Hklm где находится: Как найти hklm software

Содержание

Как найти hklm software

Достаточно часто можно встретить ситуации, когда при установке какого-то программного обеспечения или в целях повышения быстродействия операционных систем Windows приходится вмешиваться в работу так называемого системного реестра, но не с изменением пользовательских настроек, а с редактированием раздела HKEY_LOCAL_MACHINE. Как зайти на «Виндовс 8» в эту ветку или в любой другой системе, далее и будет рассмотрено. Оговоримся сразу: заниматься редактированием параметров нужно только при условии четкого понимания того, что это может нанести непоправимый вред всей операционной системе.

Что такое системный реестр?

Вообще, оставив пока в стороне вопрос о том, как зайти в HKEY_LOCAL_MACHINE (SYSTEM) или в другой подраздел, стоит отметить, что системный реестр Windows представляет собой своеобразную таблицу регистрации всех установленных компонентов и настроек.

Тут хранятся данные не только о собственных инструментах системы, но и обо всех драйверах устройств или пользовательских приложений.

Грубо говоря, ни одна программа не может работать, если она не зарегистрирована, впрочем, как и сами системные службы. Точно так же невозможно открыть ни один файл, сведения о котором в реестр не внесены.

Зачем нужен реестр Windows?

Проблема того, как зайти в ветку реестра HKEY_LOCAL_MACHINE, решается достаточно просто. Весь этот процесс можно уместить в одну строку. Но чтобы понимание было более полным, для начала остановимся на том, для чего все это нужно.

Грубо говоря, все программы или данные (любая информация), представленные в виде файлов, каким-то образом должны распознаваться самой операционной системой, не говоря уже о том, что и все «железные» устройства должны функционировать корректно с использованием установленных для них драйверов. Как ОС может определить их? Первичная система BIOS срабатывает только в самом начале загрузки компьютера, а операционная система стартует только после этого.

И данные для загрузки берутся именно из системного реестра. Кстати, если вы обращали внимание на процессы восстановления Windows, в первую очередь она восстанавливает именно реестр из заранее созданной резервной копии. При этом пользовательские файлы, как сообщается, не затрагиваются. Это и понятно, приоритет восстановления установлен для работоспособности программного обеспечения, которое на момент какого-то непредвиденного сбоя могло быть уже удалено. А так – никаких проблем! Через восстановление системного реестра можно восстановить и те приложения, которые в данный момент в системе отсутствуют.

Заметьте: файлы программ физически с винчестера не удаляются, а только переименовываются, и в названиях первый символ заменяется на нечитаемый (обычно это $ или

$). Таким образом, достаточно просто определить все файлы, помеченные такими атрибутами, чтобы произвести восстановление работы любой программы. По этому принципу, кстати, и работают практически все известные на сегодняшний день утилиты, позволяющие произвести восстановление утерянной информации на носителях любого типа, включая не только жесткие диски, но и флэш-устройства, внешние USB-HDD или даже карты памяти самых популярных стандартов.

Какие данные хранятся в ветке HKLM?

Но вернемся к самой ветке реестра. Опять же, прежде чем решать вопрос того, как зайти на «Виндовс 8.1») в HKEY_LOCAL_MACHINE, следует уяснить, какие именно данные здесь хранятся.

В основном они касаются системных настроек, с параметрами которых при редактировании нужно быть очень осторожным.

В зависимости от версии ОС, разделы могут быть разными. Но основными являются подпункты SOFTWARE, HARDWARE и SYSTEM. Как уже понятно, они соответствуют программной, «железной» и системной части. Иными словами, первый раздел хранит информацию об установленных программах, второй отвечает за драйверы и оборудование, в третьем хранятся настройки самой ОС.

Как зайти в HKEY_LOCAL_MACHINE на «Виндовс 7» или любой другой системе самым быстрым способом?

Теперь непосредственно о входе. Вопрос того, как зайти в HKEY_LOCAL_MACHINE, в любой из ныне известных Windows-систем решается достаточно просто.

В данном случае речь идет об использовании консоли запуска программ и служб «Выполнить», в которой прописывается стандартная команда regedit, соответствующая исполняемому EXE-файлу. После входа достаточно просто развернуть ветку в дереве каталогов, расположенном слева.

Как на «Винде 7» зайти в HKEY_LOCAL_MACHINE из «Проводника»

Но выше приведенный метод единственным не является. Точно так же просто вопрос того, как зайти в HKEY_LOCAL_MACHINE, может быть решен и при использовании ручного запуска файла программы.

Он называется regedit.exe и располагается в папке System32. В данном случае даже запуск от имени администратора не требуется, поскольку система все равно запросит подтверждение прав на вмешательство. Другое дело, когда требуется произвести слияние путем запуска файла ключей с расширением REG. А вот тут права админа обязательны, ведь система внести изменения в реестр попросту не даст.

Редактирование реестра

С редактированием, как уже было отмечено, необходимо быть крайне осторожным. Цена вопроса – работоспособность всей системы.

Такая проблема связана только с тем, что, в отличие от других программ и настроек Windows, которые предлагают пользователю сохранить сделанные изменения, в редакторе реестра ни о чем подобном и речи быть не может (если что-то исправили, даже при закрытии редактора изменения вступят в силу автоматически). Таким образом, просто поменяв один ключ, вы можете привести всю систему к полному крашу. Без особой надобности эту ветку лучше не трогать.

Дефрагментация и очистка ненужных данных

Итак, как зайти в HKEY_LOCAL_MACHINE, более или менее разобрались. С вопросами редактирования тоже проблем быть не должно. Теперь несколько слов о дефрагментации реестра. Многие пользователи эту проблему, мягко говоря, недооценивают. А зря, поскольку именно по причине нахождения в реестре проблематичных ключей загрузка системы может стать достаточно долгой.

Как уже понятно, это сродни действиям с жестким диском, но отличие состоит не только в упорядочивании хранимых в нем записей и ключей, а и в удалении ненужных. В чем суть? При старте операционная система сканирует реестр, и чем больше в нем ключей, тем большее время отводится на загрузку. Вывод напрашивается сам собой: реестр нужно время от времени чистить. Но как это сделать?

Проще всего воспользоваться специальными программами-оптимизаторами, которые позволяют произвести автоматическую очистку и дефрагментацию без особого участия пользователя. Среди наиболее популярных утилит можно выделить CCleaner, Advanced SystemCare, Glary Utilities и многие другие. В комплекте их инструментариев имеется достаточно много модулей на все случаи жизни, включая и действия с системным реестром. Но можно использовать и узконаправленные утилиты, а не программы комплексного ухода за системой. Их тоже хватает с избытком. Но если разобраться, лучше применять комплексный уход, поскольку включенные в программах модули обеспечивают дополнительную очистку и ускорение.

Стоит ли заниматься изменением ключей собственноручно?

Наконец, почти напросился ответ на самый главный вопрос о том, насколько целесообразно и небезопасно заниматься изменением значений ключей реестра. Медаль имеет две стороны. Вроде бы и нежелательно изменять эти параметры, но, с другой стороны, некоторые настройки компонентов системы бывает невозможно задействовать или деактивировать без вмешательства в реестр, в частности, в ветку настроек, упомянутую выше.

Если требуется обычная оптимизация загрузки операционной системы, без сомнения, лучше всего подойдут приложения-оптимизаторы. Если же требуется включить определенные службы или активировать некоторые компоненты самой системы, без вмешательства с использованием ручного режима настройки не обойтись. А посему нужно быть крайне осторожным, чтобы не нанести системе такой ущерб, что она вообще прекратит работу и не будет даже подавать признаков жизни. После этого иногда может потребоваться даже ее полная переустановка.

В любом случае подходить к вопросам изменений параметров нужно максимально обдуманно, а без понимания сути выполняемых в определенный момент действий без надобности в системный реестр лучше не лезть вообще.

Очень часто при поиске того или ного решения компьютерной проблемы, советуют перейти в некую папку hkey_local_machine. Но далеко не всегда толком объясняют что это за папка и где находится.

В данной статье мы расскажем вам об hkey_local_machine. Вы узнаете где она находится и как в нее можно попасть на любой версии Windows.

Что такое hkey_local_machine?

Наверняка некоторые из вас хоть раз слышали о системном реестре. Это своеобразная системная база данных, в которой собрана информация обо всех установленных программах и компонентах, а также указаны параметры системы и приложений.

Так вот hkey local machine является одной из начальных (коренных) папок системного реестра. Еще их называют ветками реестра.

В ней находится масса служебной информации. Редактировать что — либо здесь нужно с особой осторожностью. Желательно перед внесением изменений в системный реестр делать точку восстановления, так как один неверно заданный параметр может привести к полной потере работоспособности как операционной системы, так и отдельных ее компонентов или программ.

Где находится или как зайти в hkey local machine?

Для входа в данную папку нужно зайти в реестр windows. Для этого вне зависимости от версии операционной системы нажимаем на клавиатуре комбинацию кнопок «Windows» + «R».

Комбинация кнопок «Win»+»R» на клавиатуре

Откроется окно «Выполнить», в котором пишем команду «regedit» без кавычек и жмем «Enter».

Команда для входа в редактор системного реестра

Далее запустится реактор реестра, который является своеобразным проводником по недрам реестра. В его левой части указаны корневые папки (ветки), среди которых присутствует и искомая папка hkey_local_machine, содержащая в себе массу различных подпапок и настроек.

Системный реестр с каталогом hkey local machine

Сегодня вновь повстречался с вирусом расположенном в ветке реестра HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls.

Снова он был не подписан и имел дурацкое название, состоящее из случайных букв — qhrsxxg.dll

Основные действия данного файла были направлены на неправильную работу браузеров — вместо страниц открывались «каракули» с непонятным текстом, либо Сайты открываются в виде HTML кода

В этот раз удалить его сходу не получилось, программа Unlocker никак не могла разблокировать файл.

После отключения данного файла в программе autoruns, и перезагрузки компьютера — файл все-таки был удален.

Браузеры заработали как и положено

А вообще в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows и значение параметра AppInit_DLLs должно быть пустым.

6 комментариев к записи “Вирус в HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls”

Здравствуйте!
У меня сейчас точно такая же проблема. Расскажите поподробней , пожалуйста, как это сделать. Я ничего не понял из вшесказанного. И ещё вопрос: почему антивирусы его не видят и не удаляют?

Добавлю. У меня нет вообще такого файла, проблема есть.

Более подробно прочитайте в статье, там все подробно расписано, правда про другой вирус — но суть одна — как такое удалить — расписано.
Все что вам нужно — воспользоваться программой autoruns
такого прям в точности файла у Вас не будет — так как они «носят» случайное имя -бессмысленное

здраствуйте у меня в компьютере (windows 8)отсутствует APPINIT_DLLs.что делать?

Если в реестре нет параметра Appinit_DLLs, то его надо создать самому вручную по пути HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows. Вот в этой папке Windows надо создать параметр Appinit_DLLs, который не должен иметь никакого значения, и если какое-то значение появится, то это вирус однозначно, его надо просто удалить обычным способом.Можно также в качестве значения создать параметр DWORD( для 32-бит .систем) или QWORD(для 64-бит.систем), значение которого должно быть равно нулю,т.е.0х00000000(0).Аналогично должно быть проделано в подразделе реестра HKCU( подраздел настроек пользователя)

Настройка реестра Windows XP

Для удобства пользования используется следующая система, позволяющая наглядно представить все возможности реестра.

Используемые сокращения

HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT

Продолжение: страница 1234

Ускорение файловой системы
Можно ускорить действие файловой системы, (если позволяет оперативная память) увеличив параметр типа DWORD IoPageLockLimit от заданных по умолчанию 512 КБ до 4 МБ и более в разделе

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Этот параметр представляет максимальное число байт, которые могут быть блокированы для операций I/O. Когда значение параметра равно 0, то система использует встроенный алгоритм определения необходимой памяти и использует объем 512 КБ. Установка максимального значения должна основываться на объеме памяти в Вашей системе.

Таблица рекомендуемых значений

RAM (MB) IoPageLockLimit
32 4096000
64 8192000
128 16384000
256+ 65536000

 

Отключение дебаггера
При возникновении каких-либо неполадок в работе приложений пользователю показывается окно с сообщением об ошибке и предложением закрыть приложение, при этом DrWatson (дебаггер по умолчанию) автоматически записывает информацию о сбое в log-файл. Для отключения этой службы вставляем в ключ реестра

HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\AeDebug

строковый параметр Auto со значением 0. После этого DrWatson больше не будет загружаться автоматически, а будет выводиться окно с сообщением об ошибке. По умолчанию установлено 1 (автоматическая загрузка дебаггера)

Зависшие программы

  • Время, по истечении которого программу считать зависшей
    Иногда программа зависает, т.е. не реагирует на обращение к ней. Приходится принудительно закрывать его (например, через Диспетчер задач (Ctr-Shift-Esc)): Ключ HungAppTimeout в разделе
    HKCU\Control Panel\Desktop

    определяет время, по прошествии которого не отвечающее приложение считается зависшим (по умолчанию 5000 миллисекунд). Измените данный строковый параметр на необходимое значение

  • Время ожидания перед завершением зависшего приложения
    Ключ WaitToKillAppTimeout в разделе
    HKCU\Control Panel\Desktop

    задает время ожидания перед завершением зависшего приложения (по умолчанию 2000 миллисекунд). Измените данный строковый параметр на необходимое значение

  • Автоматическое завершение зависших программ
    Вы можете разрешить системе автоматически завершать зависшие процессы. Для этого используйте строковый параметр AutoEndTasks в разделе
    HKCU\Control Panel\Desktop

    Значение «1» разрешает системе автоматически завершать процессы
    Значение «2» — процессы не завершаются автоматически.

    Система ожидает, когда процесс завершится, и если время завершения процесса превышает значение HungAppTimeout (см. выше), то появлятеся диалоговое окно Завершение работы, указывающее, что приложение зависло

Длинные и короткие имена файлов
Вы можете запретить длинные имена файлов в Windows, заставив тем самым генерировать имена в формате 8.3 (DOS-овский формат). Для этого в разделе

HKLM\System\CurrentControlSet\control\FileSystem

надо изменить параметр Win31FileSystem, присвоив ему значение 01 (по умолчанию стоит 00)

Формат MS-DOS для файлов и папок
По умолчанию Windows NT и выше создают в разделе NTFS специальную таблицу, содержащую все имена файлов и папок в формате MS-DOS по формуле 8.3 (8 символов имени файла и 3 символа для его расширения). Данная возможность в настоящее время не совсем актуальна и ее можно отключить для повышения производительности системы Для этого установите параметр типа DWORD NtfsDisable8dot3NameCreation в разделе

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

равным 1

Обновление метки последнего доступа к папке
По умолчанию Windows в системе NTFS обновляют метку последнего доступа к папке при их открытии. Данная возможность может тормозить вашу систему при слишком большом количестве папок. Если вас не интересует данная метка, то можете отключить данную возможность. Для этого установите параметр типа DWORD NtfsDisableLastAccessUpdate равным 1 в разделе

HKLM\SYSTEM\CurrentControlSet\Control\FileSystem

Быстрое завершение работы Windows
Windows NT версии 3.1и 3.5 позволяла закрыть все процессы за 20 секунд. В Windows XP существует возможность определять величину интервала, в течение которого система должна завершить свою работу. Для этого необходимо исправить ключ системного реестра – строковый параметр WaitToKillServiceTimeout, где установлена временная задержка закрытия всех запущенных сервисов в миллисекундах. Этот ключ расположен в разделе

HKLM/SYSTEM/CurrentControlSet/Control

По умолчанию значение параметра равно 20000, что эквивалентно 20 секундам.

Для уменьшения времени завершения, нужно уменьшить это значение, например до 1000, что эквивалентно 1 секунде. Однако, помните, что слишком значительное уменьшение значения этого ключа не позволит системе корректно завершить запущенные сервисы, что может сказаться на стабильности загрузки. Во время завершения работы, система уведомляет все сервисы и дает каждому сервису время на корректное закрытие. По истечении этого времени система уничтожает сервис. При этом некоторые параметры настройки сервиса могут быть не сохранены. Поэтому, если при уменьшении значения система становится нестабильной, рекомендуется попробовать увеличить это значение до тех пор, пока система не будет полностью стабильной.

Запрет на null-сессию
Для запрета null-сессии, которая позволяет другому пользователю, получить информацию о зашаренных (доступных для общего пользования) директориях и об имеющихся на компьютере локальных пользователях, установите параметр типа DWORD RestrictAnonymous равным 1 в разделе

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Windows Installer

Windows Script Host (WSH)
Существуют несколько параметров, позволяющих настроить Windows Script Host. Данные параметры находятся в разделе

HKLM\Software\Microsoft\Windows Script Host\Settings

Строковый параметр Enabled равный «0» отключает работу скриптов WSH (значение «1» включает обратно)
Строковый параметр DisplayLogo равный «0» отключает показ версии WSH и копирайт компании Майкрософт при работе скрипта в окне сеанса MS-DOS

Установка способа доступа к расшаренным ресурсам компьютера из сети Раздел:

HKLM\System\CurrentControlSet\Control\Lsa

Параметр типа DWORD RestrictAnonymous. Если значение равно 1 — запрещает анонимным юзерам просматривать удаленно учетные записи и расшаренные ресурсы. 2 — отказывает любой неявный доступ к системе (в сетевом окружении компьютер не будет виден, однако, доступ к нему можно будет получить, обратившись к нему по его IP).

