Microsoft Windows, начиная с Windows 95.

Редактор реестра — это не программа, которую вы загружаете. Вместо этого к нему можно получить доступ, выполнив regedit из командной строки или из поля поиска или выполнения в меню «Пуск». См. Раздел Как открыть редактор реестра, если вам нужна помощь.

Редактор реестра — это лицо реестра, позволяющее просматривать и вносить изменения в реестр, но не сам реестр. Технически реестр — это собирательное имя для различных файлов базы данных, расположенных в каталоге установки Windows.

Как использовать реестр Windows

Реестр содержит значения реестра (которые представляют собой инструкции), расположенные в разделах реестра (папки, содержащие дополнительные данные), все в одном из нескольких кустов реестра (папок, которые классифицируют все данные в реестре с помощью подпапок). Внесение изменений в эти значения и ключи с помощью редактора реестра изменяет конфигурацию, которой управляет определенное значение.

Внесение изменений в значения реестра решает проблему, отвечает на вопрос или каким-либо образом изменяет программу:

На реестр постоянно ссылаются Windows и другие программы.Когда вы вносите изменения практически в любой параметр, изменения также вносятся в соответствующие области реестра, хотя иногда эти изменения не реализуются, пока вы не перезагрузите компьютер.

Учитывая, насколько важен реестр Windows, очень важно сделать резервную копию изменяемых частей, , прежде чем вы измените их . Файлы резервных копий реестра Windows сохраняются как файлы REG.

См. Раздел Как создать резервную копию реестра Windows, чтобы узнать, как создавать резервные копии вручную.Кроме того, на случай, если вам это нужно, вот наш учебник «Как восстановить реестр Windows», в котором объясняется, как импортировать файлы REG обратно в редактор реестра.

Доступность реестра Windows

Реестр Windows и программа Microsoft Registry Editor доступны почти во всех версиях Microsoft Windows, включая Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000, Windows NT, Windows 98 и Windows 95.

Несмотря на то, что реестр доступен практически в каждой версии Windows, между ними существуют очень небольшие различия.

Реестр Windows заменил autoexec.bat, config.sys и почти все файлы INI, содержащие информацию о конфигурации в MS-DOS и в очень ранних версиях Windows.

Где хранится реестр Windows?

Файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM и DEFAULT, среди прочего, хранятся в более новых версиях Windows (от Windows XP до Windows 10) в папке % SystemRoot% \ System32 \ Config \ .

Более старые версии Windows используют папку % WINDIR% для хранения данных реестра в виде файлов DAT.Windows 3.11 использует только один файл реестра для всего реестра Windows, который называется REG.DAT .

Windows 2000 хранит резервную копию системного ключа HKEY_LOCAL_MACHINE, который используется для устранения проблемы с существующим.

Спасибо, что сообщили нам!

Расскажите почему!

Другой

Недостаточно деталей

Сложно понять

Учебник по реестру Windows

Обзор

Реестр — это база данных, используемая для хранения настроек и опций для
32-битные версии Microsoft Windows, включая Windows 95, 98, ME и NT / 2000.Это
содержит информацию и настройки для всего оборудования, программного обеспечения, пользователей и предпочтений
ПК. Каждый раз, когда пользователь вносит изменения в настройки Панели управления или Файл
Связи, системные политики или установленное программное обеспечение, изменения отражаются и
хранится в Реестре.

Физические файлы, составляющие реестр, хранятся по-разному.
в зависимости от вашей версии Windows; под Windows 95 и 98 он содержится в двух
скрытые файлы в каталоге Windows с именем USER.DAT и SYSTEM.DAT , для
В Windows Me есть дополнительный файл CLASSES.DAT , а в Windows NT / 2000
файлы содержатся отдельно в каталоге% SystemRoot% \ System32 \ Config. Вы можете
не редактируйте эти файлы напрямую, вы должны использовать инструмент, широко известный как «Редактор реестра».
вносить какие-либо изменения (использование редакторов реестра будет обсуждаться позже в
статья).

Реестр имеет иерархическую структуру, хотя выглядит
сложная структура похожа на структуру каталогов на вашем жестком диске, с
Regedit похож на проводник Windows.

Каждая основная ветвь (обозначается папкой
в редакторе реестра, см. слева) называется Hive , а Hives содержит
Ключи . Каждый ключ может содержать другие ключи (иногда называемые подключами), как
а также Значения . Значения содержат фактическую информацию, хранящуюся в
Реестр. Есть три типа ценностей; Строка , Двоичная и
DWORD — их использование зависит от контекста.

Есть шесть основных ветвей, каждая из которых содержит определенную часть
информация, хранящаяся в Реестре. Они следующие:

  • HKEY_CLASSES_ROOT — Эта ветка содержит весь ваш файл
    сопоставления ассоциаций для поддержки функции перетаскивания, информации OLE, Windows
    ярлыки и основные аспекты пользовательского интерфейса Windows.
  • HKEY_CURRENT_USER — Эта ветка ссылается на раздел
    HKEY_USERS, соответствующий пользователю, который в настоящее время вошел на ПК, и содержит
    такую ​​информацию, как имена для входа, настройки рабочего стола и настройки меню «Пуск».
  • HKEY_LOCAL_MACHINE — Эта ветка содержит компьютер
    конкретная информация о типе оборудования, программного обеспечения и других предпочтениях на
    на данном ПК эта информация используется для всех пользователей, которые входят в
    компьютер.
  • HKEY_USERS — Эта ветка содержит индивидуальные настройки
    для каждого пользователя компьютера каждый пользователь представлен подключами SID, расположенными под
    основная ветка.
  • HKEY_CURRENT_CONFIG — Эта ветка ссылается на раздел
    HKEY_LOCAL_MACHINE подходит для текущей конфигурации оборудования.
  • HKEY_DYN_DATA — Эта ветвь указывает на часть
    HKEY_LOCAL_MACHINE, для использования с функциями Plug — & — Play Windows, этот раздел
    является динамичным и будет меняться по мере добавления и удаления устройств из
    система.

Каждое значение реестра хранится как одно из пяти основных данных
типы:

  • REG_BINARY — этот тип сохраняет значение как необработанное двоичное
    данные. Большая часть информации о компонентах оборудования хранится в виде двоичных данных и может быть
    отображается в редакторе в шестнадцатеричном формате.
  • REG_DWORD — этот тип представляет данные четырьмя байтами
    число и обычно используется для логических значений, например «0» отключен, а «1» —
    включено. Кроме того, многие параметры для драйвера устройства и служб относятся к этому типу, и
    может отображаться в REGEDT32 в двоичном, шестнадцатеричном и десятичном формате или в REGEDIT
    в шестнадцатеричном и десятичном формате.
  • REG_EXPAND_SZ — Этот тип является расширяемой строкой данных
    это строка, содержащая переменную, которую нужно заменить при вызове из приложения. За
    Например, для следующего значения строка «% SystemRoot%» будет заменена фактическим
    расположение каталога, содержащего системные файлы Windows NT. (Этот тип только
    доступно с помощью расширенного редактора реестра, такого как REGEDT32)
  • REG_MULTI_SZ — Этот тип представляет собой несколько строк, используемых для
    представляют значения, которые содержат списки или несколько значений, каждая запись отделяется
    NULL символ. (Этот тип доступен только при использовании расширенного редактора реестра, такого как
    REGEDT32)
  • REG_SZ — Этот тип является стандартной строкой, используемой для
    представляют собой удобочитаемые текстовые значения.

Другие типы данных, недоступные в стандартном реестре
редакторы:

  • REG_DWORD_LITTLE_ENDIAN — 32-битное число в
    формат с прямым порядком байтов.
  • REG_DWORD_BIG_ENDIAN — 32-битное число с прямым порядком байтов
    формат.
  • REG_LINK — символическая ссылка Unicode. Используется внутри компании;
    приложения не должны использовать этот тип.
  • REG_NONE — Тип значения не определен.
  • REG_QWORD — 64-битное число.
  • REG_QWORD_LITTLE_ENDIAN — 64-битное число в
    формат с прямым порядком байтов.
  • REG_RESOURCE_LIST — ресурс драйвера устройства
    список.