Запрет сохранения паролей в Dial-Up-соединениях
По умолчанию, в Dial-Up-соединениях введенный пароль сохраняется после успешного соединения, если задействована опция «Сохранять имя пользователя и пароль», расположенная на диалоговом окне для Dial-Up. Это достаточно удобно для многих пользователей, но если вы занимаетесь проблемой безопасности системы, то можете запретить сохранение этих паролей. В разделе

HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters

создайте параметр типа DWORD DisableSavePassword со значением 1, который запрещает сохранение паролей в Dial-Up-соединениях. В этом случае опция «Сохранять имя пользователя и пароль» становится недоступной, а сохраненные пароли пропадают

Настройка системы (msconfig.exe)
Порой окно программы Настройка системы (msconfig.exe) засоряется ненужными записями. Чтобы удалить записи, которые мозолят вам глаза, нужно прогуляться в раздел

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig

и просмотреть все подразделы. Удалите ненужные параметры и окно программы будет выглядеть гораздо аккуратнее

Источник: whatis.ru

Где находится автозагрузка в Windows 10


Существуют Windows-приложения, которые при установке «считают своим долгом» поскорее прописаться в автозапуске: «я, мол, здесь самое важное – куда хочу, туда и заселяюсь». А то, что скопление автостартующих программ превращает компьютер в черепаху, чем доводит пользователей до «белого каления», разработчиков таких продуктов не волнует. Зато волнует нас с вами.

Чтобы выдрать такого паразита с корнем и не позволить ему подобным засорять вашу систему, необходимо знать, где находится автозагрузка в Windows 10 и как ею управлять: какие записи можно безбоязненно удалить, а что лучше не трогать. Также предлагаю познакомиться с тремя бесплатными утилитами для анализа и редактирования автозапуска.

Из «Конфигурации системы» в «Диспетчер задач»

Если вы перешли на использование Windows 10 после Windows 7, то наверняка помните, что в «семерке» средство управления автозагрузкой находилось в утилите «Конфигурация системы» (Msconfig.exe). В «десятке» оно стало чуть ближе к пользователю – переехало в «Диспетчер задач». Раздел, где перечислены приложения, начинающие работу вместе с Виндовс, так и называется – «Автозагрузка».

Возможности «Диспетчера задач» в плане управления автозапуском сильно ограничены: здесь отображаются лишь часть элементов – самое основное. Кроме того, с помощью этого инструмента невозможно ничего удалить – можно только отключить, открыть место расположения файла в проводнике, посмотреть его свойства и найти информацию о нем в Интернете.

Также здесь не показано, где именно прописан автозапуск файла (а в Виндовс таких мест несколько десятков), поэтому для полноценной чистки системы Диспетчер задач не подходит.

Основные места автозагрузки в Windows 10

Команды и ярлыки автоматического запуска файлов в Виндовс 10 находятся в папках автозагрузки и планировщика задач, а также во многих областях системного реестра. Ниже привожу неполный список таких мест:

Папки

  • %allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup – предназначена для хранения ярлыков приложений, которые запускаются под учетными записями всех пользователей.
  • %appdata%\Microsoft\Windows\Start Menu\Programs\Startup – то же самое, но для учетной записи активного (текущего) пользователя.
  • %SystemRoot%\Tasks и %SystemRoot%\System32\Tasks – папки планировщика задач, в которых находятся назначенные задания.

Реестр

Основные ветки автозапуска (в разделе HKLM содержатся параметры, применяемые к системе в целом – для всех, в HKCU – только для текущего пользователя):

  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib

Это интересно: Как отключить обновление Windows 10 или добро пожаловать, вирусы!
Запуск Windows и вход в учетную запись:

  • HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
  • HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
  • HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
  • HKLM\System\CurrentControlSet\Control\ServiceControlManagerExtension
  • HKLM\System\CurrentControlSet\Control\Session Manager\Execute
  • HKLM\SYSTEM\Setup\CmdLine
  • HKCU\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
  • HKCU\Control Panel\Desktop\Scrnsave.exe
  • HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
  • HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

Компоненты и расширения проводника Windows (Explorer.exe)

  • HKLM(HKCU)\SOFTWARE\Classes\Protocols\Filter
  • HKLM(HKCU)\SOFTWARE\Classes\Protocols\Handler
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  • HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
  • HKLM(HKCU)\Software\Classes\*\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Drive\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\*\ShellEx\PropertySheetHandlers
  • HKLM(HKCU)\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Directory\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Shellex\DragDropHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Shellex\CopyHookHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Folder\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
  • HKLM(HKCU)\Software\Classes\Folder\ShellEx\ContextMenuHandlers

Службы:

  • HKLM\System\CurrentControlSet\Services

Динамически подключаемые библиотеки (dll):

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
  • HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

Мониторы системы печати:

  • HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Сетевые компоненты:

  • HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
  • HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  • HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
  • HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries

Отладчики:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • HKLM(HKCU)\Software\Microsoft\Command Processor\Autorun
  • HKLM(HKCU)\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

Этот список содержит лишь те области, куда чаще всего прописываются вредоносные программы и где нередко скапливается мусор. На создание полного списка автозагрузки Windows 10 ушло бы гораздо больше места. Но нам с вами он ни к чему, ведь просматривать каждый раздел через редактор реестра – слишком трудоемко. Для этого существуют приложения – менеджеры автоматической загрузки. О лучших из них я расскажу немного позже, сначала разберемся, что можно оттуда удалять и что нельзя.

Где находится папка автозагрузки Windows 10 на вашем компьютере?

В «десятке» вы сможете найти системную папку с автозапуском на локальном диске. Директория является скрытой, вот её путь: C:\ProgramData\Microsoft\Windows\Главное меню\Programs\Автозагрузка.

Остальное программное обеспечение, которое будет запускаться автоматически после завершения инсталляции, располагается в профиле пользователя по пути: C:\Пользователи\имя_пользователя\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка. Между прочим, предельно простой способ удаления программы из списка автозапуска — это самостоятельно удалить ярлык приложения из данной директории.

Ещё один быстрый вариант попасть в указанную выше папку с ярлыками, это открыть меню Пуск и нажать «Выполнить» (либо введите Win+R). В командной строке пропишите команду shell:startup и кликните Enter. Вы находитесь в директории, хранящей ярлыки автоматически выполняемых приложений.

Что можно удалять из автозапуска, а что лучше не трогать

Дабы ускорить запуск Виндовс и повысить быстродействие ПК, из автозагрузки желательно убрать то, чем вы (и операционная система!) не пользуетесь постоянно и что рациональнее запускать вручную.
Однако все подряд убирать нельзя. Важно оставить:

  • Антивирус и другие защитные программы.
  • Средства аппаратного мониторинга и резервного копирования (если пользуетесь).
  • Компоненты драйверов устройств (иначе возможны проблемы в работе оборудования).
  • Программы, которые вы используете с момента загрузки системы.
  • Утилиты обновления приложений (важно для безопасности).
  • Всё, назначение чего вы не знаете. При подозрении на вредоносность элемента, прописанного в автозапуск, проверьте его файл антивирусом. И если он безопасен – оставьте на месте.

Остальное можно отключить. Если после перезагрузки ПК не возникло никаких проблем, отключенные элементы допустимо удалить (файлы, которые они запускают, при этом останутся на месте).

А теперь – о программах.

Открытие папки “Автозагрузка”

Смотрите также: “Как запустить безопасный режим в Windows 10”

На компьютере предусмотрены 2 папки с файлами автозагрузки. Первая предназначена для нашей учетной записи, вторая включает в себя программы и утилиты, которые запускаются для всех пользователей ПК.

Чтобы получить доступ к этим папкам запускаем окно “Выполнить” нажатием комбинации клавиш Win+R.

Теперь нужно ввести команду для открытия каталога автозагрузки:

AnVir Task Manager

AnVir Task Manager – бесплатный инструмент управления автозагрузкой, процессами и службами Виндовс с упором на безопасность. Помогает бороться с активным вирусным заражением, предотвращает попытки вредоносных программ заблокировать систему, а также ускоряет загрузку и работу компьютера.

Это интересно: Как включить шрифты ClearType в Windows 10

Приложение не требует глубокого понимания системных процессов и принципов безопасности, поэтому рекомендовано обычным пользователям.

Запускать AnVir Task Manager (как, впрочем, и другие подобные утилиты) необходимо от имени администратора.

Все элементы автозагрузки отображены на одноименной – первой вкладке AnVir Task Manager. В левой части верхней половины окна перечислены разделы реестра и папки; справа – их содержимое – ярлыки и параметры с указанием детальной информации: что запускает, где файл располагается в системе, какому приложению принадлежит.

Самое интересное здесь – процентная оценка риска (потенциальной вредоносности) каждого объекта. Но учтите, что далеко не всегда высокий риск (красная зона) указывает на то, что перед вами вирус. Это, скорее, сделано для привлечения внимания пользователя.

Причина, по которой AnVir Task Manager счел объект подозрительным, приведена внизу окна на вкладке «Свойства».

В моем примере под раздачу попал безобидный компонент видеодрайвера Intel – igfxpers.exe. Дабы убедиться, что файл действительно чист и безвреден, я проверю его на сервисе – выделю в списке и нажму показанную на скриншоте кнопку.

Прочие элементы управления автозапуском собраны на той же панели, где находится кнопка «Virustotal», и в контекстном меню каждого пункта. В их числе:

  • Отключение (карантин).
  • Переход к процессу, запущенному объектом.
  • Открытие файла в проводнике.
  • Перезапуск и остановка процесса.
  • Добавление программы в автозапуск.
  • Правка записи в реестре.
  • Настройка отложенного запуска (спустя несколько минут после старта Windows).
  • Удаление записи (без файла).
  • Поиск информации об объекте в Google.

Немного поэкспериментировав, вы разберетесь, что здесь к чему. И тогда, может быть, AnVir Task Manager станет вашим постоянным помощником.

Настройка и изменение автозагрузки

Как уже говорилось выше, список автоматически запускаемых при начале работы компьютера приложений можно настроить самостоятельно путем добавления или исключения программ.

Как добавить программу в автозагрузку Windows 10?

При необходимости в список автозапуска можно включить выбранные пользователем программы, используя несколько способов:

  • Через уже упоминавшуюся папку автозагрузки. Скопируйте туда ярлык программы.
  • С использованием редактора реестра
      Для запуска редактора реестра зажмите клавиши Win+R, появится окно «Выполнить», в нем в строку «Открыть» вам нужно вписать команду regedit;
  • Перейдите по подходящей вам ветке: Для настройки автозапуска выбранной учетной записи: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Если вам нужно отредактировать общий автозапуск: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • В любом пустом месте конечной папки кликните правой кнопкой мыши, наведите курсор на появившуюся надпись «Создать», в выпавшем меню нужен пункт «Строковый параметр»;
  • Только что созданный параметр должен появиться в последней строке. У вас будет возможность сразу указать имя вносимой в автозапуск программы. Теперь нужно поменять данные в окне «Изменение строкового параметра». Для его вызова правой кнопкой щелкните по имени нового параметра и выберите пункт «Изменить…»;
  • В вызванном окне в строке «Параметр» указано введенное вами ранее имя приложения. В строке «Значение» укажите путь доступа к его исполняемому файлу. Обычно это файл с разрешением «.exe», который находится в папке программы на диске C. Закончив, нажмите «ОК»;
  • Проверьте, сохранились ли изменения. Указанный путь должен появиться в ячейке «Значение» созданного параметра.
  • С помощью стандартного приложения «Планировщик заданий»
      Запустите «Планировщик»: с помощью поиска, расположенного в меню «Пуск», найдите приложение по названию. Еще один способ: зажмите клавиши Win+R, в строку «Открыть» запишите команду askschd.mscи нажмите Enter или «ОК»;
  • В левой части окна «Планировщика» выберите папку «Библиотека планировщика заданий»;
  • По центру вы увидите аблицу со списком программ, их состоянием и условиями запуска (триггерами). Автозагружающимся можно назвать приложение, для которого триггером является пункт «При запуске». Справа в разделе «Действия» выберите пункт «Создать задачу…»;
  • Откроется окно «Состояние задачи» на вкладке «Общие». Здесь у вас будет возможность назначить имя создаваемой задаче;
  • Перейдите на вкладку «Триггеры», там в пункте «Начать задачу» в выпадающем меню кликните «При запуске»;
  • Перейдя на вкладку «Действия», нажмите на кнопку «Создать». В строке «Программа или сценарий» задайте путь к исполняемому файлу выбранной для автозапуска программы, используя кнопку «Обзор». После два раза нажмите «ОК».
  • Важно. Не стоит добавлять в автозагрузку лишние программы, например, игры или любимый видеоплеер. Они могут затормозить загрузку и работу вашего компьютера. Если вы хотите оптимизировать работу устройства и возвратить ему былую скорость, исключение подобных приложений из списка автозагрузки – неплохое начало.

    Как отключить автозапуск программ в Windows 10?

    Если вы поняли, что автозагрузка содержит слишком много программ, и хотите сократить их количество, вы можете выбрать один из нескольких способов.

    Важно. Не торопитесь удалять из автозапуска неизвестную вам программу. По незнанию вы можете отключить нужное для нормального функционирования системы или какого-либо устройства приложение и нарушить работу компьютера. Попробуйте найти описание интересующей вас программы в Интернете или проконсультироваться со специалистом.

    • Папка автозагрузки. Найдите ярлык ненужного приложения и удалите его из папки;
    • Редактор реестра
        Для запуска редактора реестра зажмите клавиши Win+R, в строку «Открыть» вызванного окна впишите команду regedit;
    • Откройте папку «Run» по подходящей в вашем случае ветке: Для удаления программы из автозапуска выбранной учетной записи: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Для корректирования списка программ общего автозапуска: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • В конечной папке найдите программу, которую вы собираетесь убрать из списка автозагрузки. Выделите ее, кликнув левой кнопкой мыши по нужной строке, затем щелкните по выделенному тексту правой кнопкой мыши, в показавшемся списке нажмите на «Удалить»;
  • Диспетчер задач
      Вызовите диспетчер: откройте контекстное меню кнопки «Пуск», в нем нужен пункт «Диспетчер задач». Еще один способ: зажмите клавиши Ctrl+ Shift+ Esc;
  • Если раньше вы не вызывали диспетчер задач, он может открыться в свернутом виде. В этом случае в нижней части окна вы увидите кнопку «Подробнее». Если она там есть, щелкните по ней. В развернутом варианте диспетчера задач найдите вкладку «Автозагрузка» и перейдите на нее;
  • На вкладке «Автозагрузка» вы увидите список запускающихся при начале работы компьютера программ, их влияние на загрузку, состояние (включено или отключено). Найдите приложения, автозапуск которых которых вам не нужен, и измените их состояние на «Отключено»: правой кнопкой мыши щелкните по нужной строке и кликните по пункту «Отключить» в выскочившем списке;
  • Параметры Windows 10. Этот способ доступен для пользователей с операционной системой версии 1803 и выше, установивших первое выпущенное в 2021 году обновление.

    Важно. Вы можете быстро и просто узнать текущую версию Windows 10 на данном компьютере. Для этого зажмите Win+R, впишите в строку «Открыть» команду winver и нажмите ОК или Enter. Появится окно, содержащее нужную информацию.

    1. Зайдите в меню «Пуск» и кликните по иконке шестеренки;
    2. Выберите пункт «Приложения», затем пункт «Автозагрузка»;
    3. Вы увидите очень похожую на Диспетчер задач картину: перечень автоматически загружающихся приложений, их статус (Вкл./Выкл.) и степень влияния на загрузку. Переведите в статус выключенных ненужные вам приложения.

    Как уже было сказано, автоматически запускающиеся программы очень важно контролировать, ведь они способны дополнительно загрузить ваш компьютер, уменьшить скорость его работы и даже навредить ему. Теперь вы знаете, где находится папка “Автозагрузка” в Windows 10, как и для чего ее можно использовать, а также что нужно делать, если вам необходимо добавить приложение в группу автоматически запускаемых или исключить его оттуда.

    Startup Delayer

    Startup Delayer – не совсем обычный менеджер автозагрузки. И вот почему.

    По умолчанию все приложения, прописанные в автозапуске, стартуют одновременно. Если компьютер не очень мощный, это вызывает перегрузку аппаратных ресурсов и замедление запуска Виндовс. Задача Startup Delayer – создать задержку при старте отдельных приложений, чтобы они начинали работу не вместе, а по очереди. Благодаря такому распределению времени рабочий стол появляется значительно быстрее, чем обычно.

    Как и предыдущая, эта программа рассчитана на простого пользователя. В ней нет ничего, что могло бы вас запутать. В окне «Автозапуск приложений» есть три области:

    • Запуск с задержкой.
    • Обычный запуск.
    • Запрет запуска.

    Это интересно: Как зайти в безопасный режим Windows 10. Что делать, если безопасный режим не загружается

    Сразу после установки Startup Delayer первая и третья области пустые, а во второй перечислены все автостартующие программы. Для создания отложенной загрузки перетащите приложения из второй обрасти в первую и расположите их в желаемом порядке. Так – друг за другом, они и будут запускаться.

    В третью – нижнюю область, перенесите то, автозагрузку чего хотите отключить.

    Startup Delayer позволяет создавать несколько профилей автозапуска, в том числе для каждого пользователя ПК.

    Как настроить автозагрузку windows 7

    Чтобы настроить автозагрузку в windows 7 надо сначала разобраться что понимается под настройкой автозагрузки. Одни подразумевают автоматический запуск программ и приложений при старте операционной системы, а другие — управление загрузкой виндовс 7 (т.е. как и с какими параметрами будет стартовать).

    Другой способ установки программы или сценария для запуска при входе в систему — это использовать папку «Автозагрузка». Чтобы использовать папку «Автозагрузка» для настройки программы для запуска при загрузке, просто создайте ярлык для указанной программы и поместите этот ярлык в папку «Автозагрузка». Некоторые программы используют этот метод как способ настройки для запуска при запуске. Если у вас есть программа, которая запускается при каждом входе в систему, может быть ярлык для этой программы в папке автозагрузки.

    Запуск пользовательских скриптов при запуске

    Пакетные файлы содержат команды, которые обычно запускаются в окне командной строки.

    Отключение программ от запуска при загрузке

    Есть несколько способов, которые программа может настроить для запуска при загрузке. Методы, упомянутые выше, являются двумя из них, и после прочтения вы должны иметь хорошую идею о том, как отключить программы, которые используют эти два метода. Вам также следует обратиться за помощью по отключению программ, которые используют реестр или другие методы для запуска при загрузке.

    Если вы не нашли в папке нужное для отключения приложение, запустите «Конфигурацию системы» через msconfig. Можно нажать сочетание клавиш Win R и в строке ввода набрать «msconfig».

    В окне перейдите во вкладку «Автозагрузка» и найдите приложение, которое необходимо отключить. Просто снимите галочку с приложения и оно больше не будет запускаться. Для подтверждения не забудьте нажать «Ок» или «Применить».

    Если же вы хотите настроить параметры того, как будет загружаться Windows 7, все настройки производятся в приложении «Конфигурация системы». Так же как и описано выше, запускаете его через msconfig. И во вкладках настраиваем параметры. Первая вкладка — «Общие» позволяет выбрать один из трех вариантов запуска системы:

    Выключение через командную строку для удаленных систем

    Однако даже эти критические фазы и системные области можно контролировать, поддерживать и, при необходимости, также оптимизировать с помощью правильных инструментов. Мы представляем набор инструментов, связанных с запуском и выключением систем. Например, таймер выключения программного обеспечения позволяет точно определить, что должно произойти в конкретную дату, например. В этом случае очень важно определить период, для которого это значение контролируется, до тех пор, пока фактически не произойдет отключение. Программное обеспечение обеспечивает понятный и понятный интерфейс, отображающий программы, которые автоматически запускаются. Если отображаются только «Запланированные задачи», после выбора возможен переход к соответствующей точке планирования задачи системы. Это позволяет удаленному доступу или перезагрузке удаленной системы по сети. . Компьютер также может работать без экрана и клавиатуры.
    :/> Ошибка при запуске приложения 0xc0000142, причины

    1. Обычный запуск — параметр по умолчанию при котором операционная система запускается в обычном режиме при отсутствии каких либо проблем со стороны Windows.
    2. Диагностический запуск — при выборе этого параметра, Windows при загрузке запустит только основные драйвера и службы которые минимально необходимы для нормальной работы. Используется для определения проблем в Windows. В случае, если система в этом режиме работает нормально, значит проблему надо искать дальше и попробовать запустить систему в режиме «Выборочный запуск». Если же в режиме «Диагностический запуск» операционка так же не работает, значит повреждены основные драйвера и файлы. Возможно что придется переустановить ОС.
    3. Выборочный запуск — позволяет ограничить загрузку одним из трех параметров или же сразу три. Позволяет определить в каком из элементов системы проблема.

    Во вкладке «Загрузка» настраиваются детальные настройки запуска. В области (1) выбирается система, которая будет загружаться по умолчанию. Актуально, если у вас несколько систем на одном компьютере. В этом окне можно как задать загрузку системы по умолчанию, так и убрать из загрузчика одну из установленных (система не удаляется, а удаляется только возможность загрузки).

    При выбранном «Безопасный режим» Windows загружается с минимальным набором служб драйверов и устройств. Главное здесь слово — минимальное.

    В области (3) можно задать дополнительное ограничение при загрузке:

    В области (4) можно задать параметр времени выбора операционной системы при старте. Это время, в течение которого можно вместо операционной системы по умолчанию выбрать другую.

    Дополнительные параметры позволяют ограничить число ядер процессора и памяти. Так же можно блокировать PCI чтобы система не распределяла ресурсы ввода-вывода. Отладка включает отладку в режиме ядра для разработчиков драйверов устройств.

    И в последней вкладке «Сервис» содержит список необходимых диагностических средств как говориться «в одном месте». Доступ к этим средствам возможен из самой операционной системы, но из разных мест, а здесь собрано все в одном для удобства.

    Autoruns

    Приложение Autoruns от Sysinternals (автор Марк Руссинович) – это некий эталон своего жанра. Оно детально отображает все элементы автоматической загрузки для всех пользователей компьютера, включая учетные записи системы и некоторых служб, а также позволяет выборочно отключать и удалять любые объекты.
    Окно программы поделено на 20 вкладок (в последней версии, в предыдущих их меньше). 19 вкладок содержит группы объектов одной категории, например, назначенные задания, службы, известные dll и т. д., а 20-я – всё вместе одном длинным списком.

    Некоторые записи во вкладках выделены желтым и розовым цветом. Желтый указывает на то, что элемент автозагрузки сопоставлен отсутствующему файлу. Розовый – на подозрительность и возможную вредоносность объекта. Чтобы убедиться в безопасности, мы можем прямо из программы переслать подозрительный файл на Virustotal, но для последнего придется сначала зарегистрироваться на сервисе.

    Если кликнуть мышью по строке, на нижней панели отображается детальная информация о файле – имя, путь, кем создан, размер, дата создания и версия.

    Чтобы отключить автоматический запуск элемента, достаточно снять флажок, стоящий возле него в первой колонке. Для удаления записи (но не файла, который ей сопоставлен), щелкните по ней правой кнопкой мыши и выберите «Delete» либо нажмите Ctrl+D. Двойной щелчок по строке открывает выбранную запись в редакторе реестра Windows.

    По умолчанию программа отображает элементы автозагрузки текущего пользователя. Чтобы просмотреть и отредактировать данные другой учетной записи, откройте меню «User» и выберите нужный пункт.

    Autoruns предназначен для опытных пользователей. Новичку, скорее всего, он покажется слишком сложным, тем более что официальная версия не переведена на русский язык. Но если вы всерьез настроены разобраться в этой программе, о чем никогда не пожалеете, можете найти на просторах глобальной сети русифицированный выпуск.

    Автоматически запускаемые программы в реестре

    Запустите редактор реестра, нажав клавиши Win+R и введя regedit в поле «Выполнить». После этого перейдите к разделу (папке) HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

    В правой части редактора реестра вы увидите список программ, запускаемых для текущего пользователя при входе в систему. Вы можете удалить их, или добавить программу в автозагрузку, нажав по пустому месту в правой части редактора правой кнопкой мыши — создать — строковый параметр. Задайте параметру любое желаемое имя, после чего дважды кликните по нему и укажите путь к исполняемому файлу программы в качестве значения.


    В точно таком же разделе, но в HKEY_LOCAL_MACHINE находятся также находятся программы в автозагрузке, но запускаемые для всех пользователей компьютера. Чтобы быстро попасть в этот раздел, можно кликнуть правой кнопкой мыши по «папке» Run в левой части редактора реестра и выбрать пункт «Перейти в раздел HKEY_LOCAL_MACHINE». Изменять список можно аналогичным способом.

    Как исправить ошибку BIOS LEGACY BOOT OF UEFI-ONLY MEDIA при загрузке Windows с флешки

    Реестр — Стр 2

    11

    • общесистемных регистрационных данных классов в HKLM\SOFTWARE\Classes.

    Причина, по которой регистрационные данные, специфичные для каждого пользователя, были отделены от общесистемных, заключается в том, что это дает возможность включать соответствующие настройки и в профили «блуждающих» пользователей (профили роуминга). Это же устранило дыру в защите: непривилегированный пользователь не может изменить или удалить разделы в HKEY_CLASSES_ROOT и тем самым повлиять на функционирование приложений в системе. Непривилегированные пользователи и приложения могут считывать общесистемные данные и добавлять новые разделы и параметры в общесистемные данные (которые отражаются на данные, специфичные для этих пользователей), но изменять существующие разделы и параметры им разрешается лишь в собственных данных.

    HKEY_LOCAL_MACHINE

    HKLM — корневой раздел, содержащий подразделы с общесистемной конфигурационной информацией: HARDWARE, SAM, SECURITY, SOFTWARE и SYSTEM. Подраздел HKLM\HARDWARE содержит описание аппаратного обеспечения системы и все сопоставления драйверов с устройствами. Диспетчер устройств, который запускается с вкладки Hardware (Оборудование) окна свойств системы, позволяет просматривать информацию об устройствах, получаемую простым считыванием значений параметров из раздела HARDWARE.

    В HKLM\SAM находится информация о локальных учетных записях и группах, например пароли, определения групп и сопоставления с доменами. Система Windows Server, работающая как контроллер домена, хранит доменные и групповые учетные записи в Active Directory — базе данных, которая содержит общедоменные параметры и сведения. (Active Directory в этой книге не рассматривается.) По умолчанию дескриптор защиты раздела SAM сконфигурирован так, что к нему не имеет доступа даже администратор.

    В HKLM\SECURITY хранятся данные, которые относятся к общесистемным политикам безопасности, а также сведения о правах, назначенных пользователям. HKLM\SAM связан с подразделом SECURITY в разделе HKLM\SE-CURITY\SAM. По умолчанию содержимое HKLM\SECURITY недоступно для просмотра, поскольку параметры защиты разрешают доступ только по учетной записи System. Вы можете сменить дескриптор защиты, чтобы администраторы получили доступ к этому разделу для чтения, или, если вам любопытно, что там находится, запустить Regedit под локальной системной учетной записью с помощью PsExec (как это сделать, будет показано в соответствующем эксперименте). Но это почти ничего не даст, так как данные в нем не документированы, а пароли зашифрованы (по алгоритму необратимого шифрования).

    HKLM\SOFTWARE — то место, где Windows хранит общесистемную конфигурационную информацию, не требуемую при загрузке системы. Кроме того, здесь сохраняют свои общесистемные настройки приложения сторонних разработчиков (пути к файлам, каталоги приложений, даты лицензий и сроки их окончания).

    HKLM\SYSTEM содержит общесистемную конфигурационную информацию, необходимую для загрузки системы, например списки загружаемых драйверов и запускаемых сервисов. Поскольку эта информация критична для запуска системы, Windows делает ее копию,

    Only for UIB groups from Dobrynin I.S.

    12

    называемую последней удачной конфигурацией (last known good control set). Она позволяет вернуться к последней работоспособной конфигурации, если после изменений, внесенных в текущую конфигурацию, система перестала загружаться. Подробнее об этом — ближе к концу главы.

    HKEY_CURRENT_CONFIG

    HKEY_CURRENT_CONFIG — просто ссылка на текущий профиль оборудования, хранящийся в HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current. Профили оборудования позволяют администратору изменять базовые настройки системных драйверов. Хотя реальный профиль может меняться от загрузки к загрузке, благодаря разделу НКСС приложения всегда имеют дело с текущим активным профилем. Управление профилями оборудования осуществляется через диалоговое окно Hardware Profiles (Профили оборудование), которое открывается кнопкой Settings (Профили оборудования) в одноименном разделе на вкладке Hardware (Оборудование) в апплете System. При загрузке Ntldr предложит указать, какой профиль вам нужен, если он не один.

    Only for UIB groups from Dobrynin I.S.

    13

    ПРАКТИЧЕСКИЕ ЗАДАНИЯ

    В целях обеспечения сохранности развернутой основной операционной системы все задания данной лабораторной работы рекомендовано выполнять на виртуальной машине.

    1. ОЗНАКОМЛЕНИЕ С РЕДАКТОРОМ РЕЕСТРАREGEDIT ОПЕРАЦИОННОЙ СИСТЕМЫWINDOWS.

    Для открытия редактора реестра откройте меню Пуск→ Выполнить и в появившемся окне впишите regedit.exe и нажмите клавишу enter.

    В целом механизм просмотра разделов и подразделов при помощи программы Редактор реестра схож с алгоритмом работы пользователя в программе Проводник. Давайте рассмотрим процедуру просмотра разделов и подразделов реестра на примере ветви HKEY_CLASSES_ROOT (HKCR):

    1.Запустите Редактор реестра и щелкните мышью на значке «+», расположенном слева от обозначения ветви HKEY_CLASSES_ROOT в Панели разделов;

    2.В раскрывшемся дереве ключей щелкните мышью на символе «+» слева от имени ключа, например ключа .ехе, — вы увидите список содержащихся в данном ключе подразделов.

    3.Щелкните мышью на обозначении подраздела текущего ключа (в рассматриваемом нами случае ключ .ехе имеет по умолчанию только один подраздел — PersistentHandler), после чего его значок примет вид открытой папки.

    4.В панели параметров отобразится список всех параметров и их значений, содержащихся в данном подразделе.

    2.СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ СИСТЕМНОГО РЕЕСТРА ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS.

    ПРЕДУПРЕЖДЕНИЕ: неверные действия при изменении реестра могут серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных, имеющихся на компьютере. НИКОГДА не удаляйте и не меняйте информацию в реестре, если Вы не уверены что это именно то, что нужно.

    ВО ИЗБЕЖАНИЕ НЕПОЛАДОК В СИСТЕМЕ СОЗДАЙТЕ РЕЗЕРВНУЮ КОПИЮ РЕЕСТРА.

    Посути, резервную копию реестра можно создать двумя путями:

    1.Путем создания контрольной точки восстановления системы Windows (см. п.2.1),

    2.Путем экспорта файла реестра (см. п.2.2).

    Контрольная точка восстановления системы позволяет восстановить систему после определенных сбоев, произошедших, в том числе, и с реестром.

    Экспортирование же данных реестра позволяет более гибко решать задачу резервирования как реестра целиком, так и отдельных его ключей.

    Only for UIB groups from Dobrynin I.S.

    14

    В ознакомительных (учебных) целях попробуйте реализовать оба перечисленных варианта.

    2.1 Создание контрольной точки восстановления системы.

    Запустите утилиту восстановления системы. Это можно сделать несколькими способами. Откройте Панель управления и выберите задачу Производительность и обслуживание, а далее выберите задачу Восстановление системы. Также можно запустить восстановление системы выбрав команду главного меню Другие программы → Стандартные → Служебные → Восстановление системы. На экране появится рабочее окно этой программы (Рис. 2.1.1). Внешне программа очень похожа на один из мастеров Windows и работает с использованием последовательности диалогов.

    Рис 2.1.1. Создание точки восстановления

    Вы можете создать точку восстановления восстановить компьютер в состояние, когда была создана последняя точка восстановления или отменить последнее восстановление. Необходимое действие выбирается с помощью переключателя расположенного в правой части диалога

    Only for UIB groups from Dobrynin I.S.

    15

    C помощью данной утилиты создадим точку восстановления. Установите переключатель в положение Создать точку восстановления и нажмите кнопку Далее, чтобы продолжить работу. Появится следующий диалог мастера (Рис. 2.1.1), в котором вам будет предложено ввести описание создаваемой точки восстановления.

    Имеется возможность создания множества точек восстановления. При последующем восстановлении системы вы сможете выбрать, из какой точки следует восстанавливаться. Тогда вам и понадобится описание введенное в этом диалоге. Кроме вашего описания, к точке восстановления будут автоматически добавлены текущее время и дата. Все это делается, чтобы в будущем вы не спутали разные точки восстановления и не восстановили систему в неприемлемое состояние.

    Щелкните мышью на поле ввода и наберите название точки: Проверка системы восстановления. Нажмите кнопкуДалее (Next), чтобы продолжить создание точки восстановления. Этот процесс может занять несколько минут, в течение которых компьютер может реагировать с задержкой на нажатия клавиш и перемещение мыши. По окончании работы утилиты компьютер опять станет нормально реагировать на все ваши действия.

    Появится заключительный диалог создания точки восстановления (Рис. 2.1.2).

    Рис 2.1.2. Подтверждение создания точки восстановления

    После того, как точка восстановления создана вы можете продолжить работу как обычно. Если вы случайно испортите важные файлы, их можно будет восстановить. Если у вас было создано несколько точек восстановления, вы можете восстановить состояние компьютера с помощью любой из них. Однако следует быть осторожным, так как изменения, внесенные в систему после создания точки восстановления будут утеряны. Поэтому средством восстановления следует пользоваться с большой осторожностью и применять его только действительно в критических случаях.

    Only for UIB groups from Dobrynin I.S.

    16

    2.2 Экспорт необходимых параметров реестра, операционной системы Windows

    Экспортировать можно как отдельные параметры, так и полностью все кусты реестра. Прежде, чем начать редактирование реестра вручную с помощью REGEDIT, или REGфайла, не помешает сохранить ту часть реестра — раздел или подраздел, — которую вы будете изменять. Для этого:— Запустите REGEDIT. «Пуск Выполнить REGEDIT.— Найдите ветвь реестра, содержащую ключ, значение которого вы будете редактировать, и кликните на ней в левой части окна REGEDIT.— В главном меню выберите «Файл-Экспорт» и укажите

    имя файла. Либо кликните правой кнопкой и укажите «Экспортировать». Для экспорта ветвей реестра следуйте следующим инструкциям.

    1.Щелкните на ключе, находящемся в вершине ветви, которую вы хотите экспортировать.

    2.В меню Файл выберите пункт Экспорт, чтобы вывести на экран диалоговое окно Экспорт файла реестра, показанное на рис. 2.2.1.

    3.В поле Имя файла введите имя файла, который вы создаете.

    4.Выберите диапазон экспорта:

    · чтобы создать копию всего реестра, щелкните на Весь реестр; ·чтобы создать копию выделенной ветви, щелкните на Выбранная ветвь.

    5.В списке Тип файла выберите тип файла, который вы хотите создать:

    Файлы реестра *.reg

    Файлы кустов реестра *.*

    Текстовые файлы *.txt

    Файлы реестра Win9x/NT4 *.reg

    6.Щелкните на кнопке Save (Сохранить).

    При экспортировании

    файла реестра обратите

    внимание на

    «Диапазон экспорта!»

    Only for UIB groups from Dobrynin I.S.