Редактор реестра (REGEDIT.EXE) включен в большинство версий
Windows (хотя вы не найдете его в меню «Пуск»), он позволяет просматривать, искать и
редактировать данные в реестре. Есть несколько способов запустить реестр
Редактор, проще всего нажать кнопку Start , затем выбрать Run и
в поле Open введите «regedit», и если редактор реестра установлен, он должен
теперь откройте и посмотрите, как на изображении ниже.

Доступен альтернативный редактор реестра (REGEDT32.EXE).
с Windows NT / 2000 он включает некоторые дополнительные функции, отсутствующие в стандартном
версия, в том числе; возможность просмотра и изменения разрешений безопасности, а также возможность
для создания и изменения расширенных строковых значений REG_EXPAND_SZ &
REG_MULTI_SZ.

Создайте ярлык для Regedit
Это можно сделать, просто щелкнув правой кнопкой мыши пустую область рабочего стола, выбрав «Создать»,
затем «Ярлык», затем в поле «Командная строка» введите «regedit.exe «и нажмите Далее, введите
понятное имя (например, «Редактор реестра»), затем нажмите «Готово», и теперь вы можете дважды щелкнуть
новый значок для запуска редактора реестра.

Использование Regedit для изменения вашего реестра
После того, как вы запустите Regedit, вы заметите, что слева есть дерево
с папками, а справа — содержимое (значения) текущего выбранного
папка.

Как проводник Windows, чтобы развернуть определенную ветку (см.
структура раздела реестра) нажмите на знак плюса [+] слева от любой папки,
или просто дважды щелкните папку.Чтобы отобразить содержимое ключа (папки), просто нажмите
желаемый ключ и посмотрите на значения, перечисленные справа. Вы можете добавить новый ключ
или значение, выбрав «Создать» в меню «Правка» или щелкнув правой кнопкой мыши. И ты
может переименовывать любое значение и почти любой ключ с помощью того же метода, который используется для переименования файлов;
щелкните объект правой кнопкой мыши и выберите переименовать, или щелкните его дважды (медленно), или просто нажмите
F2 на клавиатуре. Наконец, вы можете удалить ключ или значение, щелкнув по нему и нажав
Удалить на клавиатуре или щелкнув правой кнопкой мыши и выбрав «Удалить».

Примечание: всегда рекомендуется делать резервную копию реестра.
прежде чем вносить в него какие-либо изменения. Это может напугать нового пользователя, и есть
всегда есть возможность изменить или удалить критическую настройку, из-за которой вам придется
переустановите всю операционную систему. Намного лучше быть в безопасности, чем
Извините!

Замечательной особенностью редактора реестра является возможность импорта
и экспортировать параметры реестра в текстовый файл, этот текстовый файл с расширением. REG
расширение, затем можно сохранить или поделиться с другими людьми, чтобы легко изменить локальный реестр
настройки. Вы можете увидеть макет этих текстовых файлов, просто экспортировав ключ в файл
и открыв его в Блокноте, для этого с помощью редактора реестра выберите ключ, затем из
в меню «Реестр» выберите «Экспорт файла реестра …», выберите имя файла и сохраните. если ты
откройте этот файл в блокноте, вы увидите файл, похожий на пример ниже:

REGEDIT4

[HKEY_LOCAL_MACHINE \ SYSTEM \ Setup]
«SetupType» = dword: 00000000
«CmdLine» = «setup -newsetup»
«SystemPrefix» = hex: c5,0b, 00,00,00,40,36, 02

Макет довольно простой, REGEDIT4 указал тип файла
и версия [HKEY_LOCAL_MACHINE \ SYSTEM \ Setup] указывает ключ, значения которого
from, «SetupType» = dword: 00000000 сами значения являются частью после
«=» будет варьироваться в зависимости от типа значения; DWORD , Строка или
Двоичный .

Таким образом, просто отредактировав этот файл, чтобы внести нужные изменения, он может
затем будет легко распространяться, и все, что нужно сделать, это дважды щелкнуть или выбрать
«Импорт» из меню «Реестр» для добавления настроек в систему.
Реестр.

Удаление ключей или значений с помощью файла REG
Также можно удалить ключи и значения с помощью файлов REG. Чтобы удалить ключ, начните с
используя тот же формат, что и файл REG выше, но поместите символ «-» перед
имя ключа, которое вы хотите удалить.Например, чтобы удалить [HKEY_LOCAL_MACHINE \ SYSTEM \ Setup]
key файл reg будет выглядеть так:

REGEDIT4

[-HKEY_LOCAL_MACHINE \ SYSTEM \ Setup]

Формат, используемый для удаления отдельных значений, аналогичен, но вместо этого
знака минус перед целым ключом, поместите его после знака равенства значения.
Например, чтобы удалить значение «SetupType», файл будет выглядеть так:

REGEDIT4

[HKEY_LOCAL_MACHINE \ SYSTEM \ Setup]
«SetupType» = —

Используйте эту функцию осторожно, так как удаляет неправильный ключ или значение
может вызвать серьезные проблемы в реестре, поэтому не забывайте всегда делать резервную копию
первый.

Параметры командной строки Regedit
В Regedit есть несколько параметров командной строки, которые помогают автоматизировать его использование в любом пакете.
файлы или из командной строки. Ниже перечислены некоторые из вариантов, обратите внимание на
некоторые функции зависят от операционной системы.

regedit.exe [параметры] [имя файла]
[regpath]

[имя файла]

Импорт.reg файл в реестр

/ с [имя файла]

Тихий импорт, т.е. скрыть окно подтверждения при
импорт файлов

/ e [имя файла] [regpath]

Экспортировать реестр в [имя файла], начиная с
[regpath] e. грамм. regedit / e file.reg HKEY_USERS \ .DEFAULT

/ L: система

Укажите расположение system.dat для
использовать

/ R: пользователь

Укажите расположение user.dat для
использовать

C [имя файла]

Сжать (Windows 98)

/ D [regpath]

Удалить указанный ключ (Windows
98)

Ведение реестра

В Windows NT вы можете использовать параметр «Последний удачный» или
RDISK для восстановления в реестре стабильной рабочей конфигурации.

Как удалить старые данные из реестра?
Хотя можно вручную просмотреть реестр и удалить ненужные записи,
Microsoft предоставляет инструмент для автоматизации процесса, программа называется RegClean.
RegClean анализирует ключи реестра Windows, хранящиеся в общем месте в Windows.
Реестр. Находит ключи, содержащие ошибочные значения, удаляет их из окна
Реестр после записи этих записей в Undo.Рег файл.

Общие сведения о реестре в Windows

ИТ-специалисты могут узнать о реестре Windows.

Реестр Windows — это иерархическая база данных, в которой хранятся параметры и параметры конфигурации в операционных системах Microsoft Windows. Он содержит настройки для низкоуровневых компонентов операционной системы, а также приложений, работающих на платформе: ядро, драйверы устройств, службы, SAM, пользовательский интерфейс и сторонние приложения — все они используют реестр. Реестр также предоставляет средства доступа к счетчикам для профилирования производительности системы.

Реестр содержит два основных элемента: ключи и значения.

Ключи реестра

Ключи реестра похожи на папки — в дополнение к значениям каждый ключ может содержать подключи, которые могут содержать дополнительные подключи, и так далее. Ссылки на ключи имеют синтаксис, аналогичный именам путей в Windows, с использованием обратной косой черты для обозначения уровней иерархии. Каждый подраздел имеет обязательное имя, которое представляет собой непустую строку, которая не может содержать никакой обратной косой черты или нулевого символа, а регистр букв не имеет значения.

К иерархии ключей реестра можно получить доступ только из известного дескриптора корневого ключа (который является анонимным, но эффективное значение которого является постоянным числовым дескриптором), который сопоставлен с содержимым раздела реестра, предварительно загруженного ядром из сохраненного «куста». ”, Или с содержимым подраздела в другом корневом ключе, или сопоставлены с зарегистрированной службой или DLL, которые предоставляют доступ к содержащимся в нем подразделам и значениям.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows относится к подразделу «Windows» подраздела «Microsoft» подраздела «Программное обеспечение» корневого ключа HKEY_LOCAL_MACHINE.

Имеется семь предопределенных корневых ключей:

  • HKEY_LOCAL_MACHINE или HKLM
  • HKEY_CURRENT_CONFIG или HKCC (только в Windows 9x / ME и версиях Windows на базе NT)
  • HKEY_CLASSES_ROOT или HKEY_CLASSES_ROOT 9 или HKCR
  • 0003 или HKEY_CLASSES_ROOT_ 9_00030003 или HKCR
  • или HKCR
  • или HKCR
  • HKEY_PERFORMANCE_DATA (только в версиях Windows для NT, но невидимый в редакторе реестра Windows)
  • HKEY_DYN_DATA (только в Windows 9x / ME и видимый в редакторе реестра Windows)

Как и другие файлы и службы в Windows, все ключи реестра могут быть ограничены списками управления доступом (ACL), в зависимости от прав пользователя, или токенов безопасности, полученных приложениями, или политик безопасности системы, применяемых системой (эти ограничения могут быть предопределены самой системой и настроены с помощью локальными системными администраторами или администраторами домена). Разные пользователи, программы, службы или удаленные системы могут видеть только некоторые части иерархии или отдельные иерархии из одних и тех же корневых ключей.

HKEY_LOCAL_MACHINE (HKLM)

Ключ, обнаруженный HKLM, на самом деле не хранится на диске, но сохраняется в памяти ядром системы, чтобы отобразить туда все остальные подключи. Приложения не могут создавать дополнительные подразделы. В версиях Windows на базе NT этот ключ содержит четыре подраздела: «SAM», «SECURITY», «SYSTEM» и «SOFTWARE», которые загружаются во время загрузки в соответствующие файлы, расположенные в папке% SystemRoot% System32config.Пятый подключ, «HARDWARE», является энергозависимым и создается динамически и, как таковой, не сохраняется в файле (он предоставляет обзор всех обнаруженных в данный момент устройств Plug-and-Play). В Windows Vista, Windows Server 2008, Windows Server 2008 R2 и Windows 7 шестой подраздел отображается в памяти ядром и заполняется из данных конфигурации загрузки (BCD).

HKLMSAM Key

Этот ключ обычно отображается как пустой для большинства пользователей (если им не предоставлен доступ администраторами локальной системы или администраторами доменов, управляющих локальной системой).Он используется для ссылки на все базы данных «Безопасность и управление учетными записями» (SAM) для всех доменов, в которых локальная система авторизована или настроена административно (включая локальный домен работающей системы, в базе данных SAM которой хранится подраздел, также называемый « SAM »: при необходимости будут созданы другие подключи, по одному для каждого дополнительного домена).

Каждая база данных SAM содержит все встроенные учетные записи (в основном псевдонимы групп) и настроенные учетные записи (пользователи, группы и их псевдонимы, включая гостевые учетные записи и учетные записи администраторов), созданные и настроенные в соответствующем домене, для каждой учетной записи в этом домене она в частности, содержит имя пользователя, которое может использоваться для входа в этот домен, внутренний уникальный идентификатор пользователя в домене, их криптографически хешированный пароль в этом домене, расположение хранилища их куста реестра пользователей, различные флаги состояния (например, если учетную запись можно перечислить и отобразить на экране приглашения входа в систему), а также список доменов (включая локальный домен), для которых была настроена учетная запись.

HKLMSECURITY Key

Этот ключ обычно кажется пустым для большинства пользователей (если им не предоставили доступ пользователи с административными привилегиями) и связан с базой данных безопасности домена, в который вошел текущий пользователь (если пользователь вошел в систему) в домене локальной системы этот ключ будет связан с кустом реестра, который хранится на локальном компьютере и управляется локальными системными администраторами или встроенной учетной записью «Система» и установщиками Windows). Ядро получит к нему доступ, чтобы прочитать и применить политику безопасности, применимую к текущему пользователю и всем приложениям или операциям, выполняемым этим пользователем.Он также содержит подраздел «SAM», который динамически связан с базой данных SAM домена, в котором зарегистрирован текущий пользователь.

Ключ HKLMSYSTEM

Этот ключ обычно доступен для записи только пользователям с административными привилегиями в локальной системе. Он содержит информацию о настройке системы Windows, данные для безопасного генератора случайных чисел (ГСЧ), список подключенных в настоящее время устройств, содержащих файловую систему, несколько пронумерованных «HKLMSYSTEMControl Sets», содержащих альтернативные конфигурации для системных драйверов оборудования и служб, работающих на локальном компьютере. system (включая используемый в настоящее время и резервную копию), подраздел «HKLMSYSTEMSelect», содержащий состояние этих наборов элементов управления, и «HKLMSYSTEMCurrentControlSet», который динамически связан во время загрузки с набором элементов управления, который в настоящее время используется в локальной системе.Каждый сконфигурированный набор управления содержит:

    • Подраздел «Enum», в котором перечисляются все известные устройства Plug-and-Play и связываются их с установленными системными драйверами (и хранятся конфигурации этих драйверов для конкретных устройств).
    • Подраздел «Службы», в котором перечислены все установленные системные драйверы (с конфигурацией, не зависящей от устройства, и перечислением устройств, для которых они созданы), а также все программы, работающие как службы (как и когда они могут запускаться автоматически).
    • Подраздел «Управление», объединяющий различные драйверы оборудования и программы, работающие как службы, а также все другие общесистемные конфигурации.
    • Подраздел «Профили оборудования», в котором перечислены различные настроенные профили (каждый с настройками «Система» или «Программное обеспечение», используемыми для изменения профиля по умолчанию, либо в системных драйверах и службах, либо в приложениях), а также « Hardware ProfilesCurrent », который динамически связан с одним из этих профилей.
HKLMSOFTWARE Подраздел

Этот ключ содержит настройки программного обеспечения и Windows (в профиле оборудования по умолчанию).В основном он изменяется установщиками приложений и систем. Он организован поставщиком программного обеспечения (с подключом для каждого), но также содержит подраздел «Windows» для некоторых настроек пользовательского интерфейса Windows, подраздел «Классы», содержащий все зарегистрированные ассоциации из расширений файлов, типов MIME, идентификаторов классов объектов. идентификаторы интерфейсов (для OLE, COM / DCOM и ActiveX) с установленными приложениями или библиотеками DLL, которые могут обрабатывать эти типы на локальном компьютере (однако эти связи настраиваются для каждого пользователя, см. ниже), а также подраздел «Политики» (также организовано поставщиком) для обеспечения выполнения общих политик использования приложений и системных служб (включая центральное хранилище сертификатов, используемое для аутентификации, авторизации или запрета удаленных систем или служб, работающих за пределами домена локальной сети).

HKEY_CURRENT_CONFIG (HKCC)

Этот ключ содержит информацию, собранную во время выполнения; информация, хранящаяся в этом ключе, не сохраняется на диске постоянно, а регенерируется во время загрузки. Это дескриптор ключа «HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent», который изначально пуст, но заполняется во время загрузки путем загрузки одного из других подключей, хранящихся в «HKEY_LOCAL_MACHINESystemCurrentControlSetHardware Profiles».

HKEY_CLASSES_ROOT (HKCR)

Этот ключ содержит информацию о зарегистрированных приложениях, такую ​​как ассоциации файлов и идентификаторы классов объектов OLE, связывая их с приложениями, используемыми для обработки этих элементов. В Windows 2000 и более поздних версиях HKCR представляет собой компиляцию пользовательских классов HKCUSoftwareClasses и машинных классов HKLMSoftwareClasses. Если заданное значение существует в обоих вышеупомянутых подключах, то значение в HKCUSoftwareClasses имеет приоритет. Конструкция допускает регистрацию COM-объектов как для компьютера, так и для пользователя. Специфичный для пользователя куст классов, в отличие от куста HKCU, не является частью перемещаемого профиля пользователя.

HKEY_USERS (HKU)

Содержит подключи, соответствующие ключам HKEY_CURRENT_USER для каждого профиля пользователя, активно загруженного на машину, хотя пользовательские кусты обычно загружаются только для пользователей, вошедших в систему в данный момент.

HKEY_CURRENT_USER (HKCU)

В этом ключе хранятся настройки, специфичные для текущего пользователя, вошедшего в систему. Ключ HKCU — это ссылка на подраздел HKEY_USERS, который соответствует пользователю; одинаковая информация доступна в обоих местах. В системах на базе Windows NT настройки каждого пользователя хранятся в их собственных файлах под названием NTUSER.DAT и USRCLASS.DAT внутри их собственной подпапки Documents and Settings (или их собственной подпапки Users в Windows Vista и Windows 7). Настройки в этом улье следуют за пользователями с перемещаемым профилем от машины к машине.