    17

    Импорт файла в реестр похож на открытие файла. Щелкните на пункте Импорт из менюФайл; в списке Тип файла выберите тип файла, который вы хотите импортировать; затем в поле Имя файла введите путь и имя импортируемого файла.

    3. ИССЛЕДОВАНИЕ ОСНОВНЫХ ПРИНЦИПОВ РАБОТЫ С РЕЕСТРОМ OSWINDOWS.

    Используя нижеприведенный материал, исследуйте основные аспекты работы с реестром.

    3.1. Просмотр разделов и подразделов.

    В целом механизм просмотра разделов и подразделов при помощи программы Редактор реестра схож с алгоритмом работы пользователя в программе Проводник. Давайте рассмотрим процедуру просмотра разделов и подразделов реестра на примере ветви HKEY_CLASSES_ROOT (HKCR):

    1.Запустите Редактор реестра и щелкните мышью на значке «+», расположенном слева от обозначения ветви HKEY_CLASSES_ROOT в Панели разделов;

    2.В раскрывшемся дереве ключей щелкните мышью на символе «+» слева от имени ключа, например ключа .ехе, — вы увидите список содержащихся в данном ключе подразделов.

    3.Щелкните мышью на обозначении подраздела текущего ключа (в рассматриваемом нами случае ключ .ехе имеет по умолчанию только один подраздел — PersistentHandler), после чего его значок примет вид открытой папки.

    4.В панели параметров отобразится список всех параметров и их значений, содержащихся в данном подразделе. Из описанного алгоритма следует, что «неоткрытые» разделы обозначаются значком закрытой папки и значком «+», в таких разделах все подразделы скрыты; «открытые» разделы, напротив, отображаются посредством значка открытой папки и помечены символом «-», их содержимое демонстрируется в панели разделов в виде древовидной иерархической структуры. Чтобы развернуть неоткрытый раздел, необходимо щелкнуть мышью на значке «+», дважды щелкнуть на значке папки или его названии либо щелкнуть правой кнопкой мыши на названии и выбрать в появившемся контекстном меню пункт Развернуть (Expand). Чтобы свернуть открытый раздел, необходимо щелкнуть мышью на символе «-», дважды щелкнуть на значке папки или его названии либо щелкнуть правой кнопкой мыши на его названии и выбрать в появившемся контекстном меню пункт Свернуть (Collapse).

    При закрытии и повторном запуске программы Редактор реестра она автоматически открывает разделы, с которыми вы работали в прошлый раз.

    Only for UIB groups from Dobrynin I.S.

    18

    3.2 Поиск информации в реестре.

    Реестр Windows является довольно вместительной базой данных, поиск информации в которой может быть весьма затруднен обилием этой самой информации. Для облегчения данной задачи в программе Редактор реестра предусмотрен специальный механизм контекстного поиска, который активизируется при выполнении пользователем команд Правка→ Найти (Edit → Find) и Правка → Найти далее (Edit → Find next). Окно контекстного поиска можно вызвать на экран, нажав сочетание «горячих» клавиш Ctrl+F или клавишу F3 (см. рис.).

    Рис. Окно поиска информации в реестре

    Для того чтобы найти какие-либо сведения в реестре Windows, придерживайтесь следующего алгоритма действий:

    1.В поле Найти (Find what) введите ключевое слово, соответствующее имени искомого параметра, ключа или подраздела.

    2.В области Просматривать при поиске (Look at) установите флажки, соответствующие диапазону поиска. Доступны варианты имена разделов (keys), имена параметров (values) и значения параметров (data).

    3.Если это необходимо, установите флажок Искать только строку целиком (Match whole string only). Если флажок сброшен, в диапазон поиска будут включены все вхождения, содержащие указанное вами ключевое слово.

    4.Щелкните мышью на кнопке Найти далее (Find next).

    3.3. Быстрый переход к выбранному разделу реестра.

    Специально на тот случай, если вы регулярно обращаетесь к одному и тому же разделу реестра для просмотра или редактирования хранящихся в нем данных, в составе программы Редактор реестра имеется механизм хранения ссылок на избранные разделы, аналогичный папке Избранное (Favorites) в Проводнике Windows или браузере MicrosoftInternetExplorer. Вы можете воспользоваться этой функциональной возможностью Редактора реестра описанным далее образом:

    1.Перейдите в раздел реестра, на который вы хотите установить закладку, и выполните команды Избранное→ Добавить в Избранное (Favorites → Add to Favorites).

    2.В окне Добавление в папку «Избранное» (Add to Favorites) введите произвольное имя для добавляемой закладки и щелкните мышью на кнопке ОК.

    3.Для быстрого перехода к нужному разделу откройте командное меню Избранное (Favorites) и щелкните мышью на соответствующей закладке.

    Only for UIB groups from Dobrynin I.S.

    19

    4. Чтобы удалить закладку из папки Избранное (Favorites), выполните последовательность команд Избранное→ Удалить из Избранного (Favorites → Remove Favorite), выберите щелчком мыши в открывшемся окне Удаление из папки «Избранное» (Remove Favorite) соответствующую ссылку и нажмите на кнопку ОК.

    3.4. Добавление новых разделов и параметров реестра.

    При изменении и добавлении каких-либо параметров или разделов в реестр Windows следует соблюдать определенную осторожность, поскольку такие изменения могут повлиять на работу приложений Windows, используемого на компьютере оборудования и компонентовсамой операционной системы. Более того, если реестр будет поврежден и вы сразу этого не заметите, то поврежденная копия будет считаться последней рабочей копией (last known good configuration) — резервной копией, сохраняемой на случай повреждения реестра, — и это приведет к уничтожению ценной информации, необходимой для восстановления системы с помощью замены предыдущей рабочей копии. Также дефектная версия реестра может быть помещена в резервную копию системных компонентов программой восстановления Windows (Windows Restore) и скопирована на место работоспособной версии при аварийном восстановлении системы. Именно поэтому производить подобные манипуляции с реестром следует только в том случае, если вы твердо уверены, что представляете себе все возможные последствия этих действий.

    Итак, для того чтобы добавить в реестр новый ключ или подраздел, придерживайтесь предложенной далее последовательности действий:

    1.Пользуясь стандартными приемами навигации по дереву реестра, откройте в панели разделов требуемые ветвь, ключ или подраздел, в которых вы хотите создать новый раздел или подраздел.

    2.Выполните последовательность команд Правка→ Создать → Раздел (Edit →New → Key), рядом с изображением значка вновь созданного раздела в панели разделов введите с клавиатуры имя создаваемого раздела.

    3.Убедитесь в том, что имя отличается от имен других подразделов того же уровня и что в нем нет обратной наклонной черты (\).

    Для того чтобы создать новый параметр реестра, используйте предложенный далее алгоритм:

    1.Пользуясь стандартными приемами навигации по дереву реестра, откройте в панели разделов требуемые ветвь, ключ или подраздел, в которых вы хотите создать новый параметр.

    2.Выполните последовательность команд Правка→Создать (Edit → New) и выберите в открывшемся подменю тип создаваемого параметра из предложенных вариантов: Строковый параметр (String value), Двоичный параметр (Binary value), Параметр DWORD (DWORD value), Мультистроковый параметр (Multistring value) или Расширяемый строковый параметр (Expandable string value).

    3.В панели параметров щелкните правой кнопкой мыши на имени вновь созданного параметра, выберите в появившемся контекстномменю пункт Переименовать (Rename) и введите с клавиатуры новое имя параметра.

    4.Дважды щелкните мышью на значке параметра и введите его значение.

    Only for UIB groups from Dobrynin I.S.

    20

    3.5. Переименование раздела или параметра реестра.

    В некоторых случаях пользователю необходимо переименовать уже существующий ключ, подраздел или параметр реестра. Для этого:

    1.Пользуясь стандартными приемами навигации по дереву реестра, выделите щелчком мыши в панели разделов требуемые ветвь, ключ или подраздел, которые вы хотите переименовать. Если вы желаете переименовать параметр, выделите его щелчком мыши в панели параметров.

    2.Щелкните на выделенном объекте правой кнопкой мыши, выберите в появившемся контекстном меню пункт Переименовать (Rename) и введите с клавиатуры новое имя параметра.

    3.Убедитесь в том, что имя отличается от имен других подразделов и параметров того же уровня и что в нем нет обратной наклонной черты (\)

    3.6. Удаление существующего раздела или параметра реестра.

    Нередко пользователю приходится удалять параметры, целые подразделы или даже ключи реестра, например тогда, когда эти разделы были автоматически созданы программами, уже деинсталлированными на данном компьютере. В этом случае хранящаяся в реестре информация о подобных приложениях становится ненужной, и от нее можно избавиться без опасения нарушить нормальную работу операционной системы. Для выполнения этой процедуры рекомендуется придерживаться такой последовательности операций:

    1.Перейдите в раздел реестра, подраздел или параметр которого вы желаете удалить, выделите щелчком мыши интересующий вас подраздел или параметр.

    2.Выполните последовательность команд Правка→ Удалить (Edit →Delete) либо просто нажмите на клавишу Del. На экране появится окно предупреждения, в котором вам будет предложено подтвердить операцию удаления. По нажатию на кнопку ОК выделенный объект будет уничтожен. Если вы выполните это действие, при том что выбранным объектом является параметр или подраздел, все его подразделы и значения параметров будут удалены. Если выделено значение параметра, то будут удалены только он и информация, содержащаяся в нем.

    3.7. Копирование имени раздела.

    Если вам необходимо запомнить местонахождение какого-либо раздела или подраздела реестра, например для его быстрого поиска впоследствии либо для того, чтобы использовать его в каком-либо документе, бывает очень затруднительно записывать вручную полный путь к искомому подразделу в иерархической структуре реестра Windows. Чтобы избежать этой утомительной процедуры, существует небольшая хитрость: выделите щелчком мыши требуемый раздел или подраздел, нажмите ее правую кнопку и в появившемся контекстном меню выберите пункт Копировать имя раздела (Copy key name). Полное имя раздела, включая имя ветви, в которой он содержится, будет помещено в буфер обмена. Теперь вы можете без каких-либо затруднений вставить его в любой документ или текстовый файл.

    Only for UIB groups from Dobrynin I.S.

    Конспект: Ключ реестра MountedDevices


    1 . Назначение ключа  реестра MountedDevices

    Ключ  HKLM\System\MountedDevices хранит базу данных установленных устройств  для  текущей конфигурации Windows. Эта база данных  связывает имена томов с уникальными идентификаторами для томов. Это связывание позволяет Windows поддержать идентичность тома, даже когда его переменное название  изменяется.


    2. Расмотрим  ключ MountedDevices более подробно.

    2.1.Пусть в системе находятся следующик диски (Мой компьютер-Управление – Управление дисками):

    Диски в системе

    Ключ  HKLM\System\MountedDevices

    2.3. Видно, что первые 4 байта у дисков одинаковы и равны E6ADD42D
    Сигнатура диска

    2.5. перейдем в WinHex-е на третью  физическую партицию. Ее начальный адрес в байтах   01F6087E00. Если посмотреть на \DosDevices\C:  в ключе  HKLM\System\MountedDevices (на рисунке) то увидим, что оставшиеся после сигнатуры байты тоже содержать значение 01F6087E00(без начальных нулей), если читать наоборот – от конца к началу:

    Третья partition  жесткого диска

    3. Решение некоторых проблем при клонировании., связанных с  ключем  HKLM\System\MountedDevices

    3.1.После клонирования и заливки на рабочую машину система грузится до логин скрина и остается в таком состоянии. Некоторая  часть программ загружается, таким образом , что эту машину можно увидеть в сети. Однако другая часть – нет, и поэтому дальше от логин скрина система  визуально не идет.

    Останов загрузки  при клонировании

    3.2. В этом случае необходимо \DosDevices\C:   дать той партиции ,на которой находится загружаемая система. В нашем случае она третья. А при клонировании и загрузке \DosDevices\C дается первой партиции . Таким образом необходимо поменять местами \DosDevices\C:   и \DosDevices\E: Делается это следующим образом

    — переименуем  \DosDevices\C на \DosDevices\Z
    — переименуем  \DosDevices\E на \DosDevices\C
    — переименуем  \DosDevices\Z на \DosDevices\E Доступ к системе и реестру получаем при помощи системы восстановления  ERD Commander 5.0 для XP
    3.3. Загрузка системы восстанавливается.

    Посты по теме :

    Где в реестре чаще всего пишутся вирусы

      В каких местах реестра чаще всего записываются вирусы?

      Решил составить список таких мест. Обычно это те ветки реестра, из которых осуществляется автозагрузка программ при старте. Но не обязательно. Очень хорошую информацию дает утилита autorun из набора Sysinternals Марка Руссиновича.

      Некоторые из тех мест, которые ниже приведены я не видел ни в каких инструкциях и книгах. Просто когда-либо видел заразу которая оттуда стартовала.

    1. Папка «Автозагрузка» пользователя
    2. Папка «Автозагрузка» всех пользователей
    3. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit Должен содержать c:\windows\system32\userinit.exe и ничего более
    4. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell Должен содержать explorer.exe и ничего более
    5. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    6. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman На здоровой Windows я этого параметра ни разу не видел. На зараженных он присутствовал и сылылся на какую-нибудь левую программу из нестандартной папки типа %appdata%. Я так понимаю, что тут записывается альтернативный диспетчер задач (Task Manager). Это место не видел в книгах. Но иногда встречаю заразу именно здесь.
    7. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs На лицензионной Windows обычно этот параметр пустой. Если нет, приглядеться к тому, что оттуда запускается. На ворованных сборках Windows там может изначально что-нибудь находится
    8. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    9. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    10. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run На большинстве машин этот параметр отсутствует.
    11. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load.
    12. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run ??? Название этого ключа я мог перепутать за давностью. Это место и предыдущее не видел ни в каких книгах. Просто были вирусы, которые я находил именно тут.
    13. HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    14. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    15. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    16. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Здесь под-ветки с названиями программ. В каждой такой ветке может быть ключ «Debugger»=программа. В этот ключ может записываться зараза. В первую очередь смотри ветку explorer.exe
    17. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Здесь перечислен список сервисов, которые запускаются из svchost.exe. Ключ ImagePath содержит полное имя запускаемой программы. Здесь ключей очень много 
    18. HKLM\System\CurrentControlSet\Control\SafeBoot Список запускаемых в безопасном режиме программ

      Со временем надеюсь пополнять этот список

    Как открыть параметры реестра. Описание и назначение. Зачем может быть нужен реестр Windows

    В файлах SYSTEM.DAT и USER.DAT в каталоге Windows 95/98 или в папке C:\W\System32\Config\ в Windows NT хранится так называемый системный реестр, содержащий большое количество информации. Кроме записей, необходимых Windows, большинство программ при установке записывают туда и свою собственную информацию. Чтобы внести изменения в реестр, необходимо открыть его с помощью программы, предназначенной для этого. Примером может служить программа REGEDIT, поставляемая в стандартном комплекте Windows . Для ее запуска откройте диалоговое окно Пуск/Выполнить , введите Regedit и нажмите OK.

    Вы увидите окно, разделенное на две части. В левой находится навигатор, похожий на навигатор Проводника, а справа собственно информация. Реестр состоит из шести разделов: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER , HKEY_LOCAL_MACHINE , HKEY_USERS , HKEY_CURRENT_CONFIG и HKEY_DYN_DATA . В каждом разделе содержатся папки. Если в папке или разделе есть подпапки, то слева от этой папки находится значок «плюс «. При нажатии на него эта папка «разворачивается», а значок превращается в «минус «, нажав на который ее можно снова «свернуть «. Если же нажать на значок папки или ее название, то в правом окне появится список тех параметров, которые содержатся в этой папке (но не в подпапках!). Каждый параметр состоит из его имени и значения. Для каждого параметра существует свой путь, по которому его можно найти. Путь состоит из последовательности папок, в которых находится этот параметр, начиная с родительской папки (это один из шести вышеперечисленных основных разделов). Примером такого пути может быть HKEY_CURRENT_CONFIG\ Display\ Settings , а названием параметра Resolution. В объединении эти два значения — параметр и путь к нему (его часто называют адресом) указывают на уникальный параметр. Например, к двум различным параметрам может быть один и тот же путь, два параметра могут иметь одинаковые названия, но лежать в различных папках и подпапках, но не может существовать двух параметров с одинаковым адресом и именем. По реестру можно осуществлять поиск (используя меню, или сочетанием клавиш CTRL + F ).

    Выделив нужный раздел (нажав на значок раздела или его имя), в нем можно создать параметр, или подраздел. Для этого необходимо воспользоваться меню Правка/Создать . В системном реестре Windows существует 3 вида параметров: строковой , двоичный , и DWORD . В строковом хранится одна строка (string ), в двоичном — двоичное значение , в DWORD — десятичное или шестнадцатеричное значение. При создании параметра необходимо указать его имя. Затем, дважды нажав на нем в правом окне, можно ввести значение параметра (или изменить существующее).

    Если в совете сказано установить значение параметра, это значит, что необходимо изменить существующее значение параметра на нужное, или, если параметр с таким именем отсутствует, создать его, а затем изменить содержимое.