HKEY_PERFORMANCE_DATA

Этот ключ предоставляет информацию о времени выполнения в данные о производительности, предоставляемые либо самим ядром NT, либо запущенными драйверами системы, программами и службами, которые предоставляют данные о производительности. Этот ключ не хранится ни в каком кусте и не отображается в редакторе реестра, но его можно увидеть через функции реестра в Windows API или в упрощенном виде на вкладке «Производительность» диспетчера задач (только для некоторых данных о производительности на в локальной системе) или через более продвинутые панели управления (такие как Performance Monitor или Performance Analyzer, который позволяет собирать и регистрировать эти данные, в том числе из удаленных систем).

HKEY_DYN_DATA

Этот ключ используется только в Windows 95, Windows 98 и Windows Me. Он содержит информацию об аппаратных устройствах, включая Plug and Play и статистику производительности сети. Информация в этом улье также не хранится на жестком диске. Информация Plug and Play собирается и настраивается при запуске и сохраняется в памяти.

Значения

Значения реестра — это пары имя / данные, хранящиеся в ключах. На значения реестра ссылаются отдельно от ключей реестра.Каждое значение реестра, хранящееся в разделе реестра, имеет уникальное имя, регистр букв которого не имеет значения. Функции Windows API, которые запрашивают значения реестра и управляют ими, принимают имена значений отдельно от пути к ключу и / или дескриптора, который идентифицирует родительский ключ. Значения реестра могут содержать обратную косую черту в своих именах, но из-за этого их сложно отличить от их ключевых путей при использовании некоторых устаревших функций Windows Registry API (использование которых не рекомендуется в Win32).

Терминология несколько вводит в заблуждение, поскольку каждый раздел реестра аналогичен ассоциативному массиву, где стандартная терминология будет относиться к части имени каждого значения реестра как «ключ».Эти термины заимствованы из 16-разрядного реестра в Windows 3, в котором ключи реестра не могут содержать произвольные пары имя / данные, а содержат только одно безымянное значение (которое должно быть строкой). В этом смысле весь реестр был подобен единому ассоциативному массиву, где ключи реестра (как в смысле реестра, так и в смысле словаря) образовывали иерархию, а все значения реестра представляли собой строки. Когда был создан 32-разрядный реестр, появилась дополнительная возможность создания нескольких именованных значений для каждого ключа, и значения имен были несколько искажены.Для совместимости с предыдущим поведением каждый раздел реестра может иметь значение «по умолчанию», имя которого — пустая строка.

Каждое значение может хранить произвольные данные с переменной длиной и кодировкой, но которые связаны с символическим типом (определенным как числовая константа), определяющим, как анализировать эти данные. Стандартные типы:

значение

-битовое целое число (либо с прямым порядком байтов, либо с прямым порядком байтов, либо без указания) (введено в Windows 2000)

Идентификатор типа Имя символьного типа Значение и кодировка данных, хранящихся в значении реестра
0 REG_NONE

Без типа (сохраненное значение, если есть)
1 REG_SZ Строковое значение, обычно хранящееся и предоставляемое в UTF-16LE (при использовании Unicode-версии функций Win32 API), обычно оканчивающееся нулем символ
2 REG_EXPAND_SZ «Расширяемое» строковое значение, которое может содержать переменные среды, обычно хранящиеся и представляемые в UTF-16LE, обычно заканчивающиеся нулевым символом
3 REG_BINARY Двоичные данные (любые произвольные данные)
4 REG_DWORD / REG_DWORD_LITTLE_ENDIAN Значение DWORD, 32-битное значение unsig ned integer (числа от 0 до 4 294 967 295 [232 — 1]) (с прямым порядком байтов)
5 REG_DWORD_BIG_ENDIAN Значение DWORD, 32-битное целое число без знака (числа от 0 до 4 294 967 295 [232 — 1] ) (big-endian)
6 REG_LINK Символьная ссылка (UNICODE) на другой ключ реестра, указывающая корневой ключ и путь к целевому ключу
7 REG_MULTI_SZ A multi -string value, который представляет собой упорядоченный список непустых строк, обычно хранящихся и представляемых в UTF-16LE, каждая из которых заканчивается нулевым символом, а список обычно заканчивается вторым нулевым символом.
8 REG_RESOURCE_LIST Список ресурсов (используется при перечислении и настройке оборудования Plug-n-Play)
9 REG_FULL_RESOURCE_DESCRIPTOR Дескриптор ресурса (используется оборудованием Plug-n-Play перечисление и конфигурация)
10 REG_RESOURCE_REQUIREMENTS_LIST Список требований к ресурсам (используется при перечислении и настройке оборудования Plug-n-Play)
11 REG_QWORD / REG_QWORD_LITTLE_ENDIAN

Ульи

Реестр состоит из нескольких логических разделов, или «кустов» (слово «куст» представляет собой входящий шутить).Обычно кусты именуются по определениям Windows API, которые начинаются с HKEY. Они часто сокращаются до трех- или четырехбуквенного короткого имени, начинающегося с «HK» (например, HKCU и HKLM). Технически это предопределенные дескрипторы (с известными постоянными значениями) для определенных ключей, которые либо хранятся в памяти, либо хранятся в файлах куста, хранящихся в локальной файловой системе и загружаемых ядром системы во время загрузки, а затем совместно используемых (с различными правами доступа ) между всеми процессами, запущенными в локальной системе, или загруженными и отображенными во всех процессах, запущенных в пользовательском сеансе, когда пользователь входит в систему.

Узлы HKEY_LOCAL_MACHINE (данные конфигурации для локального компьютера) и HKEY_CURRENT_USER (данные конфигурации для конкретного пользователя) имеют схожую структуру друг с другом; пользовательские приложения обычно ищут свои настройки, сначала проверяя их в «HKEY_CURRENT_USERSoftwareVendor’s nameApplication’s nameVersionSetting name», и если параметр не найден, ищите вместо этого в том же месте под ключом HKEY_LOCAL_MACHINE. Однако обратное может применяться к параметрам политики, установленным администратором, где HKLM может иметь приоритет над HKCU. Программа с логотипом Windows предъявляет особые требования к тому, где могут храниться различные типы пользовательских данных, а также к соблюдению концепции минимальных прав, так что доступ на уровне администратора не требуется для использования приложения.

Статьи по теме

Узнайте, как использовать редактор реестра Windows (Regedit) за один простой урок.

В предыдущей статье обсуждались некоторые основные факты о реестре. В этом руководстве я объясню, как работает редактор реестра, и покажу, как настроить реестр.Применимо к Windows XP / Vista / 7 / 8.x / 10.
—Vic Laurie


Введение

Многим нравится настраивать Windows по-своему, и Windows — это система с множеством возможных настроек. Большинство этих настроек на самом деле являются редактированием реестра. Есть несколько способов применить изменения реестра, но истинный твикер часто предпочитает обратиться к источнику и настроить реестр напрямую с помощью редактора реестра Windows Regedit .

Regedit — одна из тех программ Windows, о которых Microsoft мало говорит.Его нет в списке «Все программы» , и функция «Справка» не сообщает, как его использовать. Фактически, в Windows XP он предупреждает: «Хотя вы можете использовать редактор реестра для проверки и изменения реестра, делать это не рекомендуется, поскольку внесение неправильных изменений может повредить вашу систему». Довольно неприятно, но осторожность переборщила. В Windows Vista / 7 Microsoft немного расслабилась и добавила в справку еще несколько деталей, но все же этого недостаточно, чтобы кто-нибудь понял, как использовать Regedit. Если у вас хватит смелости перейти к самому Regedit, вы обнаружите, что в нем есть собственное меню справки с некоторыми инструкциями, но их довольно мало.

В этом руководстве мы подробно остановимся на том, что Microsoft упустила, и предоставим вам всю информацию, необходимую для начала редактирования реестра.

Но сначала я должен прояснить правила редактирования реестра.