    В конце работы для большинства изменений необходимо закрыть REGEDIT и перезагрузить компьютер.Ну, во-первых разберемся, что это такое: реестр Windows . Когда мы устанавливаем или удаляем программы, изменяем параметры Windows ставим новое оборудование, все это фиксируется и записывается в реестр. Можно сказать так, реестр — это сердце Windows. Чтобы посмотреть или отредактировать реестр надо запустить программу Regedit (Пуск — Выполнить — Regedit). Физически, реестор хранится в каталоге Windows (95/98) под именами User.dat и System.dat . Сразу говорю, если не знаете то, что хотите изменить на 100% не изменяйте, а иначе грош цена. Ну, а для тех кто все таки изменил даю подсказку. При удачной загрузке, Windows делает резервные копии реестра под именами User.da0 и System.da0 . Этим и воспользуемся. Конечно можно создать свои резервные копии на всякий «пожарный». Если Windows не грузится, то при загрузке зажимаем Ctrl. Как появиться меню выбираем «Command prompt only «, переходим в папку Windows («CD C:\Windows» ) и наберите команду scanreg / restore Windowse NT — rdisk ). Теперь перезагрузитесь и Windows должен запуститься. Если такой программы нет, то придется набирать в командной строке из папки Windows:

    attrib -h -r -s system.dat
    attrib -h -r -s system.da0
    copy system.da0 system.dat
    attrib -h -r -s user.dat
    attrib -h -r -s user.da0
    copy user.da0 user.dat

    Ну, а теперь перейдем непосредственно к реестру.

    1.)Откройте regedit , найдите ключ

    HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Uninstall.

    Здесь Вы найдете полный список установленных программ. Если каких то программ уже нет, удалите ненужные папки с их названиями (неполный список отображается в «Панель управления — Установка и удаление программ»).

    2.)В ключе

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run

    находится список всех запускающихся программ при загрузке Windows. Вы можете удалить ненужную программу, а можете и добавить. Для этого надо создать Строковый параметр , для имени надо ввести название программы, а в качестве значения параметра ввести путь к программе. Если на Вашем компьютере несколько пользователей, то списки программ могут быть здесь:

    HKEY_USERS\.DEAFAULT\Software\Microsoft\Windows\CurrentVersion и
    HKEY_USERS\(Имя пользователя)\Software\Microsoft\Windows\CurrentVersion

    3.)Вот и все, разминка закончена, и мы переходим к Главному меню .

    Чтобы избавиться от пункта Избранное (Windows 98) , зайдите в раздел

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer

    и создайте здесь Двоичный параметр NoFavoritesMenu со значением 01 00 00 00 . Все! Теперь пункт Избранное больше появляться не будет. Удалите созданный параметр или измените его значение на 00 00 00 00 , чтобы вернуть пункт на место. Избавляться от других пунктов можно аналогично:

    Документы — параметр NoRecentDocsMenu
    Настройки — NoSetFolders
    Найти — NoFind
    Завершение работы — NoClose
    Завершение сеанса… — NoLogOff.

    Также можно отменить работу правой кнопкой мыши в главном меню, для этого создайте тамже DWORD -параметр под именем NoChangeStartMenu с значением 1 . Готово! Ну и последние штрихи. Нравится сообщение о том, с какой кнопки следует начать работу? Нет? Тогда создаем DWORD- параметр с именем NoStartBanner и значением 1.

    4.)Зайдите на

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon

    и создайте Строковый параметр LegalNoticeCaption. В качестве значения введите «Обнаружен вирус «Чернобыль»», создайте еще один строковый параметр LegalNoticeText с значением «Нажмите «Ок» и все данные на жестком диске будут уничтожены». Перезапустите Windows и наслаждайтесь результатом. В первом параметре вписываем заголовок, а во втором — сам текст.

    5.)Теперь можно изменить часики в нижнем правом углу. Зайдите на

    HKEY_CURRENT_USER\Control Panel\International

    и создайте строковый параметр sTimeFormat

    Его значение «HH:mm «, где HH — часы, : — разделительный знак, а mm — минуты. Для вступления в силу изменений необходима перезагрузка. Весело посмотреть как друг будет мучится настраивать часы если поменять местами HH и mm! Ну, а если хотите нагадить очень силно, тогда надо сделать так: Hm:mH»mH;Hm и тд.

    6.)Чтобы не было в значках ярлыков стрелочек, найдите ключ HKEY_CLASSES_ROOT\Piffile и удалите параметр IsShortcut , тоже самое следует проделать в папке Lnkfile . Перезагрузите компьютер и наслаждайтесь результатом.

    7.)Путь к инсталляционным файлам Windows 95/98 лежит в

    HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Setup.

    Измените его и Windows будет искать установочные файлы при добавлении компонентов или изменении параметров системы.

    8.)Чтобы убрать «ладошку» с зашареных ресурсов, достаточно удалить значении По умолчанию из ключа

    HKEY_CLASSES_ROOT\Network\SharingHandler

    9.)Еще Вы можете вообще убрать с рабочего стола все значки. Для этого создайте в ключе

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    DWORD-параметр с именем «NoDesktop «. Перезагрузитесь и увидете самый чистый в мире Рабочий стол.

    10.)Для того, чтобы скрыть диски в проводнике, заходим в

    HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer

    и создаем здесь Двоичный параметр с именем «NoDrives» .

    Значение будет зависить от того, какие диски хотите скрыть:

    Диск A — значение 01 00 00 00
    B — 02 00 00 00
    C — 04 00 00 00
    D — 08 00 00 00
    E — 10 00 00 00
    F — 20 00 00 00

    Если хотите скрыть несколько дисков, то нужно просуммировать их значения. Но учтите, что эти числа шестнадцатеричные. Чтобы верно рассчитать, воспользуйтесь калькулятором (Программы — стандартные — Калькулятор) . Выберите в меню Калькулятора «Вид — Инженерный «, затем выберите «Hex» и просчитайте. Например, чтобы скрыть диски C и D надо плюсовать 04 00 00 00 и 08 00 00 00 . Вводим в значение параметра 0C 00 00 00 . Чтобы скрыть диски A и E надо просуммировать 01 00 00 00 и 10 00 00 00, получаем результат 11 00 00 00.

    11.)Откройте Свойства: Экран , здесь и поскрываем некоторые вкладки. В редакторе реестра найдите раздел

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    создайте здесь DWORD -параметр с именем NoDispBackgroundPage и значением 1 . Теперь вкладка Фон отображаться не будет. Остальные вкладки скрываются следующими параметрами:

    NoDispAppearancePage — Оформление
    NoDispScrSavPage — Заставка
    NoDispSettingPage — Настройка.

    12.)Теперь сделаем так, чтобы пункт Открыть с помощью… всегда появлялся в контекстном меню. Для этого найдем ключ HKEY_CLASSES_ROOT\*\ и создадим в нем раздел shell (если его нет). Здесь создадим еще раздел «openas «, а в нем еще «command «. Измените значение «По умолчанию » на «C:\WINDOWS\rundll32.exe shell32.dll,OpenAs_RunDLL %1 «. Готово, можете проверять.

    13.)Для изменения скорости выпадания Главного меню зайдите в ключ

    HKEY_CURRENT_USER\Control Panel\desktop

    и создайте Строковый параметр Menu Show Delay. В значение введите время задержки (в миллисекундах) и перезагрузитесь.

    14.)Сейчас попробуем пункт Открыть в Блокноте поместить в контекстное меню. Зайдем в раздел HKEY_CLASSES_ROOT\*\shell (Если нет — создайте). Создайте раздел «Open » и измените По умолчанию на «Открыть в Блокноте «. Теперь создайте раздел «command» а в нем измените По умолчанию на «notepad.exe %1 «. Готово.
    15.)А сейчас поиграемся с Internet Explorer»ом. Хотите изменить обои браузера? Пожалуйста. Зайдите в ключ

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar

    и создайте Строковый параметр «BackBitmap «. А в качестве параметра введите путь к рисунку в формате Bmp и перезапустите браузер. Но это еще не все.

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

    создайте новый Строковый параметр Window Title . В значении введите то, что вы желаете увидеть в заголовке после названия страницы, перезапустите браузер и наслаждайтесь. Точно также будет выглядить и проводник.

    16.)Если Вы хотите любоваться именем или просто словом после часов в Systray (нижняя панель) то зайдите на

    HKEY_CURRENT_USER\Control Panel\International\

    и создайте два строковых параметра: s1159 и s2359 . В их значение следует ввести нужное имя. Ограничение — 8 букв.

    17.)Когда надо перезапустить реестр, а перезагружать машину не охота, то в некоторых случаях поможет следующее: нажмите Ctrl+Alt+Del , затем выберите Explorer и кнопку «Завершить задачу» . На предложение выключить машину отвечайте отказом, затем жмите «Снять задачу » в следующем окне, после чего увидите, как исчезла и появилась «Панель задач «.

    Не все работает в Windows 95

    Восстановление реестра

    При работе с реестром надо соблюдать осторожность. Удаление каких-либо важных данных случайно или по незнанию может привести к краху операционной системы. Тогда спасти положение может только восстановление последней работоспособной копии.

    Если Вы собрались поэкспериментировать с реестром, предварительно сохраните на диске файлы SYSTEM.DAT и USER.DAT. Они находятся в каталоге, куда была установлена операционная система и имеют атрибуты «только для чтения» и «скрытый». В случае если реестр будет серьезно испорчен, Вы сможете переписать эти файлы в каталог Windows, установить нужные атрибуты и реестр будет как новенький. Только не вздумайте восстанавливать эти файлы, когда загружен Windows, иначе система накроется окончательно и спасет ее только полная переустановка! Для восстановления этих файлов надо предварительно перезагрузиться в DOS и уже там заменять испорченные файлы хорошими.

    Но это не единственный вариант восстановления данных. Дело в том, что операционная система, при каждом удачном запуске сохраняет копию реестра в CAB-файле, который записывается в скрытый каталог SYSBCKUP каталога Windows. По умолчанию, хранятся последние пять копий. Это число может варьироваться от 0 до 99 и устанавливается значением ключа MaxBackupCopies в файле scanreg.ini в каталоге Windows. Правда не стоит устанавливать слишком большое значение, т.к. файлы занимают немало места (один файл имеет размер больше мегабайта).

    Чтобы восстановить реестр с одной из этих резервных копий надо перезагрузиться в DOS и выполнить команду

    Появится список доступных резервных копий реестра отсортированных по времени их создания. После выбора нужной копии данные будут благополучно восстановлены, и Вы получите реестр, отвечающий состоянию дел на момент его создания.

    Но если Вы устанавливали какие-то программы или меняли настройки операционной системы в промежуток между последней резервной копией и сбоем в реестре, то все эти данные безвозвратно пропадут. Надо ли нам это? Однозначно нет! Чтобы в любое время создать резервную копию реестра воспользуйтесь командой

    которая в случае нормально прошедшей проверки создаст резервную копию.

    Еще один вариант резервирования и восстановления реестра состоит в экспортировании раздела или целой ветви, которую Вы планируете изменять. Это можно осуществить в Regedite для Windows в меню «Реестр». Выделите нужный раздел и щелкните по пункту «Экспорт файла реестра». После задания имени файла данные этого раздела будут в него экспортированы. Файл имеет расширение REG. Для его импортирования в реестр достаточно дважды щелкнуть на нем и данные будут перенесены. Правда этот способ восстановления информации имеет один существенный недостаток: все удаленные или измененные записи будут восстановлены, но вот добавленные записи удалены не будут. Поэтому данный способ больше подходит, если Вы проводите какие-то несущественные изменения, и чтобы откатить их не вводя старые данные заново, можно воспользоваться экспортом/импортом.

    Вообще, работать с реестром надо крайне осторожно, но если Вы будете периодически резервировать его, то никаких проблем возникнуть не должно

    Сегодня мы попробуем залезть в реестр Windows с черного хода, без использования штатных WinAPI-функций, для этого предназначенных. Что нам это даст в итоге? Возможность писать и читать из реестра напрямую, в обход ограничений, установленных разработчиками антивирусных решений!

    Забегая вперед, отмечу: тема эта интересна, но тут целый набор серьезных проблем. Хотя кто сказал, что нам это не по плечу? 🙂

    С точки зрения операционной системы Windows, реестр — это уникальная кладовка. В этой своеобразно выстроенной иерархической базе данных хранятся настройки, данные, регистрационная информация и прочая хрень почти обо всем в системе, начиная с программ и заканчивая настройками конкретного пользователя. В реестре хранится практически все. Несмотря на то что некоторые программы предпочитают хранить свои настройки в ini-конфигах (особенно программы, написанные для Win 3.11. – Прим. ред.), сама Windows всю нужную информацию о самой себе считывает из реестра. Справедливости ради отметим, что в *nix-like операционных системах до сих пор господствует система хранения настроек во всевозможных конфигах.

    Новичков — системных администраторов при начале работы с реестром старшие товарищи пугают, что неправильная настройка и изменение параметров реестра могут напрочь завалить систему с последующей ее переустановкой. И это действительно так.

    К примеру, так называемые точки восстановления — это копии реестра. Они широко применяются пользователями при возникновении различных проблем как с операционной системой, так и с программным и аппаратным обеспечением.

    Надо сказать, что 99% информации о реестре Windows — это описание основных ключей плюс советы, как с ними работать. Но как работает с реестром сама операционная система? И сможем ли мы эмулировать ее действия? Давай немного порассуждаем.

    Реестр — одновременно и сильная и слабая сторона Windows. Сильная сторона реестра в том, что для разработчиков программного обеспечения отпадает необходимость манипулировать туевой хучей конфигов, как это, например, реализовано в никсах. Удобен реестр и для создателей COM-компонентов — система автоматом регистрирует такой компонент в реестре и облегчает задачу по его дальнейшему использованию.

    Слабость реестра в том, что доступ к модификации чувствительных областей реестра позволяет управлять Windows любой программе, написанной каким-нибудь новоявленным малварщиком. Вспомни хотя бы самую знаменитую ветку реестра Windows, позволяющую запускать программы на старте ОС:).

    Если в Windows 98 реестр могли починять все, кому это взбредет в голову, то начиная с Windows XP доступ к реестру имеют только пользователи с учетной записью администратора. В Vista+ доступ к реестру находится под защитой UAC. Оно и понятно.

    Надо признать, что с выходом Win7 концепции безопасности при работе с реестром были пересмотрены в лучшую сторону. Например, под защитой находится ключевая ветвь реестра HKEY_LOCAL_MACHINE. В общем случае попытка что-то записать в нее будет перенаправлена в соответствующую ветку HKEY_CURRENT_USER для текущего пользователя.

    Для работы с реестром напрямую Windows предлагает программисту целый набор WinAPI, которые должны быть знакомы любому системному разработчику, — это Reg*-функции, такие как RegOpenKey, RegQueryValue и так далее. В ядре Win это NtOpenKey, NtQueryValueKey и целый ряд других. Описывать их особого смысла нет — всю документацию по надлежащему использованию этих функций можно найти в MSDN.

    Здесь стоит отметить вот что. Антивирусы и проактивки для контроля за пользовательскими действиями устанавливали перехваты на упомянутые функции, как в ядре, так и в юзермоде.

    С выходом Win7 x64 ситуация изменилась, и я уже об этом как-то писал. Разработчики Windows решили отказаться от возможности перехватывать потенциально опасные функции в ядре Win. Теперь переменная KeServiceDescriptorTable в x64 больше экспортируется, да и переписать нужный участок кода не выйдет — PatchGuard не даст. Есть, конечно, садомазохистские решения по обходу этих ограничений — но там гемора будет больше, чем профита. Тем более что Microsoft предлагает удобные колбеки ObRegisterCallbacks для контроля за реестром.

    INFO

    Информации в Сети о структурах, описывающих основные файлы реестра, очень мало. И почти все они на английском. Начальные знания можно найти . Кроме этого, хорошо про реестр написано в библии системщика «Внутреннее устройство Windows» от товарищей М. Руссиновича и Д. Соломона.

    Но что же такое реестр на самом деле? Если заглянуть в папку WINDOWSsystem32config, то можно увидеть там несколько файлов: system, software, security, SAM и несколько других.

    Это файлы реестра.

    Однако несправедливо будет говорить о реестре просто как о некоем сочетании файлов, загруженных в память. Многое из того, что содержит реестр, носит динамический характер, то есть ряд значений высчитывается на этапе загрузки самой системы, в первую очередь это касается определенных параметров железа. Например, таков подраздел реестра HKEY_DYN_DATA, данные которого при загрузке операционной системы размещаются в оперативной памяти и находятся там вплоть до завершения работы операционной системы. То же, кстати, можно сказать и о ключевом подразделе HKEY_LOCAL_MACHINE, который не имеет своего соответствующего файла на диске, но фактически формируется из других файлов реестра, таких как software, system и прочие.

    Таким образом, реестр изнутри можно весьма приблизительно назвать «виртуальным сочетанием файлов реестра». После старта системы эти файлы находятся как в файле подкачки (paged pool), так и в невыгружаемой памяти (nonpaged).

    Для того чтобы научиться работать с реестром напрямую, без знаний его внутренней структуры не обойтись никак. В целом Microsoft никогда не раскрывала тайны внутренней структуры файлов, составляющих реестр, поскольку это угрожает безопасности. По моим наблюдениям, все имеющиеся описания файлов реестра и его структуры (а их, кстати совсем чуть-чуть) — результаты изысканий пионэров-исследователей. Наиболее законченное, на мой взгляд, такое «исследование» можно , принадлежит оно товарищу Питеру Норрису.

    Не будем вдаваться сейчас в подробности организации и структуры реестра, дело это долгое, нудное и в рамки статьи точно не вписывается. Здесь важно уяснить, что реестр — иерархическая древоподобная структура, иногда также говорят, что она похожа на пчелиные соты.

    Сразу огорчу: запросто пошаманить напрямую с реестром в юзермоде не получится, система не даст этого сделать, как это обычно бывает с файлами, занятыми другими процессами. Если попытаться извернуться, то можно только прочесть такой «занятый» файл, и то если угадать с флагами, с которыми он был открыт. К сожалению, записать в интересующий нас «файл реестра» информацию не выйдет. Кстати, фича с записью нужной информации в реестр может прокатить, если писать в реестровские *.BAK-файлы, они точно доступны под запись.

    Итак, следи за рукой:).

    Первое, что может прийти в твою светлую голову, — открыть файл реестра напрямую и что-то туда записать.

    Теоретически так сделать можно, для этого нужно, во-первых, уметь работать с «занятыми» файлами (способы ищи в Сети) и, во-вторых, как я уже говорил выше, надо знать внутреннюю структуру файлов реестра. Метод этот довольно топорный, но, несмотря на свою бредовость, он вполне жизнеспособен, хотя его и трудно реализовать на практике (попробуй поэкспериментировать с ним самостоятельно).

    Здесь же я предложу два способа, которые помогут тебе распилить реестр на мелкие кусочки.

    Первый способ заключается в том, что для конфигурационного менеджера (Configuration Manager, часть операционной системы, если ты не в курсе) реестр есть не более чем набор строго определенных структур в операционной памяти, с которыми, как оказывается, очень даже легко работать. Какие это структуры, спросишь ты? HBASE_BLOCK, HHIVE, HBIN, HCELL, HMAP_ENTRY, HMAP_DIRECTORY, куча CM_* структур, используемых конфиг-менеджером для управления реестром. С точки зрения операционной системы, реестр — это просто набор регламентированных структур в оперативной памяти. К примеру, сигнатура «regf», определяющая «файл реестра», есть заранее определенная константа:

    Define HBASE_BLOCK_SIGNATURE 0x66676572 typedef struct _HBASE_BLOCK { ULONG Signature; //0x66676572 ULONG Sequence1; ULONG Sequence2; LARGE_INTEGER TimeStamp; …. } А вот и сигнатура «regf»…

    То есть смысл всего этого моего монолога в том, что существует шикарная возможность манипуляции с реестром на уровне операционной системы, но при этом не используя ее штатные средства. Как это возможно? Мы просто сэмулируем действия самой операционной системы, точно так, как она сама работает с реестром! Важно, как я уже говорил, понять, что для самой ОС реестр не более чем набор соответствующих структур в памяти.

    Если у нас будет доступ к файлам реестра на уровне ядра, то чем мы хуже самой ОС, чтобы установить свой порядок?

    И тут на сцене появляется наиболее интересный вопрос — как найти эти самые структуры в памяти? Верно, штатных средств системы для решения этого вопроса нет, поэтому придется выкручиваться по-хитрому.

    Зная, как выглядят структуры, нужно вспомнить, что каждый файл, улей реестра, имеет свою константную сигнатуру. Например, «regf» — это 0x66676572. Для улья сигнатура будет равна 0xBEE0BEE0. Имея доступ к памяти из ядра, мы можем довольно легко найти эти сигнатуры в памяти, просто просканив ее. Еще можно просканить память в поисках сигнатуры «CM10» — именно она присваивается конфиг-менеджером блоку подкачиваемой памяти, который выделяется под структуру CMHIVE. Полагаю, найдя в памяти интересующий нас элемент, ты придумаешь, что делать с ним дальше:).

    Как, к примеру, изменить значение ячейки реестра? Значение хранится в поле CM_KEY_VALUE->Data, поэтому, если у тебя возникнет задача изменить какое-либо поле в конкретном ключе реестра, ищи значение именно там:

    Typedef struct _CM_KEY_VALUE { WORD Signature; // #define CM_KEY_VALUE_SIGNATURE 0x6B76 WORD NameLength; ULONG DataLength; ULONG Data; //

    Второй вариант является своеобразной модификацией первого. Если знаешь, существует одна особенность при работе с реестром — все изменения, то есть «создание новых ключей / запись / удаление ключей», как правило, вступают в силу после перезагрузки системы (ну или после перезагрузки эксплорера, это такой хак-метод). До этого все изменения находятся словно в подвешенном, «dirty»-состоянии. Мало того, система при обращении с реестром общается с ним через кеш файловой системы. Это понятно — обращений к реестру может быть сотни в секунду, соответственно, полагаться при этом на быстродействие файловой системы неразумно, тут никакое быстродействие не спасет. Поэтому система и работает с реестром, что называется, виртуально, через кеш файловой системы. И тут, чтобы вытащить кишки реестра на свет, надо залезть в кеш! Как это делается, уже описывалось в тырнетах, в том числе и в .

    Что сказать в итоге? Предложенная читателю в статье вариация на тему прямого контроля за реестром носит исключительно экспериментальный характер. Не спорю, она тяжеловата для практической реализации, и многие скажут, что уж лучше использовать нормальные WinAPI-функции, предназначенные для работы с реестром, — и будут в чем-то правы. Однако реализованная die_hard на деле либа, основанная на приведенных в статье принципах, будет обладать поистине термоядерной силой, неподвластной ни аверам, ни самой операционной системе.

    Засим закончу. Удачного компилирования и да пребудет с тобой Сила!

    WWW

    Обязательна к прочтению статья Марка Руссиновича о реестре «Inside the Registry», нашелся даже русский перевод . Замечательная тулза для сбора информации о реестре: http://goo.gl/iSSVy .

    Пожалуй каждый из вас слышал слово «реестр», однако вопросом «Что же это такое» задавались немногие, а зря. Ведь умение редактировать реестр может сэкономить кучу времени, денег, нервов и сил. Как запустить реестр операционной системы Windows 7, а так же основные способы его применения подробно рассматриваются в данной статье.

    Для начала следует понять, что конкретно представляет из себя реестр. Чтобы лучше это понять представьте блокнот с какими-то записями с определенной последовательностью. Если все листы из данного блокнота вырвать и перемешать, то информация останется прежней, однако прочесть ее будет гораздо сложней. Придется сначала найти нужную страницу перед ее прочтением, а это — лишнее время.

    Аналогичная ситуация происходила во времена использования файловой системы Fat16, имевшей серьезные проблемы с быстродействием. Тогда и было принято решение ввести реестр для упорядочения информации. Со временем проблемы, решавшиеся реестром, исчезли, однако его оставили из-за обратной совместимости.

    Реестр Windows – это иерархически построенная база данных параметров и настроек установленных программ.

    Физически все параметры реестра записаны в файлах и разбросаны по системе. При запуске программы реестр находит нужные параметры и оперирует ими. Чем больше приложений на компьютерах, тем больше файлов-параметров, и тем больше времени потребуется для нахождения нужного. Поэтому время от времени реестр нужно чистить для поддержания производительности системы.

    Запустить реестр Windows 7 можно двумя способами:

    1. Пуск → в строке поиска пишем regedit → в найденных результатах открываем файл regedit.exe.
    2. Запускаем проводник → переходим в папку C:\Windows → ищем файл regedit.exe и открываем его.

    Если вы все сделали правильно, откроется редактор реестра.

    Редактирование реестра. Экспорт/Импорт

    Перед нами – окно редактирования реестра Windows 7:

    • В левой части находятся разделы.
    • В правой – параметры.
    • Внизу – строка состояния, в которой отображается путь к параметру.

    При работе с параметрами реестра нужно быть предельно внимательным и осторожным, ведь реестр – это нервная система Windows. Поэтому перед изменением каких-либо параметров рекомендуется создать копию реестра.

    Жмем правой кнопкой мышки по разделу «Компьютер» — Экспортировать – задаем имя, проверяем диапазон экспорта (должно быть «Весь реестр») и указываем папку – жмем сохранить.

    После указанных выше действий появится файл с расширение.reg. Теперь, если вы напортачите с изменением параметров реестр всегда можно будет вернуть в исходное состояние.

    Для этого кликаем «Файл» – Импорт… — ищем сохраненный нами ранее Реестр.reg и нажимаем «Открыть». Все параметры вернутся к моменту создания копии.

    Восстановление пароля администратора с помощью реестра

    Для примера, показывающего какие задачи можно выполнить в реестре, рассмотрим такую проблему. Предположим, что вы забыли пароль от профиля администратора. Не беда! Его можно изменить с помощью реестра. Для этого нам понадобится установочный диск Windows 7.

    1. Загрузитесь с установочного диска. После копирования новых данных нам предложат выбрать язык. Оставляем все как есть и нажимаем «Далее».
    2. В новом окне выбираем « », после чего компьютер выполнит поиск установленных операционных систем.
    3. Может появиться окно с текстом «Обнаружены проблемы в параметрах загрузки». Игнорируем и выбираем операционную систему и жмем «Далее».
    4. В следующем окне выбираем самый нижний параметр «Командная строка»
    5. В командной строке набираем уже известную нам команду regedit и нажимаем Enter.
    6. В редакторе выделяем HKEY_LOCAL_MACHINE
    7. Затем, в меню Файл выбираем пункт «Загрузить куст».
    8. Переходим в папку С:\Windows\System32\config (буква может отличаться от привычной С). Нас интересует файл SYSTEM .
    9. Вводим любое имя раздела. Например: 888.
    10. Переходим в раздел HKEY_LOCAL_MACHINE\888\Setup . Кликаем 2 раза по параметру:
      • CmdLine , вводим cmd.exe и нажимаем ОК
      • SetupType , заменяем 0 на 2 и нажимаем ОК .

      В результате вышеперечисленных манипуляций должно получиться так:

    В реестре хранятся сведения о конфигурации компьютера, параметрах Windows и настройках установленных программ. Компоненты системы непрерывно обращаются к этим сведениям. Поэтому, если возник сбой реестра, программы могут перестать работать или частично потерять свою функциональность. Рассмотрим подробнее нюансы работы с ним.

    Запуск редактора реестра

    Открыть в Windows 7 редактор реестра проще всего через диалоговое окно «Выполнить ». Оно запускается в меню «Пуск » либо сочетанием кнопок Win + R . В текстовой строке введите команду regedit и выполните ее.

    Стоит понимать, что редактирование системных параметров может привести к сбоям в работе компьютера и невозможности запуска некоторых программ. Поэтому вносить любые изменения рекомендуется только опытным пользователям. Неумелые действия могут привести к серьезным последствиям.

    Возникновение неполадок

    Установочный процесс практически любой программы или утилиты включает в себя внесение изменений в реестр. Если инсталляция произведена неправильно, или во время нее возник сбой, то появляется вероятность некорректного редактирования системных файлов. Иногда это никак не отображается на работоспособности компьютера. Но в некоторых случаях — приводит к возникновению сбоев, замедлению работы и прочим негативным факторам.

    Решение проблем

    Можно выделить три крупных группы проблем, связанных с реестром: фрагментация, заполнение лишними сведениями и повреждение данных. С последней категорией все понятно, рассмотрим подробнее две других.

    Явление фрагментации заключается в том, что файл записывается блоками на разные области накопителя. При этом замедляется скорость обращения к нему. Фрагментации подвержены в том числе и реестровые данные.

    Чаще всего программа удаляется с компьютера не полностью, остаточные данные иногда не стираются. К ним относятся записи в реестре. Их большое количество приводит к замедлению работы Вин 7.

    В первом случае поможет дефрагментация, выполняется она с помощью утилиты Defraggler . Для решения второй проблемы стоит установить CCleaner . А для третьей — откатить ОС.

    Проблема 1: Фрагментация

    Утилита Defraggler предназначена для оптимизации работы с реестровыми данными. С ее помощью получится выполнить дефрагментацию.

    Дефрагментация доступна исключительно до загрузки ОС. Поэтому утилита будет работать при запуске компьютера. Следуйте инструкции, чтобы настроить ее:


    Примечание: первый запуск системы после настройки Defraggler будет длиться дольше обычного. Это вполне нормально, ведь компьютеру требуется определенное время, чтобы произвести обработку данных. Последующие загрузки будут гораздо быстрее.

    Когда дефрагментация успешно выполнена, загрузится система. Но программа настроена таким образом, что процедура будет производиться при каждом запуске компьютера. Чтобы отключить эту настройку, удалите Дефрагглер или измените параметры его работы. Но желательно оставить все так, как есть на данный момент. Это позволит повысить скорость работы ПК после загрузки.

    Проблема 2: Остаточные файлы

    Опытный пользователь может очистить реестр Виндовс 7 вручную. Но предпочтительнее для этого использовать специальный софт. В таком случае отсутствует риск повреждения важных данных.

    Отдельно стоит выделить CCleaner . Это мощная утилита по очистке ПК, работающего на Windows. У нее множество различных функций, в том числе и чистка реестровых данных.

    Инструкция по работе:


    Желательно выполнять чистку остаточных данных регулярно, постоянно при этом делая бэкап файлов. Он пригодится в том случае, если изменения реестра приведет к возникновению каких-либо проблем Виндовс 7.

    Проблема 3: Повреждение данных

    Если какие-либо действия с изменением параметров реестра привели к серьезным неполадкам, то предыдущие способы не помогут в решении проблемы. В таком случае предпочтительнее всего выполнить в Windows 7 восстановление реестра.

    Самый простой вариант — откат. В таком случае
    ОС вернется к прежнему состоянию, когда не были внесены изменения, ставшие причиной возникновения ошибки.

    Инструкция по восстановлению Виндовс:


    При выборе точки восстановления стоит ориентироваться по дате. Кнопка «Поиск затрагиваемых программ » отобразит элементы системы, которые будут удалены при откате.

    &nbsp &nbsp Реестр (системный реестр) — это иерархическая база данных, содержащая записи, определяющие параметры и настройки операционных систем Microsoft Windows. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собранная в процессе загрузки. В описании файлов реестра на английском языке используется термин «Hive». В некоторых работах его переводят на русский как «Улей». Microsoft в своих документах переводит это как «Куст». Файлы реестра создаются в процессе установки операционной системы и хранятся в папке %SystemRoot%\system32\config (обычно C:\windows\system32\config). Для операционных систем Windows 2000/XP это файлы с именами
    default
    sam
    security
    software
    system
    .В процессе загрузки система получает монопольный доступ к данным файлам и, поэтому, стандартными средствами работы с файлами вы ничего с ними сделать не сможете (открыть для просмотра, скопировать, удалить, переименовать). Для работы с содержимым системного реестра используется специальное программное обеспечение — редакторы реестра (REGEDIT.EXE, REGEDT32.EXE), являющиеся стандартными компонентами операционной системы. Для запуска реестра используется «Пуск» «Выполнить» — regedit.exe

    &nbsp &nbsp В левой половине окна вы видите список корневых разделов (root keys) реестра. Каждый корневой раздел может включать в себя вложенные разделы (subkeys) и параметры (value entries).
    Коротко о назначении корневых разделов:
    HKEY_CLASSES_ROOT (сокращенное обозначение HKCR ) — Ассоциации между приложениями и расширениями файлов и информацию о зарегистрированных объектах COM и ActiveX.
    HKEY_CURRENT_USER (HKCU) — Настройки для текущего пользователя (рабочий стол, настройки сети, приложения). Этот раздел представляет собой ссылку на раздел HKEY_USERS\Идентификатор пользователя (SID) в виде S-1-5-21-854245398-1035525444-…
    SID — уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при ее создании. Внутренние процессы Windows обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID. Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID.exe из пакета
    HKEY_LOCAL_MACHINE (HKLM) — Глобальные аппаратные и программные настройки системы. Применимы ко всем пользователям. Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры системы, оборудования, программного обеспечения.
    HKEY_USERS(HKU) — индивидуальные настройки среды для каждого пользователя системы (пользовательские профили) и профиль по умолчанию для вновь создаваемых пользователей.
    HKEY_CURRENT_CONFIG (HKCC) — конфигурация для текущего аппаратного профиля. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием «Панель управления» — «Система» — «Оборудование»- «Профили оборудования». На самом деле HKCC не является полноценным разделом реестра, а всего лишь ссылкой на раздел из HKLM
    HKLM\System\ CurrentControlSet\CurrentControlSet\Hardware Profiles\Current

    &nbsp &nbsp Возможности конкретного пользователя при редактировании данных реестра определяются его правами в системе. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы.
    &nbsp &nbsp Вообще-то, в корневом разделе HKLM есть еще 2 подраздела с именами SAM и SECURITY, но доступ к ним разрешен только под локальной системной учетной записью (Local System Account), под которой обычно выполняются системные службы (system services). Т.е для доступа к ним нужно, чтобы редактор реестра был запущен с правами Local System, для чего можно воспользоваться
    psexec.exe -i -s regedit.exe
    Подробное описание утилиты — на странице «Утилиты PSTools»

    &nbsp &nbsp В процессе загрузки и функционирования операционной системы выполняется постоянное обращение к данным реестра как для чтения, так и для записи. Даже один неверный параметр в реестре может привести к краху системы, как и нарушение целостности отдельных файлов. Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления.


    Сохранение и восстановление реестра 1. Использование точек восстановления (Restore Points)

    &nbsp &nbsp В Windows XP , существует механизм,с помощью которого, при возникновении проблем, можно восстановить предыдущее состояние компьютера без потери личных файлов (документы Microsoft Word, перечень просмотренных страниц, рисунки, избранные файлы и сообщения электронной почты). Точки восстановления (Restore Points) создаются системой автоматически во время простоя компьютера, а также во время существенных системных событий (таких, как установка приложения или драйвера). Пользователь также имеет возможность в любое время создавать их принудительно. Эти точки восстановления позволяют вернуть систему к состоянию на момент их создания.
    &nbsp &nbsp Для работы с точками восстановления используется приложение \windows\system32\restore\rstrui.exe (Пуск — Программы — Стандартные — Служебные — Восстановление системы ).