Правила безопасного редактирования Реестра

Я редактировал реестр сотни раз за эти годы и разработал следующие шаги для безопасного редактирования. Я кое-что напутал один или два раза, но мне всегда удавалось без проблем вернуться к исходному состоянию системы, потому что я следовал правилам.Вот мои пять правил безопасного редактирования реестра:

  1. Железное правило редактирования реестра состоит в том, что вы должны сначала создать резервную копию реестра. Для многих создание точки восстановления системы — самый удобный метод резервного копирования. Я также использую средство экспорта Regedit, чтобы сделать копию ключа реестра, над которым я работаю. Имейте в виду, что в Regedit нет функции отмены.
  2. Знайте, как восстановить резервную копию реестра. Это может быть так же просто, как запустить восстановление системы или объединить резервную копию REG-файла.
  3. Вносите только одно изменение реестра за раз. Подождите, чтобы увидеть, все ли работает так, как вы хотите, прежде чем вносить какие-либо изменения в реестр. Не забывайте, что многие изменения реестра требуют выхода из системы или перезагрузки, прежде чем они вступят в силу.
  4. Используйте только те изменения реестра, которые рекомендованы известными надежными источниками. Многие из общих рекомендаций в Интернете бесполезны или почти бесполезны. А некоторые даже вредны.
  5. Помните Правило №1.

Сняв меры предосторожности, мы можем приступить к изучению Regedit.

Как открыть Regedit

Быстрый способ доступа к Regedit, применимый к Windows XP, Vista, 7, 8.x и 10, следующий:

  1. Откройте окно Выполнить с помощью комбинации клавиатуры Клавиша Windows + r
  2. В строке «Выполнить» введите «regedit» (без кавычек)
  3. .

  4. Нажмите «ОК»
  5. Скажите «Да» контролю учетных записей пользователей (Windows Vista / 7 / 8.x / 10)

Структура реестра, представленная в Regedit

Использование Regedit требует некоторых знаний базовой структуры реестра. Я бы пошел дальше и сказал, что считаю целесообразным взглянуть на структуру реестра, даже если вы никогда не собираетесь менять в нем ни одной запятой. Полное незнание того, что на самом деле находится в Реестре, позволяет воображению приписывать таинственные и устрашающие свойства чему-то, что на самом деле является просто базой данных. Возможно, вы не помните никаких деталей, но, однажды увидев, что на самом деле находится в реестре, вы будете психологически лучше подготовлены к выполнению тех операций с реестром, которые всем следует знать, — резервного копирования и восстановления.

Типы информации в реестре

Информация, необходимая компьютерной системе, делится на две основные категории. Первый — это общая информация о самом компьютере. Это настройки, которые применяются ко всей системе и включают оборудование в системе. Он называется Local Machine . Другая общая категория состоит из настроек, которые относятся к каждой учетной записи пользователя и помечены как пользователей. Конкретный пользователь, который вошел в систему, называется Текущий пользователь .

Иерархическая древовидная структура

Информация в реестре представлена ​​в древовидной системе, как папки и файлы. В реестре информационные контейнеры называются «ключами». Они аналогичны папкам. Ключи могут иметь подразделы, так же как папки могут иметь вложенные папки. Имя данных, содержащихся в ключе, называется «значением». Это что-то похожее на имя файла. Фактические данные могут иметь несколько форматов и могут быть строкой, числом или серией чисел.

Подобно тому, как файловая и папочная система компьютера имеет корень (обычно жесткий диск), в реестре корневые ключи находятся на вершине иерархии ключей и значений. Я упомянул две общие категории информации, которые составляют два корневых ключа. К сожалению, теперь нам приходится иметь дело с жаргоном Microsoft. В таблице I показаны имена, которые использует Microsoft. Имена корневых ключей имеют «HKEY» на передней панели, и эти ключи часто называют «кустами». Хотя используются пять корневых ключей, три из них на самом деле представляют собой просто подключи или комбинации подключей двух основных ключей, HKLM и HKU.Дополнительные корневые ключи упрощают программирование. Приведенные сокращения часто используются при написании скриптов и файлов INF.

Таблица I. Корневые ключи или кусты
Ключи Аббревиатура Описание
HKEY_CLASSES_ROOT HKCR Сохранение ассоциации файлов и регистрация COM-объекта
HKEY_CURRENT_USER HKCU Хранит данные, связанные с учетной записью, на которой в данный момент выполнен вход
HKEY_LOCAL_MACHINE HKLM Хранит системную информацию
HKEY_USERS HKU Хранит информацию обо всех аккаунтах на машине
HKEY_CURRENT_CONFIG HKCC Сохраняет информацию о текущем профиле машины

Использование Regedit

Regedit — это двухпанельный интерфейс с клавишами на левой панели (панель клавиш) и именами значений с соответствующими данными на правой панели (панель значений). Установка мало чем отличается от проводника Windows с ключами, аналогичными папкам, и значениями, аналогичными файлам. Пример показан на рисунке ниже. Это из Windows 8, но XP / Vista / 7 очень похожа.

Рисунок 1. Редактор реестра (Regedit)

В нижней части окна Regedit отображается путь к выделенному в данный момент ключу, как показано на рисунке выше. Это пример типичного адреса реестра, хотя в начале «Мой компьютер» обычно опускается.

Также в правой панели или на панели значений указан тип данных, содержащихся в значении. Существует ряд форматов, которые могут принимать данные, и обычные форматы, с которыми сталкивается большинство пользователей ПК, приведены в таблице II. Я опустил более эзотерические типы. Три перечисленных в таблице составляют подавляющее большинство всех записей реестра. Другие типы данных описаны по этой ссылке Microsoft.

.

Таблица II. Типы данных общего реестра
Тип данных Описание
REG_BINARY Двоичные данные.Обычно в шестнадцатеричной системе счисления. Пример: 0xA8
REG_DWORD Двойное слово (32 бита). Можно редактировать как в шестнадцатеричном, так и в десятичном формате
REG_SZ Строка. На рисунке 1 показаны примеры на правой панели.

Меню в редакторе реестра

Regedit имеет некоторые из меню, которые так хорошо знакомы в Windows. Строку меню можно увидеть в верхней части рисунка 1.Ниже показаны два наиболее часто используемых меню.

Рисунок 2. Меню «Файл» Рисунок 3. Меню редактирования

В меню «Файл» есть функции «Импорт» и «Экспорт», которые можно использовать для резервного копирования и восстановления отдельных ключей реестра с файлами REG. В следующем разделе будет более подробно рассказано об этой важной функции.

Как и следовало ожидать, в меню «Правка» находятся команды для внесения изменений в реестр.Ключи и значения можно удалять, добавлять или переименовывать. (Настройки разрешений для клавиш также можно редактировать, но это более сложная тема, выходящая за рамки нашей компетенции.) Еще две очень полезные функции — это «Найти …» и «Найти далее». В реестре есть тысячи ключей, и эти функции поиска очень необходимы. К сожалению, функция поиска не может найти двоичные значения или записи REG_DWORD. Он ищет имена ключей, имена значений и строковые данные.

Меню «Правка» также содержит полезную запись «Копировать имя ключа», которая отправляет путь ключа в буфер обмена. Поскольку имена путей могут быть довольно длинными, это может быть очень полезно.

Еще одно меню, которое может оказаться весьма полезным — «Избранное». Если вы обнаружите, что есть определенная клавиша, которую вы часто изменяете, эту клавишу можно добавить в список «Избранное» для облегчения доступа. Пример меню «Избранное», показанный справа, содержит три избранных. Обратите внимание на названия были выбраны этим пользователем и могут быть чем угодно, что является удобным напоминанием. На самом деле они относятся к определенным ключам реестра, которые могут иметь очень длинные имена путей.

Резервное копирование и восстановление ключей реестра с помощью файлов REG

Вот как сделать резервную копию ключа (помните, что ключ — это что-то вроде папки):

  1. Откройте Regedit и выделите ключ
  2. Откройте меню «файл» и нажмите «Экспорт».Альтернативный метод — щелкнуть правой кнопкой мыши по ключу и выбрать «Экспорт»
  3. .

  4. Откроется стандартное диалоговое окно для сохранения файлов. В большинстве случаев вы выбираете сохранение в виде файла регистрации или REG. Это текстовый файл с расширением .reg , который является копией выделенного ключа реестра
  5. .

  6. Сохраните это в безопасном месте

Обратите внимание, что используются целые ключи, а не отдельные значения. Чтобы восстановить ключ реестра, вы можете использовать функцию «Импорт». Однако проще объединить файлы REG в реестр, щелкнув файл правой кнопкой мыши и выбрав «Объединить».На многих машинах по умолчанию слева , двойной щелчок по файлу REG также создает слияние. Я предпочитаю изменить действие двойного щелчка на «Редактировать», чтобы не произошло случайного слияния. Обратите внимание, что я использую слово «слияние». Файлы REG не заменяют ключи, а добавляют к ним, о чем следует помнить. Все, что вы могли добавить, не удаляется. Некоторые опытные пользователи ПК предпочитают выполнять фактическое редактирование в экспортированном REG-файле, а затем объединять отредактированный файл. Это предотвращает случайное использование неправильной клавиши.

Имейте в виду, что Regedit не имеет функции отмены. Что сделано, то сделано.

Редактирование реестра

Существует множество полезных настроек конфигурации или поведения Windows, которые можно внести простым редактированием реестра. Если вы не являетесь квалифицированным ИТ-специалистом, вам, вероятно, следует ограничить редактирование реестра одним или двумя значениями одновременно. Я ограничу это обсуждение этим простым сценарием.

По большей части, прямое редактирование реестра означает изменение значения.Выделите нужное значение на правой панели Regedit. Затем выберите «Изменить» в меню «Правка» или щелкните значение правой кнопкой мыши и выберите «Изменить» в контекстном меню. Для строк откроется окно, подобное изображенному на рисунке рядом. В качестве конкретного примера рассмотрим последнее значение в правой панели рисунка 1. Время, в течение которого система ожидает закрытия службы при завершении работы, контролируется записью для значения WaitToKillServiceTimeout . Значение указывается в миллисекундах, по умолчанию — 20000 (20 секунд).Чтобы приблизить объекты быстрее, вы можете изменить значение на 10000 (10 секунд). Или вам может потребоваться увеличить его для определенных систем. Введите желаемую строку в строку «Значение данных» и нажмите ОК.

Очень многие значения реестра являются строками, но другой распространенный тип данных — это DWORD. Если вы редактируете значение REG_DWORD, появится немного другое окно. На рисунке слева показано соответствующее поле. Обратите внимание, что при вводе значения DWORD необходимо указать основу для числа.Будьте осторожны, чтобы убедиться, что вы правильно выбрали между шестнадцатеричным и десятичным числом. Вы можете ввести любое из них, но вводимое вами число должно соответствовать правильному значению для выбранной базы. В приведенном здесь примере десятичное число «96» должно быть «60», если в качестве основы выбрано шестнадцатеричное.

И вот мы подошли к концу раскрытия тайн Реестра. Идите и редактируйте хорошо, но осторожно — Vic Laurie

Домашняя страница MiTeC

Описание

Это приложение позволяет читать файлы, содержащие кусты реестра Windows 9x, NT, 2K, XP, 2K3,7,8 и 10. Он извлекает много полезной информации о конфигурации и параметрах установки Windows на хост-машине.

Есть инструмент резервного копирования реестра, который может создавать резервные копии текущего реестра машины, включая BCD и все кусты реестра пользователей в желаемое место.

Куст реестра можно экспортировать в формат REGEDIT4.
Данные каждой темы можно сохранить в CSV.
Он разработан в многодокументном интерфейсе.

Здесь описаны отдельные исследователи:

  • Информация о файле

    В этом проводнике вы можете увидеть основные свойства файла и контрольные суммы.
  • Обозреватель записей безопасности

    Отображает все записи безопасности, используемые в реестре. Счетчик использования, SID владельца, SID группы, список затронутых ключей и список SACL и DACL отображаются для каждой записи с перечисленными флагами и разрешениями.
    Этот проводник доступен только для кустов системного реестра на базе NT.
  • SAM

    Отображает SID машины и часть SYSKEY. Перечисляет локальные учетные записи пользователей и групп и некоторые их свойства.
    Этот проводник доступен только для куста SAM системного реестра на базе NT.
  • Установка Windows

    Отображает имя Windows, идентификатор и ключ, дату установки и информацию о регистрации пользователя.Перечисляет установленное программное обеспечение с описанием и датой установки, а также список установленных исправлений с описанием.
    Этот проводник доступен только в кусте реестра ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (идентификатор продукта и ключ также извлекаются в кусте SYSTEM).
    Дата последней загрузки и выключения извлекается только из куста SYSTEM.
    Также отображает имя пользователя и машины и древовидное меню «Пуск» для выбранного куста ПОЛЬЗОВАТЕЛЬ.
    Этот проводник доступен для куста реестра USER.
  • Оборудование

    Отображает краткий обзор (ЦП, мониторы, видео и звуковая карта и сетевые карты) и полную карту настроенных устройств, которые работали на хост-машине. Они отображаются в дереве типа «Диспетчер устройств» с некоторыми свойствами.
    Этот проводник доступен для куста реестра SYSTEM.
  • Приложения для запуска

    Перечисляет приложения, которые зарегистрированы для запуска после запуска.
    Этот проводник доступен для куста реестра ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.
  • Сервисы и драйверы

    Перечисляет все установленные службы и драйверы со свойствами.Этот проводник доступен только для куста SYSTEM системного реестра на базе NT.
  • Конфигурация сети

    Отображает все установленные сетевые клиенты, протоколы и службы. Перечисляет все определенные сетевые соединения с его конфигурацией TCP / IP.
    Этот проводник доступен только для куста SYSTEM системного реестра на базе NT.
  • Параметры брандмауэра Windows

    Отображает настройки (правила) брандмауэра Windows.
    Этот проводник доступен только для куста SYSTEM системного реестра на базе NT.
  • Окружающая среда

    Отображает все переменные среды.Этот проводник доступен только для куста SYSTEM системного реестра на базе NT.
  • Папки с оболочкой

    Отображает папки оболочки (папки, известные системе).
    Этот проводник доступен только для куста SYSTEM системного реестра на базе NT.
  • Outlook Express

    Выкапывает все учетные записи Outlook Express и их настройки. Этот проводник доступен только для куста USER системного реестра NT.
  • Необработанные данные

    Этот проводник отображает весь реестр в известном древовидном формате. Содержит мощный поиск и интерпретатор данных.

Копаем в прошлое: новый взгляд на криминалистику реестра Windows

Введение

Консультанты

FireEye часто используют данные реестра Windows при проведении криминалистического анализа компьютерных сетей в рамках операций по реагированию на инциденты и оценке компрометации.Это может быть полезно для обнаружения злонамеренной активности и определения того, какие данные могли быть украдены из сети. В реестре присутствует множество различных типов данных, которые могут свидетельствовать о выполнении программы, настройках приложений, устойчивости вредоносных программ и других ценных артефактах.

Проведение криминалистического анализа прошлых атак может быть особенно сложной задачей. Продвинутые постоянные злоумышленники часто используют анти-криминалистические методы, чтобы скрыть свои следы и усложнить работу специалистов по реагированию на инциденты.Чтобы предоставить нашим консультантам самые лучшие инструменты, мы пересмотрели существующие методы судебной экспертизы реестра и определили новые способы восстановления исторических и удаленных данных реестра. Наш анализ был сосредоточен на следующих известных источниках исторических данных реестра:

  • Журналы транзакций реестра (.LOG)
  • Журналы транзакций реестра (.TxR)
  • Удаленные записи в кустах реестра
  • Система резервного копирования ульев (REGBACK)
  • Ульи с резервным копированием с помощью функции восстановления системы
Формат реестра Windows

Реестр Windows хранится в виде набора файлов куста.Ульи — это двоичные файлы, содержащие простую файловую систему с набором ячеек, используемых для хранения ключей, значений, данных и связанных метаданных. Кусты реестра читаются и записываются на страницах по 4 КБ (также называемых корзинами).

Подробное описание формата куста реестра Windows см. В этом исследовательском документе и на этой странице GitHub.

Журналы транзакций реестра (.LOG)

Для повышения надежности реестра Windows может использовать журналы транзакций при выполнении записи в файлы реестра. Журналы действуют как журналы, в которых хранятся данные, записываемые в реестр, прежде чем они будут записаны в файлы куста.Журналы транзакций используются, когда кусты реестра невозможно записать напрямую из-за блокировки или повреждения.