    &nbsp &nbsp Данные контрольных точек восстановления хранятся в каталоге System Volume Information системного диска. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи (Local System, т.е. «Службе восстановления системы»). Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information». В папке System Volume Information есть подкаталог с именем, начинающемся с _restore… и внутри него — подкаталоги RP0, RP1… : — это и есть данные контрольных точек восстановления (Restore Point — RPx). Внутри папки RPx имеется каталог snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Механизм довольно эффективный, но воспользоваться им можно только в среде самой Windows. Если же система повреждена настолько, что загрузка невозможна, выход из ситуации все равно есть. Как — читайте в статье «Проблемы с загрузкой ОС» раздел

    2. Использование утилиты резервного копирования/восстановления NTBACKUP.EXE

    &nbsp &nbsp В Windows 2000 механизма точек восстановления нет. Однако, как и в Windows XP, имеется утилита архивации, а точнее — резервного копирования и восстановления NTBACKUP.EXE , позволяющая выполнить практически то же, что делается при создании точек восстановления (и даже намного больше). NTBACKUP позволяет создать архив состояния системы из 2-х частей, — загрузочной дискеты, позволяющей выполнить восстановление даже на незагружающейся системе и собственно архив данных для восстановления (в виде обычного файла с расширением.bkf, сохраняемого на жестком диске или съемном носителе). Для получения копии состояния системы жмем «Пуск» — «Выполнить»- ntbackup.exe

    Запускаем , и указываем ему, что нужно архивировать состояние системы.

    И где хранить данные архива

    &nbsp &nbsp После завершения работы мастера будет создан архив состояния системы (D:\ntbackup.bkf) С помощью «Мастера восстановления» вы можете всегда вернуть состояние системы на момент создания архива.

    3. Использование утилиты для работы с реестром из командной строки REG.EXE

    &nbsp &nbsp В Windows 2000 утилита REG.EXE входит в состав пакета Support tools (можно также использовать REG.EXE из комплекта Windows XP — просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

    Программа редактирования системного реестра из командной строки, версия 3.0
    (C) Корпорация Майкрософт, 1981-2001. Все права защищены

    REG Операция [Список параметров]

    Операция == [ QUERY | ADD | DELETE | COPY |
    SAVE | LOAD | UNLOAD | RESTORE |
    COMPARE | EXPORT | IMPORT ]

    Код возврата: (за исключением REG COMPARE)
    0 — Успешно
    1 — С ошибкой

    Для получения справки по определенной операции введите:
    REG Operation /?

    Примеры:

    REG QUERY /?
    REG ADD /?
    REG DELETE /?
    REG COPY /?
    REG SAVE /?
    REG RESTORE /?
    REG LOAD /?
    REG UNLOAD /?
    REG COMPARE /?
    REG EXPORT /?
    REG IMPORT /?

    Для резервного копирования реестра используется REG.EXE SAVE, для восстановления — REG.EXE RESTORE

    Для получения справки

    REG.EXE SAVE /?
    REG SAVE раздел имя Файла

    Раздел — Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
    КОРЕНЬ — Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
    подраздел — Полный путь к разделу реестра в выбранном корневом разделе.
    имя Файла — Имя сохраняемого файла на диске. Если путь не указан, файл
    создается вызывающим процессом в текущей папке.

    Примеры:
    REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
    Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

    &nbsp &nbsp Синтаксис REG SAVE и REG RESTORE одинаков и вполне понятен из справки. Есть, правда некоторые моменты. В версии утилиты из ОС Windows 2000 нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения (REG SAVE) вполне можно использовать для сохранения любых разделов реестра, в т.ч. HKLM\software, HKLM\system и т.п. однако, если вы попробуете восстановить, например, HKLM\system, то получите сообщение об ошибке доступа, вызванную занятостью данного раздела реестра, а поскольку он занят всегда, восстановление с помощью REG RESTORE выполнить не удастся.

    Для сохранения куста SYSTEM:
    REG SAVE HKLM\SYSTEM system.hiv
    Для сохранения куста SOFTWARE:
    REG SAVE HKLM\SOFTWARE software.hiv
    Для сохранения куста DEFAULT:
    reg save HKU\.Default default.hiv

    Если файл существует, то REG.EXE выдаст ошибку и завершится.

    &nbsp &nbsp Сохраненные файлы можно использовать для восстановления реестра ручным копированием в папку %SystemRoot%\system32\config.

    4. Ручное копирование файлов реестра.

    &nbsp &nbsp Если загрузиться в другой операционной системе, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью REG SAVE файлом system.hiv, скопировав его в папку реестра и переименовав в system. Или выполнить это же действие, используя сохраненную копию файла system из контрольной точки восстановления. Довольно подробно данный метод восстановления реестра описан в статье «Проблемы с загрузкой ОС»

    5. Использование режима экспорта-импорта реестра.

    Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла позволяет восстановить реестр. Щелкаете на «Реестр»—> «Экспорт (Импорт) файла реестра». Импорт также можно выполнить двойным щелчком по ярлыку reg-файла.

    6. Использование специальных утилит для работы с реестром сторонних производителей.

    &nbsp &nbsp Существует немало программ сторонних производителей для работы с реестром, позволяющих не только сохранять и восстанавливать данные реестра, но и выполнять массу других полезных операций, таких, как диагностика и удаление ошибочных или ненужных данных, оптимизация, дефрагментация и т.п. Большинство из них платные — jv16 Power Tools, Registry Mechanic, Super Utilities Pro, Reg Organizer и другие. Список и краткое описание на secutiylab.ru
    К основным преимуществам данных программ можно отнести, как правило, простой интерфейс пользователя, возможность выполнить тонкую настройку операционной системы и предпочтений пользователя, чистку от ненужных записей, расширенные возможности по поиску и замене данных, резервное копирование и восстановление.
    &nbsp &nbsp Пожалуй, самым популярным программным обеспечением для работы с реестром является jv16 Power Tools компании Macecraft Software . Главные достоинства — высокая надежность, многофункциональность, простота и удобство использования, поддержка нескольких языков, в т.ч. русского. Однако не все знают, что существует и бесплатный вариант, называющийся Power Tools Lite . Конечно, до полнофункциональной jv16 ему далеко, но для поиска данных, чистки и оптимизации реестра вполне подойдет. Замечу, что резервная копия создаваемая данной программой является всего лишь reg-файлом для восстановления состояния реестра до момента его изменения. Многие (если не большинство) программы для работы с реестром создают аналогичные копии, пригодные только для восстановления тех данных, которые они изменяют. В случае порчи реестра они вам не помогут. Поэтому, выбирая (особенно бесплатную) программу с возможностью резервного копирования реестра, разберитесь, какие же копии она создает. Идеальный вариант — программа, создающая копии всех кустов реестра. При наличии такой копии вы всегда сможете полностью восстановить реестр обычным копированием файлов. Я бы порекомендовал бесплатную консольную утилиту regsaver.exe Скачать, 380кб
    Сайт программы.
    Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки:
    regsaver.exe D:\regbackup
    После выполнения программы в каталоге D:\regbackup будет создан подкаталог с уникальным именем, состоящим из года, месяца, числа и времени создания резервной копии файлов реестра («yyyymmddhhmmss»). После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим:

    regsaver.exe D:\regbackup /off /ask — Выключить компьютер. Ключ /ask требует подтверждения пользователя при выключении питания.
    regsaver.exe D:\regbackup /standby — Перевести в спящий режим без подтверждения (нет /ask)
    regsaver.exe D:\regbackup /hibernate /ask — Перевести в режим Hibernate

    Вместо стандартного выключения компьютера можно использовать резервное копирование реестра с выключением по его завершению.

    7. Восстановление реестра, при отсутствии резервных копий.

    &nbsp &nbsp К примеру, при загрузке системы, вы видите сообщение о нарушении целостности куста реестра SYSTEM:

    Windows XP could not start because the following file is missing or corrupt: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

    Если у вас не выполнялось резервирование данных реестра, был отключен механизм создания контрольных точек восстановления или вы использовали Win2K, где этого механизма просто не существует, то все равно есть шансы оживить систему, загрузившись в другой ОС и восстановив файл system. Даже если содержимое этого файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы.

  • — использование резервных файлов реестра, автоматически созданных каким-либо программным обеспечением. Откройте папку \Windows\system32\config и проверьте, нет ли в ней файла system.bak (возможно другое расширение, отличное от.alt и.log). переименуйте его в system и попробуйте загрузиться.
  • — использование, сохраненного после начальной установки, файла (файлов) из каталога \WINDOWS\REPAIR. Такой вариант, не самый оптимальный, на крайний случай.
  • — использование функции восстановления редактора реестра Windows XP при загрузке поврежденного куста.
    Редактор реестра позволяет открывать файлы не только «своего» реестра, но и файлы, являющиеся реестром другой операционной системы. В Windows 2000 для загрузки файла (куста) реестра сохраненного на диске использовался редактор regedt32.exe, в Windows XP функции regedt32.exe и regedit.exe совмещены и, дополнительно, появилась возможность восстановления поврежденного куста при загрузке. Для этого

    Загрузитесь в Windows XP (Windows Live, Winternals ERD Commander, установленная в другой каталог WinXP, другой компьютер с возможностью загрузки проблемного куста реестра по сети или с внешнего носителя). Запустите редактор реестра.
    В левой части дерева реестра выберите один из разделов:
    HKEY_USERS или HKEY_LOCAL_MACHINE.
    В меню Реестр (Registry) (В других версиях редактора реестра этот пункт меню может называться «Файл «) выберите команду «Загрузить куст(Load Hive)» .
    Найдите испорченный куст (в нашем случае — system).
    Нажмите кнопку Открыть .
    В поле Раздел введите имя, которое будет присвоено загружаемому кусту. Например BadSystem.
    После нажатия OK появится сообщение:

    В левом окне редактора реестра выберите подключенный куст (BadSystem) и выполните команду «Выгрузить куст» . Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows 2000.


    Мониторинг реестра. &nbsp &nbsp Одной из лучших программ для мониторинга реестра, с моей точки зрения, является RegMon Марка Руссиновича — маленькая и функциональная утилита, не требующая инсталляции и работающая в операционных системах Windows NT, 2000, XP, 2003, Windows 95, 98, Me и 64-разрядных версиях Windows для архитектуры x64. Скачать RegMon.exe v7.04, 700кб

    &nbsp &nbsp Regmon позволяет в реальном масштабе времени отслеживать, какие приложения обращаются к реестру, в какие разделы, какую информацию они читают или пишут. Информация выдается в удобном виде, который можно настроить под свои нужды — исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.
    &nbsp &nbsp После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра:

    По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей:

    Include — Если * — выполнять мониторинг для всех процессов. Имена процессов разделяются символом «;» . Например — FAR.EXE;Winlogon.exe — будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe.
    Exclude — какие процессы исключить из результатов мониторинга.
    Highlight — какие процессы выделить выбранным цветом (по умолчанию — красным).

    &nbsp &nbsp Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию — фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса — Include process — включить данный процесс в мониторинг, Exclude process — исключить данный процесс из мониторинга. После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов).

    Назначение колонок:

    # — номер по порядку
    Time — Время. Формат времени можно изменить с помощью вкладки Options
    Process — имя процесса:идентификатор процесса (PID)
    Request — тип запроса. OpenKey — открытие ключа (подраздела) реестра, CloseKey — закрытие, CreateKey — создание, QueryKey — проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey — получить список имен подразделов указанного раздела, QueryValue — прочитать значение параметра, SetValue — записать значение.
    Path — путь в реестре.
    Result — результат выполнения операции. SUCCESS — успешно, NOT FOUND — ключ (параметр) не найден. ACCESS DENIED — доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW — переполнение буфера — результат операции не помещается в буфере программы.
    Other — дополнительная информация — результат выполненного запроса.

    &nbsp &nbsp Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню — Exclude process — информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы.

    &nbsp &nbsp При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш:

    CTRL-S — сохранить результаты
    CTRL-P — свойства выбранного процесса
    CTRL-E — включить/выключить мониторинг
    CTRL-F — поиск по контексту
    CTRL-C — копировать выбранную строку в буфер обмена
    CTRL-T — изменить формат времени
    CTRL-X — очистить окно результатов мониторинга
    CTRL-J — запустить редактор реестра и открыть ветвь указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время.
    CTRL-A — включить/выключить автоматическую прокрутку
    CTRL-H — позволяет задать число строк результатов мониторинга

    &nbsp &nbsp Еще одна очень полезная возможность — получить журнал обращений к реестру в процессе загрузки операционной системы.
    Для этого выбираете меню Options-Log Boot . Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:

    &nbsp &nbsp После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч.

    Для сохранения и восстановления реестра используется раздел «Disk and Files» — «SystemSaver». Для обслуживания и оптимизации реестра — «System Registry» — «RegistryFixer» и «RegistryDefrag».

    Кроме папки «Автозагрузка» для запуска программ используются разделы реестра:


    HKLM\Software\Microsoft\Windows\ CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices
    HKLM\Software\Microsoft\Windows\ CurrentVersion\RunOnce
    HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce
    Последние 2 раздела (…Once) отличаются тем, что программы,прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются..

    Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU:
    HKCU\Software\Microsoft\Windows\ CurrentVersion\Run
    Пример раздела HKLM\…\RUN:

    &nbsp &nbsp В правом окне вы видите список параметров , значениями которых является строка, ссылающаяся на программу. При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр — программа не запустится. Но удалять можно не все. Поэкспериментируйте меняя расширение exe на ex_.

    &nbsp &nbsp Кроме программ, запускающихся при регистрации пользователя в системе, запускается еще огромное количество других, не всегда очевидных, — это и системные службы (сервисы), различные драйверы, программы оболочки (Shell) и т.п. Кроме полезных (а иногда и бесполезных) программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах . Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы — мониторы автозапуска, наиболее популярной из которых, является , обладающей более широким спектром возможностей, чем служебная программа MSConfig, входящая в состав Windows.

    Инсталляция не требуется. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns.exe (autorunsc.exe — консольная версия). Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer (включая объекты модулей поддержки обозревателя (BHO)), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock.
    Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

    &nbsp &nbsp Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт «Jump to» контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск.


    Драйверы и службы. Информация о драйверах и системных службах (сервисах) находится в разделе
    HKLM\System\ CurrentControlSet\Services
    Каждому драйверу или сервису соответствует свой раздел. Например, «atapi» — для драйвера стандартного IDE контроллера жестких дисков, «DNScache» — для службы «DNS клиент». Назначение основных ключей:
    DisplayName — выводимое имя — то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления.

    ErrorControl — режим обработки ошибок.
    0 — игнорировать (Ignore) при ошибке загрузки или инициализации драйвера не выдается сообщение об ошибке и система продолжает работу.
    1 — нормальный (Normal) режим обработки ошибки. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1.
    2 — особый (Severe) режим. Используется для обеспечения загрузки последней удачной конфигурации (LastKnownGood).
    3 — критическая (Critical) ошибка. Процесс загрузки останавливается, и выводится сообщение о сбое.

    Group — название группы, к которой относится драйвер, например — «Видеоадаптеры»

    ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение.sys и располагаются в папке \Windows\System32\DRIVERS\. Файлы сервисов — обычно.exe и располагаются в \Windows\System32\.

    Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:
    0 — BOOT — драйвер загружается загрузчиком.
    1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
    2 — AUTO — служба запускается автоматически при загрузке системы.
    3 — MANUAL — служба запускается вручную.
    4 — DISABLE — отключено.
    Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение Start равным 4. Отключение драйверов и служб через редактирование этого ключа реестра — довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без которых невозможна загрузка или работа — получите аварийное завершение системы (чаще всего — синий экран смерти BSOD).


    Драйверы и службы для безопасного режима. При загрузке операционной системы для инициализации драйверов и служб используется набор управляющих параметров из раздела текущей конфигурации
    HKLM\System\CurrentControlSet
    При возникновении проблем с работой операционной системы нередко используется безопасный режим загрузки (Safe Mode). Отличие данного режима от обычной загрузки, заключается в том, что используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом:
    HKLM\System\ CurrentControlSet\Control\SafeBoot
    Подразделы:
    Minimal — список драйверов и служб, запускаемых в безопасном режиме (Safe Mode)
    Network — то же, но с поддержкой сети.

    Кроме раздела HKLM\System\CurrentControlSet, в реестре присутствуют и
    HKLM\System\CurrentControlSet001
    HKLM\System\CurrentControlSet002
    По своей структуре они идентичны HKLM\System\CurrentControlSet, и предназначены для дополнительной возможности восстановления работоспособности системы с использованием загрузки последней удачной конфигурации системы (Last Known Good Configuration). Возможные варианты загрузки управляющих наборов определяются содержимым раздела:
    HKLM\System\Select

    Current — управляющий набор, который был использован для текущей загрузки.
    Default — управляющий набор, который будет использоваться при следующей загрузке.
    LastKnownGood — управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
    Failed — сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
    &nbsp &nbsp После успешной загрузки и входа пользователя в систему, данные из CurrentControlSet и ControlSet001 копируются в ControlSet002. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet001. Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet002. После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet003, — на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться.

    Ограничиваем доступ пользователя к ресурсам.