Журналы транзакций записываются в файлы в том же каталоге, что и соответствующие кусты реестра. Они используют то же имя файла, что и улей, с расширением .LOG. Windows может использовать несколько журналов, в этом случае будут использоваться расширения .LOG1 и .LOG2.

Дополнительные сведения о формате журнала транзакций см. На этой странице GitHub.

Журналы транзакций реестра были впервые представлены в Windows 2000. В исходном формате журнала транзакций данные всегда записываются в начале журнала транзакций. Растровое изображение используется, чтобы указать, какие страницы присутствуют в журнале, и страницы следуют по порядку. Поскольку начало файла часто перезаписывается, очень сложно восстановить старые данные из этих журналов. Поскольку при каждом использовании в журнал транзакций будут записываться разные объемы данных, старые страницы могут оставаться в файле при многократном использовании. Однако расположение каждой страницы необходимо будет определить путем поиска похожих страниц в текущем улье, а вероятность последовательного восстановления данных очень мала.

Новый формат журнала транзакций реестра был представлен в Windows 8.1. Хотя новые журналы используются таким же образом, они имеют другой формат. Новые журналы работают как кольцевой буфер, где самые старые данные в журнале перезаписываются новыми данными. Каждая запись в новом формате журнала включает порядковый номер, а также смещение реестра, что упрощает определение порядка записи и места записи страниц. Из-за измененного формата журнала данные перезаписываются гораздо реже, и старые транзакции часто можно восстановить из этих файлов журнала.

Объем данных, которые можно восстановить, зависит от активности реестра. Выборка журналов транзакций из реальных систем показала диапазон восстанавливаемых данных от нескольких дней до нескольких недель. Возможности восстановления в реальном мире могут значительно различаться. Операции с большим объемом реестра, такие как Центр обновления Windows, могут значительно уменьшить диапазон восстановления.

Хотя новый формат журнала содержит больше информации, которую можно восстановить, превратить набор страниц реестра в полезные данные довольно сложно.Во-первых, это требует отслеживания всех страниц в реестре и определения того, что могло измениться в конкретной записи. Также необходимо определить, привело ли это изменение к чему-то, чего нет в более поздних версиях улья, чтобы оценить, содержит ли он уникальные данные.

Наш текущий подход к обработке файлов транзакций реестра использует следующий алгоритм:

  1. Сортировка всех записей по порядковому номеру по убыванию, чтобы в первую очередь обрабатывать самые последние записи.
  2. Выполните анализ выделенных и нераспределенных ячеек для поиска выделенных и удаленных записей.
  3. Сравните записи с исходным ульем. Любые записи, которых нет, помечаются как удаленные и регистрируются.
Пример журнала транзакций

В этом примере мы создаем параметр реестра в разделе «Выполнить», который запускает вредоносное ПО, когда пользователь входит в систему.

Рисунок 1. Злоумышленник создает значение в клавише «Выполнить»

Позже вредоносная программа будет удалена из системы.Перед удалением значение реестра перезаписывается.

Рисунок 2: Вредоносное значение перезаписано и удалено

Хотя удаленное значение все еще существует в кусте, существующие инструменты судебной экспертизы не смогут восстановить исходные данные, так как они были перезаписаны.

Рисунок 3: Перезаписанное значение присутствует в кусте реестра

Однако в этом случае данные все еще присутствуют в журнале транзакций и могут быть восстановлены.

Рисунок 4. Журнал транзакций содержит исходное значение

Журналы транзакций реестра транзакций (.TxR)

В дополнение к журналу журнала транзакций существуют также журналы, используемые подсистемой реестра транзакций. Приложения могут использовать реестр транзакций для атомарного выполнения операций составного реестра. Это чаще всего используется установщиками приложений, поскольку упрощает откат неудачной операции.

Журналы реестра транзакций используют формат Common Log File Sytstem (CLFS).Журналы хранятся в файлах вида .TxR. .regtrans-ms. Для пользовательских кустов эти файлы хранятся в том же каталоге, что и куст, и удаляются при выходе пользователя из системы. Однако для системных кустов журналы хранятся в% SystemRoot% \ System32 \ config \ TxR, и журналы не очищаются автоматически. В результате, как правило, можно восстановить исторические данные из системных журналов транзакций.

Формат журналов транзакций недостаточно изучен или задокументирован. Microsoft предоставила общий обзор журналов и API CLFS.

Путем экспериментов мы смогли определить основной формат записи. Мы можем идентифицировать записи для создания и удаления ключей реестра, а также записи и удаления значений реестра. Соответствующий путь ключа, имя значения, тип данных и данные присутствуют в записях журнала. Подробные сведения о формате записи журнала транзакций см. В приложении.

Хотя большая часть данных, содержащихся в журналах транзакций реестра, не представляет особой ценности для расследования вторжений, в некоторых случаях эти данные могут оказаться полезными.В частности, мы обнаружили, что создание и удаление запланированных задач используют транзакции реестра. Путем анализа журналов транзакций реестра мы смогли найти доказательства того, что злоумышленник создал запланированные задачи в действующих системах. Эти данные не были доступны ни в каком другом месте.

Планировщик задач наблюдался с использованием транзакционных операций реестра в Windows Vista через Windows 8. 1; планировщик задач в Windows 10 не демонстрирует такого поведения. Неизвестно, почему Windows 10 ведет себя иначе.

Пример транзакционного реестра

В этом примере мы создаем запланированную задачу. В запланированной задаче периодически запускаются вредоносные программы.

Рисунок 5: Создание запланированного задания для запуска вредоносного ПО

Информация о запланированной задаче сохраняется в реестре.

Рисунок 6: Запись реестра, созданная планировщиком задач

Поскольку запланированная задача была записана в реестр с использованием транзакционных операций реестра, копия данных доступна в журнале транзакций реестра транзакций.Данные могут оставаться в журнале и после того, как запланированное задание было удалено из системы.

Рисунок 7. Вредоносная запланированная задача в журнале TxR

Восстановление удаленной записи

Помимо журналов транзакций, мы также исследовали методы восстановления удаленных записей из файлов куста реестра. Мы начали с углубленного анализа некоторых распространенных методов, используемых сегодня судебно-медицинскими инструментами, в надежде найти более точный подход.

Восстановление удаленной записи требует анализа ячеек реестра в файлах куста.Это относительно просто. FireEye имеет ряд инструментов, которые могут читать необработанные файлы кустов реестра и анализировать соответствующие ключи, значения и данные из ячеек. Восстановить удаленные данные сложнее, потому что некоторая информация теряется при удалении элементов. Для устранения возникающей неоднозначности требуется более сложный подход.

При разборе ячеек есть только одно общее поле: размер ячейки. Некоторые типы ячеек содержат идентификаторы магических чисел, которые могут помочь определить их тип.Однако другие типы ячеек, такие как списки данных и значений, не имеют идентификаторов; их типы должны быть выведены по ссылкам из других ячеек. Кроме того, размер данных в ячейке может отличаться от размера ячейки. В зависимости от типа ячеек может потребоваться использовать информацию из ссылок на ячейки для определения размера данных.

При удалении элемента реестра его ячейки помечаются как нераспределенные. Поскольку ячейки не перезаписываются немедленно, удаленные элементы часто можно восстановить из кустов реестра.Однако нераспределенные ячейки могут быть объединены со смежными нераспределенными ячейками, чтобы максимизировать эффективность обхода. Это усложняет восстановление удаленных ячеек, поскольку размеры ячеек могут быть изменены. В результате исходные границы ячеек не определены должным образом и должны определяться неявно путем изучения содержимого ячейки.

Существующие подходы к восстановлению удаленных записей

Обзор общедоступной литературы и исходного кода выявил существующие методы восстановления удаленных элементов из файлов кустов реестра.Обычно встречались варианты следующего алгоритма:

  1. Поиск по всем нераспределенным ячейкам в поисках удаленных ключевых ячеек.
  2. Найти удаленные значения из удаленных ключей.
  3. Поиск по всем оставшимся нераспределенным ячейкам в поисках ячеек удаленных значений, на которые нет ссылок.
  4. Найдите ячейки данных, на которые имеются ссылки, из всех удаленных значений.