    В большинстве случаев, для того, чтобы изменения, внесенные в реестр возымели действие, нужна перезагрузка или выход и повторный вход в систему. Параметры в разделе HKEY_CURRENT_USER относятся к текущему пользователю системы. Параметры в разделе HKLM — ко всем пользователям.
    Скрываем логические диски
    Открываем раздел:
    HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer
    и добавляем в него параметр NoDrives типа DWORD. Значение параметра определяет скрываемые диски A-Z. Наличие «1» начиная с младшего бита двойного слова означает отсутствие логического диска в «Мой компьютер»
    00000001 — нет диска A, 00000002 — нет диска B, 00000004 — нет диска C, 0000000F — нет дисков A-F
    Добавлю, что скрытые таким образом диски не видны только для Explorerа и в других программах могут быть доступны (в FAR например). Но другие программы ведь можно и скрыть или запретить — о чем дальше.
    Изменяем меню кнопки «ПУСК»
    NoRun =dword:00000001 нет кнопки «Выполнить»
    NoLogOff=hex:01 00 00 00 (не dword а hex) нет «Завершение сеанса »
    NoFind =dword:00000001 — нет пункта «Найти»
    NoFavoritesMenu =dword:00000001 нет «Избранное»
    NoRecentDocsMenu =dword:00000001 нет «Документы»
    NoSetFolders =dword:00000001 нет «Панели управления» в подменю «Настройка»
    NoSetTaskbar =dword:00000001 нет «Панель задач» там же
    NoPrinters =dword:00000001 нет «Принтеры» в Панели управления
    NoAddPrinter =dword:00000001 нет «Добавить принтер»
    NoDeletePrinter =dword:00000001 нет «Удалить принтер»
    NoDesktop =dword:00000001 Пустой рабочий стол
    NoNetHood =dword:00000001 нет «Сетевое окружение»
    NoInternetIcon =dword:00000001 нет значка «Интернет» на Рабочем столе Windows
    NoTrayContextMenu =hex:01,00,00,00 -Отключить меню, вызываемое правой кнопкой мыши на панели задач
    NoViewContextMenu =hex:01,00,00,00 — Отключить меню, вызываемое правой кнопкой мыши на Рабочем столе: Чтобы включить обратно, надо 01 заменить на 00.
    NoFileMenu =hex:01,00,00,00 скрыть » File » в верхней строке меню Проводника
    ClearRecentDocsOnExit =hex:01,00,00,00 не сохранять список последних открываемых документов по выходу из системы.

    Следующие параметры относятся к разделу реестра
    HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\
    Network

    NoNetSetup =dword:00000001 отключает доступ к значку «Сеть» в Панели управления
    NoFileSharingControl =dword:00000001 скрывает диалоговое окно управления совместным использованием файлов и принтеров, не позволяя пользователям управлять созданием новых совместных файлов или принтеров
    NoNetSetupIDPage =dword:00000001 скрывает вкладку «Идентификация»
    NoNetSetupSecurityPage =dword:00000001 скрывает вкладку «Управление доступом»
    NoEntireNetwork =dword:00000001 скрывает элемент «Вся сеть» в Сетевом окружении
    NoWorkgroupContents =dword:00000001 скрывает всё содержание Рабочей группы в Сетевом окружении

    Следующие параметры относятся к ограничениям для всех пользователей, поскольку используется раздел HKLM, а не HKEY_CURRENT_USER. Для редактирования данных нужно обладать правами администратора системы
    HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\System

    NoSecCPL =dword:00000001 отключает доступ к значку «Пароли» в Панели управления
    NoAdminPage =dword:00000001 скрывает вкладку «Удаленное управление»
    NoProfilePage =dword:00000001 скрывает вкладку «Профили пользователей»
    NoPwdPage «=dword:00000001 скрывает вкладку «Смена паролей»
    NoDispCPL =dword:00000001 отключает доступ к значку «Экран» в Панели управления
    NoDispAppearancePage =dword:00000001 скрывает «Оформление» в окне свойств экрана
    NoDispBackgroundPage =dword:00000001 скрывает «Фон» в окне свойств экрана
    NoDispScrSavPage скрывает «Заставка» в окне свойств экрана
    NoDispSettingsPage =dword:00000001 скрывает «Настройка» в окне свойств экрана
    NoConfigPage =dword:00000001 скрывает «Профили оборудования» в окне свойств системы
    NoDevMgrPage =dword:00000001 скрывает вкладку «Устройства» в окне свойств системы
    NoFileSysPage =dword:00000001 скрывает кнопку «Файловая система…» на вкладке «Быстродействие» в окне свойств системы
    NoVirtMemPage =dword:00000001 скрывает кнопку «Виртуальная память…» на вкладке «Быстродействие» в окне свойств системы
    =dword:00000001 запрет Regedit.exe или Regedt32.exe

    &nbsp &nbsp Некоторые из перечисленных запретов на действия пользователя используют не только системные администраторы, но и внедрившиеся в систему вирусы. Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда — запрет на запуск редактора реестра (DisableRegistryTools). Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением:

    Конечно же, пользователю, тем более, администратору, должно быть обидно, когда «Редактирование реестра запрещено администратором системы». Поэтому я добавил еще один небольшой раздел:

    Обходим ограничения доступа пользователя к ресурсам.


    &nbsp &nbsp Все вышеперечисленные ограничения могут касаться либо конкретного пользователя, либо всех пользователей системы, точнее их учетных записей. Однако в каждой ОС Windows есть еще одна учетная запись, права которой, в некоторой степени, даже выше прав локального администратора — локальная системная учетная запись (Local System Account) от имени которой запускаются системные службы (сервисы) еще до входа пользователя в систему. Если программу (тот же regedit.exe) запустить с правами Local System, то никакие ограничения, связанные с учетными записями любых реальных пользователей действовать не будут. Как запустить редактор реестра с правами локальной системной учетной записи, используя утилиту PSExec, я уже рассказывал в начале статьи, и там же разместил ссылку на страничку загрузки и описания пакета PSTools. Для тех же, кому нет надобности в скачивании всего пакета и нужно, не разбираясь в тонкостях, просто обойти ограничения — пошаговая инструкция:
  • Скачиваем PSexec из пакета PSTools Microsoft (Sysinternals). (скачать PSTools.zip)
  • копируем его в папку \WINDOWS\SYSTEM32
  • запускаем с помощью psexec редактор реестра:
    psexec -s -i regedit.exe
    Для работы psexec.exe нужно обладать правами администратора т.е. пользователь должен входить в группу «Администраторы»
  • Вносим нужные исправления в реестр — DisableRegistryTools устанавливаем в 0 или удаляем его вообще. После чего пользуемся редактором реестра как обычно, снимая ограничения на запуск менеджера задач, блокировку антивирусных программ, и прочего, что там еще натворил вирус.

    &nbsp &nbsp Конечно, можно придумать и другие варианты обхода ограничений, как например, загрузка с использованием Winternals ERD Commander и редактирование проблемного реестра, или использование утилиты командной строки REG.EXE (Скачать bat-файл для разблокировки редактора реестра и менеджера задач) , или редактора реестра стороннего производителя, но данный способ — наиболее необычный, простой и быстрый. Необычность решения проблемы, как правило, дает то преимущество, что против ваших действий по обходу ограничений нет, или пока нет заранее подготовленных контрмер.
    Кстати, данным способом можно воспользоваться не только для запуска regedit.exe, но и других программ — проводника (Explorer.exe) например
    psexec -s -i C:\WINDOWS\EXPLORER.EXE
    что позволит получить доступ к каталогам и файлам, недоступным реальному пользователю, как, например, скрытая системная папка System Volume Information.

    Очень неплохой способ обхода ограничений — использование редактора реестра стороннего производителя.

    Resplendent Registrar Registry Manager — приблизительно 3Мб — в версии «Lite Edition» — бесплатный редактор реестра с удобным интерфейсом и полезными дополнительными возможностями по поиску, мониторингу, дефрагментации, сохранению и восстановлению реестра.

    В списке установленных программ висит программа давно удаленная
    Обычно это бывает, если вы удалили программу вручную, а не деинсталлировали ее, или же деинсталлятор глюканул. Исправить ситуацию можно отредактировав раздел:
    HKLM\Software\Microsoft\Windows\ CurrentVersion\Uninstall
    Постоянно приходится указывать путь на дистрибутив Windows
    Найдите раздел
    HKLM\Software\Microsoft\Windows\ CurrentVersion\Setup
    и в параметре SourcePath укажите путь на ваш дистрибутив -строковое значение «D:\install» . Если вы часто меняете настройки системы и у вас много места на диске — сбросьте дистрибутив в какой-либо каталог и пропишите его в SourcePath.
    Проблемы с русским шрифтом на некоторых программах
    Особенно это характерно на не русифицированных ОС, например Windows NT 4.0 Server. Даже если вы установили русифицированные фонты и в региональных установках указали Россию, проблемы с кириллическими шрифтами могут возникнуть. Откройте раздел
    HKLM\Software\Microsoft\Windows\ CurrentVersion\FontSubstitutes
    и пропишите параметры:
    параметр System,0 значение System,204
    параметр Courier,0 значение Courier,204
    параметр Arial,0 значение Arial,204
    параметр Courier New,0 значение Courier New,204
    параметр Times New Roman,0 значение Times New Roman,204
    Скорее всего эти параметры там уже есть, но вместо 204 стоит 238. Для Windows 9X такого раздела реестра нет и править надо секцию файла WINDOWS\win.ini.
    Может помочь также добавления в раздел HKLM\System\ CurrentControlSet\Control\Nls\CodePage параметра «1252» =»CP_1251.nls»
    Снятие пароля с заставки (ScreenSaver»а)
    Параметры рабочего стола для профиля по умолчанию задаются параметрами раздела реестра
    HKEY_USERS\.DEFAULT\Control Panel\Desktop
    Параметры рабочего стола текущего пользователя — разделом реестра
    HKCU\Control Panel\Desktop
    Для снятия пароля с заставки для рабочего стола текущего пользователя нужно открыть раздел реестра
    HKCU\Control Panel\Desktop
    и установить значение ключа ScreenSaverIsSecure равным нулю.

    Для отключения заставки — установить в 0 значение ScreenSaveActive

    Создание своего окна при входе в систему
    Это полезно тогда, когда требуется о чем-то предупредить пользователя. Раздел HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Winlogon
    Параметры:
    LegalNoticeCaption = например «Внимание!» текст заголовка окна
    LegalNoticeText = «С 25-го по 30-е число каждого месяца необходимо сменить пароль» текст в окне
    Очистка имени предыдущего пользователя
    Раздел HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon
    DontDisplayLastUserName =dword:00000001
    Запрет на запуск редактора реестра и диспетчера задач.
    Для запрета запуска редактора реестра любого пользователя используется раздел HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system
    =dword:00000001 запрещено запускать
    =dword:00000000 разрешено запускать
    DisableTaskMgr — =dword:00000001 запрещено запускать
    DisableTaskMgr — =dword:00000000 разрешено запускать
    Для ограничения запуска редактора реестра и диспетчера задач текущего пользователя аналогичные значения устанавливаются в разделе
    HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies
    Обязательный ввод пароля в Windows 9X
    Должен быть установлен клиент Microsoft Network. Войти в систему, нажав ESC теперь не удастся
    Раздел HKLM\Network\Logon
    Параметр MustBeValidated =dword:00000001
    Изменить поведение компьютера при выключении
    Раздел HKLM\System\ CurrentControlSet\Control\Shutdown
    Параметр FastReboot равен 0 — обычное выключение, равен 1 — ускоренное, приводящее часто к перезагрузке
    Изменение языка по умолчанию в окне входа в систему
    Если в окне ввода пароля используется русская раскладка клавиатуры, то изменить это можно подредактировать раздел HKEY_USERS\.DEFAULT\Keyboard Layout\Preload. Он имеет 2 строковых параметра — «1» и «2».
    Если значения равны:
    1=00000409
    2=00000419
    то раскладка в окне входа в систему станет английской.
    Если значения параметрам присвоить наоборот («1″=00000419, «2»= 00000409) — то раскладка станет русской.
  • HKLM\SYSTEM\CurrentControlSet\Services Дерево реестра — драйверы Windows

    • Статья
    • 2 минуты на чтение
    • 4 участника

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    В дереве реестра HKLM\SYSTEM\CurrentControlSet\Services хранится информация о каждой службе в системе. У каждого драйвера есть ключ вида HKLM\SYSTEM\CurrentControlSet\Services\ DriverName . Диспетчер PnP передает этот путь к драйверу в параметре RegistryPath при вызове процедуры драйвера DriverEntry .Драйвер может хранить глобальные определяемые драйвером данные в подразделе Parameters своего ключа в дереве Services . Информация, хранящаяся под этим ключом, доступна драйверу во время его инициализации.

    Дополнительные сведения о разделах реестра, которые обычно используются драйверами, см. в разделе Введение в разделы реестра для драйверов.

    Особый интерес представляют следующие записи ключей и значений:

    ImagePath
    Запись значения, указывающая полный путь к файлу образа драйвера.Windows создает это значение, используя требуемую запись ServiceBinary в INF-файле драйвера. Эта запись находится в разделе установки службы , на который ссылается драйвер INF AddService . Типичное значение этого пути — %SystemRoot% \ system32\Drivers\DriverName .sys, где DriverName — это имя ключа Services драйвера.

    Параметры
    Ключ, используемый для хранения данных драйвера.Для некоторых типов драйверов система ожидает найти определенные записи значений. Вы можете добавить записи значений в этот подраздел, используя директивы AddReg в INF-файле драйвера.

    Производительность
    Ключ, указывающий информацию для дополнительного мониторинга производительности. Значения в этом ключе задают имя библиотеки DLL производительности драйвера и имена некоторых экспортируемых функций в этой библиотеке DLL. Вы можете добавить записи значений в этот подраздел, используя директивы AddReg в INF-файле драйвера.

    Что на самом деле делает HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths?

    Похоже, дело было в RTFM; Я получил ссылку на документацию из этого комментария (спасибо), поэтому решил опубликовать краткое изложение. Проверьте документы MS для получения полной информации.


    Основная цель «Путей приложений», как намекает этот ответ, — это альтернативное место для записей PATH для каждого приложения (в отличие от глобальных пользовательских или системных записей PATH). Также в нем указано несколько деталей того, как Windows (в частности, ShellExecute ) работает с программой.

    Для моего конкретного примера единственное, что он делает, это указывает полный путь к «example.exe». Вероятно, здесь есть пара эффектов, но один заметный:

    .
    • Теперь я могу ввести «example.exe» или даже просто «example» в Пуск → Выполнить , и приложение запустится; Мне больше не нужно указывать полный путь (например, мне не нужно вводить «c:\example\example.exe»).

    Однако есть несколько других значений, которые могут появляться в подразделе и влиять на разные вещи:

    • Путь указывает список путей, которые добавляются в переменную среды PATH при запуске приложения — я думаю, это основная цель путей приложений (отсюда и название).
    • DropTarget можно использовать для указания пользовательского поведения при перетаскивании файлов в исполняемый файл, в отличие от значения по умолчанию, когда имена файлов просто превращаются в параметры командной строки.
    • SupportedProtocols указывает, обрабатывает ли приложение определенные схемы URL-адресов.
    • UseUrl указывает, может ли приложение работать с URL-адресами, а не только с локальными файлами, с конечным эффектом, позволяющим использовать различные оптимизации, такие как передача Windows URL-адреса интернет-ресурса в приложение, а не загрузка его сначала локально, и т. д.
    • DontUseDesktopChangeRouter — это некоторый параметр, который как-то связан с предотвращением взаимоблокировок диалогового окна выбора файла для приложений отладчика. Это очень конкретный вариант.

    Вот и все: пути, настраиваемое поведение перетаскивания, обработка URL-адресов и, казалось бы, произвольные гиперспецифические настройки, связанные с отладчиком, для которых, я думаю, они не могли найти лучшего места (или это была старая высокоприоритетная функция). исправить, и какой-то бедный разработчик MS работал на кофеине и дыме).Это странная маленькая коллекция; но я уверен, что всему есть исторические причины.

    windows — Скопировать ветку реестра в другое место

    windows — Скопировать ветку реестра в другое место — Суперпользователь
    Сеть обмена стеками

    Сеть Stack Exchange состоит из 179 сообществ вопросов и ответов, включая Stack Overflow, крупнейшее и пользующееся наибольшим доверием онлайн-сообщество, где разработчики могут учиться, делиться своими знаниями и строить свою карьеру.

    Посетите биржу стека
    1. 0
    2. +0
    1. Войти
    2. Зарегистрироваться

    Super User — это сайт вопросов и ответов для компьютерных энтузиастов и опытных пользователей.Регистрация занимает всего минуту.

    Зарегистрируйтесь, чтобы присоединиться к этому сообществу

    Любой может задать вопрос

    Любой может ответить

    Лучшие ответы голосуются и поднимаются на вершину

    спросил

    Просмотрено 30 тысяч раз

    Есть ли в Windows простой способ скопировать ветку реестра в другую часть реестра?

    Мне нужно скопировать все в HKLM\SOFTWARE\Wow6432Node\Python в HKCU\SOFTWARE\Wow6432Node\Python , чтобы обойти проблему с установщиками Python, но regedit не предлагает способ скопировать ветку/ папка.В этом случае я, вероятно, решу проблему, скопировав каждый узел вручную, поскольку делать особо нечего, но меня интересует чистое и простое решение для использования в будущем.

    спросил 14 апр. 2013 в 10:52

    Марк ЭмериМарк Эмери

    23811 золотой знак22 серебряных знака1313 бронзовых знаков

    Вы можете использовать команду reg в командной строке.Обратите внимание, что для запуска этой команды требуется доступ администратора. Чтобы открыть командную строку от имени администратора:

    1. Откройте меню «Пуск».
    2. В поле поиска введите cmd .
    3. Нажмите Ctrl+Shift+Enter .

    Ниже приведен синтаксис команды reg .

      REG COPY KeyName1 KeyName2 [/s] [/f]
    
      KeyName [\\Machine\]Полный ключ
        Machine Имя удаленной машины — по умолчанию не используется текущая машина.На удаленных машинах доступны только HKLM и HKU.
        Полный ключ ROOTKEY\SubKey
        КОРНЕВОЙ КЛЮЧ [ HKLM | ХККУ | Гонконг | ХКУ | HKCC]
        SubKey Полное имя раздела реестра в выбранном ROOTKEY.
    
      /s Копирует все подразделы и значения.
    
      /f Принудительное копирование без запроса.
      

    Я использовал это для копирования ключей между 64-битной и 32-битной областями реестра. Например:

      reg копия HKLM\SOFTWARE\ODBC\ODBC.INI\dsname HKLM\SOFTWARE\Wow6432Node\ODBC\ODBC.INI\dsname /s
      

    Добавить комментарий

    Ваш адрес email не будет опубликован.