Мы реализовали аналогичный алгоритм, чтобы проверить его эффективность. Хотя этот простой алгоритм смог восстановить многие удаленные элементы реестра, он имел ряд существенных недостатков.Одна из основных проблем заключалась в невозможности проверить какие-либо ссылки из удаленных ячеек. Поскольку указанные ячейки могли уже быть перезаписаны или повторно использованы несколько раз, наша программа часто допускала ошибки при идентификации значений и данных, что приводило к ложным срабатываниям и недействительным выводам.

Мы также сравнили вывод программы с популярными инструментами судебной экспертизы реестра. Хотя наша программа дала почти такой же результат, было очевидно, что существующие инструменты судебной экспертизы реестра смогли восстановить больше данных. В частности, существующие инструменты могли восстанавливать удаленные элементы из свободного пространства выделенных ячеек, которые еще не были перезаписаны.

Кроме того, мы обнаружили, что осиротевшие выделенные ячейки также считаются удаленными. Неизвестно, как нераспределенные ячейки могут существовать в кусте реестра, поскольку все связанные ячейки должны быть нераспределены одновременно при удалении. Возможно, что определенные типы сбоев могут привести к тому, что удаленные ячейки не станут нераспределенными должным образом.

Экспериментируя, мы обнаружили, что существующие инструменты реестра могут лучше выполнять проверку, что приводит к меньшему количеству ложных срабатываний.Однако мы также выявили множество случаев, когда существующие инструменты создавали неправильные ассоциации удаленных значений и выводили неверные данные. Это, вероятно, происходит, когда ячейки повторно используются несколько раз, в результате чего ссылки могут оказаться действительными, если их не тщательно исследовать.

Новый подход к восстановлению удаленных записей

Учитывая потенциал для улучшения нашего алгоритма, мы провели серьезную переработку, чтобы восстановить удаленные элементы реестра с максимальной точностью и эффективностью. После многих раундов экспериментов и доработок мы пришли к новому алгоритму, который может точно восстанавливать удаленные элементы реестра при максимальной производительности.Это было достигнуто путем обнаружения и отслеживания всех ячеек в кустах реестра для более точной проверки, обработки свободного пространства ячеек и обнаружения потерянных ключей и значений. Результаты тестирования близко соответствовали существующим инструментам судебной экспертизы реестра, но с лучшей проверкой и меньшим количеством ложных срабатываний.

Ниже приводится краткое изложение улучшенного алгоритма:

  1. Выполните базовый анализ для всех выделенных и нераспределенных ячеек. По возможности определите тип ячейки и размер данных.
  2. Перечислите все выделенные ячейки и выполните следующие действия:
    • Для выделенных ключей найдите списки значений, на которые есть ссылки, имена классов и записи безопасности. Заполните размер данных ссылочных ячеек. Проверьте предков ключа, чтобы определить, не стал ли ключ потерянным.
    • Для выделенных значений найдите данные, на которые имеются ссылки, и укажите размер данных.
  3. Определите все выделенное свободное пространство ячеек как нераспределенное.
  4. Перечислить выделенные ключи и попытаться найти удаленные значения, присутствующие в списке значений.Также попытайтесь найти старые удаленные ссылки на значения в резервном пространстве списка значений.
  5. Перечислить нераспределенные ячейки и попытаться найти удаленные ключевые ячейки.
  6. Перечислить нераспределенные ключи и попытаться определить имена классов, записи безопасности и значения.
  7. Перечислить нераспределенные ячейки и попытаться найти ячейки с удаленными значениями, на которые нет ссылок.
  8. Перечислить нераспределенные значения и попытаться найти ячейки данных, на которые имеются ссылки.
Пример удаленного восстановления

Следующий пример демонстрирует, как наш алгоритм восстановления удаленной записи может выполнить более точное восстановление данных и избежать ложных срабатываний. На рисунке 8 показан пример ошибки восстановления данных популярным инструментом криминалистики реестра:

Рисунок 8: Неправильно восстановленные данные реестра

Обратите внимание, что ProviderName, восстановленный из этого ключа, был перемешан, потому что он ссылался на местоположение, которое было перезаписано. Когда наш удаленный инструмент восстановления реестра запускается в том же кусте, он распознает, что данные были перезаписаны, и не выводит искаженный текст. Поле data_present на рисунке 9 со значением 0 указывает, что удаленные данные не могут быть восстановлены из улья.

Ключ: CMI-CreateHive {2A7FB991-7BBE-4F9D-B91E-7CB51D4737F5} \
ControlSet002 \ Control \ Class \ {4D36E972-E325-11CE-BFC1-08002BE10318} \ 0019
Тип: значение REG_NAME: value_offset = 0x137FE40) (data_size = 20)
( data_present = 0 ) (data_offset = 0x10EAF68) (deleted_type = UNALLOCATED)

Рисунок 9: Правильно проверенные данные реестра

Резервные копии реестра

Windows включает простой механизм периодического резервного копирования кустов системного реестра. Резервные копии кустов создаются с помощью запланированной задачи RegIdleBackup, запуск которой по умолчанию запланирован каждые 10 дней. Резервные копии кустов хранятся в% SystemRoot% \ System32 \ config \ RegBack. В этом месте хранится только самая последняя резервная копия. Это может быть полезно для изучения недавней активности в системе.

Функция RegIdleBackup впервые была включена в Windows Vista. С тех пор он присутствует во всех версиях Windows, но не запускается по умолчанию в системах Windows 10, и даже когда он запускается вручную, резервные копии не создаются.Неизвестно, почему RegIdleBackup был удален из Windows 10.

Помимо RegBack, данные реестра копируются с помощью функции восстановления системы. По умолчанию моментальные снимки восстановления системы создаются при установке или удалении программного обеспечения, включая обновления Windows. В результате моментальные снимки восстановления системы обычно создаются не реже одного раза в месяц, если не чаще. Хотя известно, что некоторые продвинутые постоянные группы угроз манипулируют моментальными снимками восстановления системы, свидетельства исторической активности злоумышленника обычно можно найти, если моментальный снимок был сделан в то время, когда злоумышленник был активен.Моментальные снимки восстановления системы содержат все кусты реестра, включая системные и пользовательские.

В Википедии есть полезная информация о восстановлении системы.

Обработка кустов в моментальных снимках восстановления системы может быть сложной задачей, так как в системе может присутствовать много моментальных снимков, что приводит к обработке большого объема данных, и часто между моментальными снимками в кустах могут быть только незначительные изменения. Одна из стратегий обработки большого количества моментальных снимков — построить структуру, представляющую ячейки куста реестра, а затем повторить процесс для каждого снимка.Все, что не входит в предыдущую структуру, можно считать удаленным и зарегистрировать соответствующим образом.

Заключение

Реестр может предоставить судебному следователю огромное количество данных. Благодаря многочисленным источникам удаленных и исторических данных можно составить более полную картину активности злоумышленников в ходе расследования. По мере того, как злоумышленники продолжают совершенствоваться и совершенствовать свое мастерство, следователям придется адаптироваться, чтобы обнаруживать их и защищаться от них.

Приложение — Журнал транзакций реестра транзакций (.TxR) Формат записи

Журналы транзакций реестра содержат записи в следующем формате:

Смещение

Поле

Размер

0

Магическое число (0x280000)

4

. ..

12

Размер записи

4

16

Тип записи (1)

4

20

Тип операции реестра

2

40

Размер пути ключа

2

42

Размер ключевого пути повторяется

2

Магическое число всегда 0x280000.
Размер записи включает заголовок.
Тип записи всегда 1.

Тип операции 1 — создание ключа.
Тип операции 2 — удаление ключа.
Типы операций 3–8 — запись или удаление значения. Неизвестно, что означают разные типы.

Размер пути ключа находится со смещением 40 и повторяется со смещением 42. Это присутствует для всех типов операций реестра.

Для операций записи и удаления ключей реестра путь к ключу находится по смещению 72.

Для операций записи и удаления значений реестра присутствуют следующие данные:

Смещение

Поле

Размер

56

Размер имени значения

2

58

Размер имени значения повторяется

2

. ..

72

Тип данных

4

76

Размер данных

4

Данные для записей значений начинаются со смещения 88. Они содержат путь ключа, за которым следует имя значения, за которым, возможно, следуют данные. Если размер данных не равен нулю, запись является операцией записи значения; в противном случае это операция удаления значения.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *