Разделы реестра: Что такое реестр Windows 10/8/7 ?

Содержание

Практические приёмы работы с Реестром — Документация Работа с реестром Windows 1

В данном разделе рассматриваются практические примеры работы с реестром:

Лицензия КриптоПро в реестре [1017]

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

  1. Перейти в ветку:

КриптоПро 3.6:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
\UserData\S-1-5-18\Products\05480A45343B0B0429E4860F13549069\InstallProperties

КриптоПро 3.9:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
\UserData\S-1-5-18\Products\68A52D936E5ACF24C9F8FE4A1C830BC8\InstallProperties

КриптоПро 4.0:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer
\UserData\S-1-5-18\Products\7AB5E7046046FB044ACD63458B5F481C\InstallProperties

КриптоПро 3.0:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18
\Products\0CC4F742C3275A04A9832E2E2CD4BE64\InstallProperties\ProductID
  1. Открыть двойным нажатием левой кнопки мыши параметр ProductID и прописать в поле Значение серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

  • для 32-битной ОС:
HKEY_LOCAL_MACHINE\SOFTWARE\CryptoPro\Settings\
Users\(идентификатор пользователя)\Keys\(Название контейнера)
  • для 64-битной ОС:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings
\USERS\(идентификатор пользователя)\Keys\(Названиеконтейнера)
  • В некоторых случаях сертификат попадает сюда:

Структура реестра Windows XP. Типы данных. Хранение реестра

На смену ini-файлам, имеющим ряд концептуальных ограничений, еще в Windows 3.1 было введено понятие реестра — регистрационной базы данных, хранящей различные настройки ОС и приложений. Изначально реестр был предназначен только для хранения сведений об объектах OLE (Object Linking and Embedding — связь и внедрение объектов) и сопоставлений приложений расширениям имен файлов, однако позже его структура и границы использования расширились. Реестры разных версий Windows имеют различия; это нужно помнить при импорте reg-файлов. В Windows 2000 и XP в архитектуру реестра были введены важные новшества, улучшающие функциональность данного компонента ОС.

Реестр хранится в бинарном (двоичном) виде, поэтому для ручной работы с ним необходима специальная программа — редактор реестра. В XP это Regedit.exe, в других версиях NT ими являются Regedit.exe и Regedt32.exe, имеющий дополнительные возможности работы с реестром (Regedt32.exe есть и в XP, но на самом деле он всего лишь вызывает Regedit.exe). Есть и другие программы, в том числе и консольные (Reg.exe). Ручным модифицированием параметров реестра мы займемся чуть позже, а сейчас рассмотрим основные группы сведений, хранящихся в этой базе данных.

  • Программы установки. Любая грамотно написанная программа под Windows должна иметь свой инсталлятор-установщик. Это может быть встроенный в ОС Microsoft Installer либо любой другой. В любом случае инсталлятор использует реестр для хранения своих настроек, позволяя правильно устанавливать и удалять приложения, не трогая совместно используемые файлы.
  • Распознаватель. При каждом запуске компьютера программа NTDETECT.COM и ядро Windows распознает оборудование и сохраняет эту информацию в реестре.
  • Ядро ОС. Хранит много сведений в реестре о своей конфигурации, в том числе и данные о порядке загрузки драйверов устройств.
  • Диспетчер PnP (Plug and Play). Абсолютно необходимая вещь для большинства пользователей, которая избавляет их от мук по установке нового оборудования (не всегда, правда:)). Неудивительно, что он хранит свою информацию в реестре.
  • Драйверы устройств. Хранят здесь свои параметры.
  • Административные средства. Например, такие, как Панель управления, MMC (Micro-soft Management Console) и др.
  • Пользовательские профили. Это целая группа параметров, уникальная для каждого пользователя: настройки графической оболочки, сетевых соединений, программ и многое другое.
  • Аппаратные профили. Позволяют создавать несколько конфигураций с различным оборудованием.
  • Общие настройки программ
    . Почему общие? Потому, что у каждого пользователя есть профиль, где хранятся его настройки для соответствующей программы.

Вот мы и разобрались с предназначением реестра. Теперь обратим свое внимание на логическую структуру реестра. Для лучшего понимания материала рекомендуется запустить Regedit.exe, только ничего пока не трогайте:).

Структура реестра

Первая аналогия, которая приходит в голову при взгляде на реестр в Regedit.exe, — как похоже на файловую систему! И точно, налицо древовидная структура. Папкам здесь соответствуют ключи (keys) или разделы (ветви), а файлам — параметры (values). Разделы могут содержать как вложенные разделы (sub keys), так и параметры. На верхнем уровне этой иерархии находятся корневые разделы (root keys). Они перечислены в таблице 1

Таблица 1. Корневые разделы

Тип данныхОписание
REG_BINARYДвоичные данные. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате
REG_DWORDДанные, представленные целым числом (4 байта). Многие параметры служб и драйверов устройств имеют этот тип и отображаются в двоичном, шестнадцатеричном или десятичном форматах
REG_EXPAND_SZСтрока Unicode переменной длины. Этот тип данных включает переменные, обрабатываемые программой или службой
REG_MULTI_SZМногострочный текст Unicode. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами
REG_SZТекстовая Unicode строка фиксированной длины
REG_DWORD_LITTLE_ENDIAN32-разрядное число в формате «остроконечников» — младший байт хранится первым в памяти. Эквивалент REG_DWORD
REG_DWORD_BIG_ENDIAN32-разрядное число в формате «тупоконечников» — старший байт хранится первым в памяти
REG_LINKСимволическая ссылка Unicode. Только для внутреннего использования (некоторые корневые разделы являются такой ссылкой на другие подразделы)
REG_NONEПараметр не имеет определенного типа данных
REG_QWORD64-разрядное число
REG_QWORD_LITTLE_ENDIAN64-разрядное число в формате «остроконечников». Эквивалент REG_QWORD
REG_RESOURCE_LISTСписок аппаратных ресурсов. Используется только в разделе HKLM\HARDWARE
REG_FULL_RESOURCE_DESCRIPTORДескриптор (описатель) аппаратного ресурса. Применяется только в HKLM\HARDWARE.
REG_RESOURCE_REQUIREMENTS_LISTСписок необходимых аппаратных ресурсов. Используется только в HKLM\HARDWARE.

Типы данных

Все параметры реестра имеют фиксированный тип. В таблице 2 я приводится полный список используемых типов. Не все из них используются в разных версиях NT — REG_QWORD явно предназначен для 64-битной версии XP. Следует учесть, что ряд типов используется только системой в некоторых разделах, и создать свой параметр такого типа с помощью редактора реестра не получится.

Таблица 2. Типы параметров

Тип данныхОписание
REG_BINARY Двоичные данные. Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате
REG_DWORD Данные, представленные целым числом (4 байта). Многие параметры служб и драйверов устройств имеют этот тип и отображаются в двоичном, шестнадцатеричном или десятичном форматах
REG_EXPAND_SZ Строка Unicode переменной длины. Этот тип данных включает переменные, обрабатываемые программой или службой
REG_MULTI_SZ Многострочный текст Unicode. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами
REG_SZ Текстовая Unicode строка фиксированной длины
REG_DWORD_LITTLE_ENDIAN 32-разрядное число в формате «остроконечников» — младший байт хранится первым в памяти. Эквивалент REG_DWORD
REG_DWORD_BIG_ENDIAN 32-разрядное число в формате «тупоконечников» — старший байт хранится первым в памяти
REG_LINK Символическая ссылка Unicode. Только для внутреннего использования (некоторые корневые разделы являются такой ссылкой на другие подразделы)
REG_NONE Параметр не имеет определенного типа данных
REG_QWORD 64-разрядное число
REG_QWORD_LITTLE_ENDIAN 64-разрядное число в формате «остроконечников». Эквивалент REG_QWORD
REG_RESOURCE_LIST Список аппаратных ресурсов. Используется только в разделе HKLM\HARDWARE
REG_FULL_RESOURCE_DESCRIPTOR Дескриптор (описатель) аппаратного ресурса. Применяется только в HKLM\HARDWARE.
REG_RESOURCE_REQUIREMENTS_LIST Список необходимых аппаратных ресурсов. Используется только в HKLM\HARDWARE.

Хранение реестра

Элементы реестра хранятся в виде атомарной структуры. Реестр разделяется на составные части, называемые ульями (hives), или кустами. Ульи хранятся на диске в виде файлов. Некоторые ульи, такие, как HKLM\HARDWARE, не сохраняются в файлах, а создаются при каждой загрузке, то есть являются изменяемыми (vola-tile). При запуске системы реестр собирается из ульев в единую древовидную структуру с корневыми разделами. Перечислим ульи реестра и их местоположение на диске (для NT старше версии 4.0) в таблице 3

Таблица 3. Ульи реестра

УлейРасположение
HKLM\SYSTEM %SystemRoot%\system32\config\system
HKLM\SAM %SystemRoot%\system32\config\SAM
HKLM\SECURITY %SystemRoot%\system32\config\SECURITY
HKLM\SOFTWARE %SystemRoot%\system32\config\software
HKLM\HARDWARE Изменяемый улей
HKLM\SYSTEM\Clone Изменяемый улей
HKU\<SID_пользователя> %USERPROFILE%\ntuser.dat
HKU\<SID_пользователя>_Classes %USERPROFILE%\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
HKU\.DEFAULT %SystemRoot%\system32\config\default

Кроме этих файлов, есть ряд вспомогательных, со следующими расширениями:

  • ALT — резервная копия улья HKLM\SYSTEM (отсутствует в XP).
  • LOG — журнал транзакций, в котором регистрируются все изменения реестра.
  • SAV — копии ульев в том виде, в котором они были после завершения текстовой фазы установки.

Дополнительные сведения

Реестр является настоящей базой данных, поэтому в нем используется технология восстановления, похожая на оную в NTFS. Уже упомянутые LOG-файлы содержат журнал транзакций, который хранит все изменения. Благодаря этому реализуется атомарность реестра — то есть в данный момент времени в реестре могут быть либо старые значения, либо новые, даже после сбоя. Как видим, в отличие от NTFS, здесь обеспечивается сохранность не только структуры реестра, но и данных. К тому же, реестр поддерживает такие фишки NTFS, как управление избирательным доступом и аудит событий — система безопасности пронизывает всю NT снизу доверху. Да, эти функции доступны только из Regedt32.exe или Regedit.exe для XP. А еще весь реестр или его отдельные части можно экспортировать в текстовые reg-файлы (Unicode для Windows 2000 и старше), редактировать их в блокноте, а затем экспортировать обратно. Во многих редакторах реестра можно подключать любые доступные ульи реестра, в том числе и на удаленных машинах (при соответствующих полномочиях). Есть возможность делать резервные копии с помощью программы NTBackup. И многое другое. Ну, а на сегодня наш маленький ликбез окончен

Использование редактора реестра с умом

&nbsp windows | для начинающих

Во многих статьях на сайте remontka.pro я рассказывал, как выполнить то или иное действие с помощью редактора реестра Windows — отключить автозапуск дисков, убрать баннер или программы в автозагрузке.

С помощью правки реестра можно изменить очень многие параметры, оптимизировать работу системы, отключить какие-либо ненужные функции системы и многое другое. В этой статье поговорим об использовании редактора реестра, не ограничиваясь стандартными инструкциями наподобие «найти такой-то раздел, изменить значение». Статья в равной степени подойдет для пользователей Windows 7, 8 и 8.1.

Что такое реестр

Реестр Windows представляет собой структурированную базу данных, в которой хранятся параметры и информация, используемая операционной системой, драйверами, службами и программами.

Реестр состоит из разделов (в редакторе выглядят как папки), параметров (или ключей) и их значений (показываются в правой части редактора реестра).

Чтобы запустить редактор реестра, в любой версии Windows (от XP) вы можете нажать клавиши Windows + R и ввести regedit в окно «Выполнить».

Впервые запуская редактор в левой части вы увидите корневые разделы, в которых неплохо бы ориентироваться:

  • HKEY_CLASSES_ROOT — данный раздел используются для хранения и управления ассоциациями файлов. Фактически, данный раздел является ссылкой на HKEY_LOCAL_MACHINE/Software/Classes
  • HKEY_CURRENT_USER — содержит параметры для пользователя, под именем которого был осуществлен вход в систему. Здесь же хранятся большинство параметров установленных программ. Является ссылкой на раздел пользователя в HKEY_USERS.
  • HKEY_LOCAL_MACHINE — в данном разделе хранятся настройки ОС и программ в целом, для всех пользователей.
  • HKEY_USERS — хранит настройки для всех пользователей системы.
  • HKEY_CURRENT_CONFIG — содержит параметры всего установленного оборудования.

В инструкциях и руководствах имена разделов часто сокращаются до HK + первые буквы имени, например, вы можете увидеть такую запись: HKLM/Software, что соответствует HKEY_LOCAL_MACHINE/Software.

Где хранятся файлы реестра

Файлы реестра хранятся на системном диске в папке Windows/System32/Config — файлы SAM, SECURITY, SYTEM и SOFTWARE содержат информацию из соответствующих разделов в HKEY_LOCAL_MACHINE.

Данные из HKEY_CURRENT_USER хранятся в скрытом файле NTUSER.DAT в папке «Users/Имя_пользователя» на компьютере.

Создание и изменение разделов и параметров реестра

Любые действия по созданию и изменению разделов и значений реестра можно выполнить, обратившись к контекстному меню, появляющемуся по правому клику по имени раздела или в правой области со значениями (или по самому ключу, если его требуется изменить.

Ключи реестра могут иметь значения различных типов, но чаще всего при правке приходится иметь дело с двумя из них — это строковый параметр REG_SZ (для задания пути к программе, например) и параметр DWORD (например, для включения или отключения какой-либо функции системы).

Избранное в редакторе реестра

Даже среди тех, кто регулярно пользуется редактором реестра, почти нет тех, кто использует при этом пункт меню «Избранное» редактора. А зря — сюда можно добавить наиболее часто просматриваемые разделы. И в следующий раз, для перехода к ним не копаться в десятках имен разделов.

«Загрузить куст» или правка реестра на компьютере, который не загружается

С помощью пункта меню «Файл» — «Загрузить куст» в редакторе реестра вы можете выполнить загрузку разделов и ключей с другого компьютера или жесткого диска. Наиболее часто встречающийся вариант использования: загрузка с LiveCD на компьютере, который не загружается и исправление ошибок реестра на нем.

Примечание: пункт «Загрузить куст» активен только при выборе разделов реестра HKLM и HKEY_USERS.

Экспорт и импорт разделов реестра

Если необходимо, вы можете экспортировать любой раздел реестра, включая подразделы, для этого кликните по нему правой кнопкой мыши и выберите в контекстном меню «Экспортировать». Значения будут сохранены в файле с расширением .reg, который по сути является текстовым файлом и его можно редактировать с помощью любого текстового редактора.

Для импорта значений из такого файла, вы можете просто дважды кликнуть по нему или же выбрать в меню редактора реестра «Файл» — «Импорт». Импорт значений может понадобиться в различных случаях, например, для того, чтобы исправить ассоциации файлов Windows.

Очистка реестра

Многие сторонние программы в числе прочих функций предлагают произвести очистку реестра, что по описанию должно привести к ускорению работы компьютера. Я уже писал статью на эту тему и не рекомендую выполнять подобную очистку. Статья: Программы для очистки реестра — стоит ли их использовать.

Отмечу, что речь идет не об удалении записей вредоносных программ в реестре, а именно о «профилактической» очистке, которая по факту не приводит к повышению производительности, но может привести к сбоям в работе системы.

Дополнительные сведения о редакторе реестра

Некоторые статьи на сайте, которые имеют отношение к редактированию реестра Windows:

А вдруг и это будет интересно:

Поиск в реестре windows, лучшие методы

Добрый день! Уважаемые читатели и гости одного из популярнейших блогов посвященных системному администрированию Pyatilistnik.org. В прошлый раз мы с вами успешно восстановили данные на RAW диске и защищенном GPT разделе, тем самым сохранив свои цифровые активы. Сегодня я вам хочу показать еще одну полезную вещь, которая просто незаменима в практике системного администратора, а именно речь пойдет про поиск в реестре Windows, как его правильнее организовать, какие методы вы можете применять, думаю, что будет интересно.

Методы поиска в реестре Windows

  1. Использование классической утилиты regedit (Редактор реестра)
  2. Regscanner
  3. Registry Finder
  4. Через текстовый редактор
  5. Через PowerShell

Поиск по редактору реестра

  1. Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
  2. В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
  3. или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

У данного метода, как вы можете заметить огромный минус, вы не можете увидеть сразу все ключи по критерию, что не дает полной картины и во вторых данный процесс становится дольше по времени и я его использую, только тогда когда нет нужным мне утилит

Поиск в реестре Windows через regscanner

Regscanner — это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

    1. Для поиска по реестру откройте Regscanner.exe
    2. В окне «Regystry San Options» вы можете выбрать: «Find String» — искомое значение и «Don’t load more than» — количество выводимых строк (максимальное)
    3. Задать временные промежутки, по умолчанию стоит значение «No time filter», означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
    4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
    5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку «Display only data with the following length range» и выбрав например только RED_DWORD

Нажимаем кнопку «Scan» и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

Скачать Registry Finder

  • Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле «Find what» пишем то, что хотим искать. В «Top-level-keys» выбираем разделы реестра для поиска.

  • Нажав кнопку «Data Types» вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

  • Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку «Search only hidden keys«

  • Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

  • Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем «Find».

На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

  • —help — Печатает справочное сообщение.
  • —computerName arg — Указывает имя или IP-адрес компьютера для подключения.
  • —navigate arg — Определяет раздел реестра для навигации. Если для этого параметра установлено значение «буфер обмена», то путь берется из буфера обмена.
  • —reopenLocal arg — Восстановить или не открывать ранние локальные окна реестра при запуске Registry Finder (arg: true или false, по умолчанию true).
  • —reopenRemote arg — Восстановить или не открывать ранее удаленные окна реестра (arg: true или false, по умолчанию true).
  • —dataFolder arg — Определяет папку для хранения настроек и отмены истории.
  • —import arg — Импортирует указанный файл .reg в реестр.
  • Работа всегда выполняется в отдельном экземпляре (то есть подразумевается —multiInst).
  • —importSilent Не отображать подтверждение импорта.
  • —multiInst Когда экземпляр Registry Finder уже запущен, запускается новый экземпляр. По умолчанию запущенный экземпляр активируется вместо запуска другого.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне «Редактора реестра» щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:

@ECHO OFF
TITLE SEARCH REGEDIT
COLOR 0A
ECHO SEARCH…
chcp 1251 > nul
TIME /t > C:\Search_Reg.txt
ECHO HKLM >> C:\Search_Reg.txt
REG QUERY HKLM /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCU >> C:\Search_Reg.txt
REG QUERY HKCU /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCR >> C:\Search_Reg.txt
REG QUERY HKCR /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKU >> C:\Search_Reg.txt
REG QUERY HKU/f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCC >> C:\Search_Reg.txt
REG QUERY HKCC /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt

В результате чего у вас на диске C:\Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:

Get-ChildItem -path HKLM:\ -Recurse | where { $_.Name -match ‘VMware’} | Out-File C:\scripts\regedit.txt


Еще интересная информация по работе с реестром из PowerShell https://docs.microsoft.com/ru-ru/powershell/scripting/samples/working-with-registry-entries?view=powershell-6

На этом у меня все, мы с вами разобрали массу способов поиска ключей в реестре по нужным параметрам. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Редактирование реестра Windows из командной строки — GEEK LIBRARY

Утилита командной строки REG.EXE присутствует во всех версиях операционных систем семейства Windows и используется для добавления, изменения, удаления и просмотра параметров и ключей реестра.

Формат командной строки:

REG < операция > [Список параметров]

REG < операция > [Список параметров]
Операции:

QUERY — поиск и отображение содержимого реестра.
ADD — добавление новых разделов и записей в реестр.
DELETE — удаление разделов и записей из реестра.
EXPORT — экспорт данных реестра в .reg-файл.
IMPORT — импорт данных реестра из .reg-файла.
SAVE — сохранение данных реестра в файл.
RESTORE — восстановление данных реестра из файла.
LOAD — загрузка куста реестра
UNLOAD — выгрузка куста реестра в файл, ранее загруженный операцией LOAD.
COMPARE — сравнение разделов и параметров реестра.
FLAGS — отображение или изменение флагов разделов реестра.
COPY — копирование разделов и записей из реестра.
Код возврата: (за исключением REG COMPARE):
0 – Успешно
1 — С ошибкой

Для каждой операции, задаваемой в командной строке REG, используются свои параметры. Для получения справки по определенной операции введите:

REG < операция > /?

REG < операция > /?

Результат выполнения операции зависит от прав пользователя по отношению к данным реестра. Редактирование реестра является потенциально опасной операцией и при необдуманных или ошибочных действиях может привести к неработоспособности системы. Прежде, чем вносить какие-либо изменения в реестр, нужно сделать его резервную копию и освоить процедуру восстановления системы в случае ее краха по причине неверного содержимого реестра, в том числе, и для случаев, когда загрузку Windows выполнить невозможно.

1. REG QUERY – отобразить содержимое реестра.

Формат команды:

REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s] [/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель]

REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s] [/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель]

Параметры командной строки:

имяраздела — может включать имя удаленного компьютера в формате \компьютер\полноеимяраздела . Если имя компьютера не задано, то по умолчанию используется текущий компьютер. На удаленных компьютерах доступны только разделы HKLM и HKU.полноеимяраздела — путь в форме корневойраздел\подраздел. Корневой раздел — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя раздела реестра в указанном корневом_разделе.

/v — Запросы требуемых параметров в указанном разделе реестра. Если не указано, запрашиваются все параметры раздела. Аргумент этого параметра может быть необязательным, только если задан параметр /f. Это указывает на поиск только в именах параметров реестра.
/ve — Запросы параметра по умолчанию или с пустым именем (по умолчанию).
/s — Запрос всех вложенных подразделов и их параметров (аналогично команде dir /s).
/se — Указание разделителя (длиной в 1 знак) в строке данных для REG_MULTI_SZ. По умолчанию в качестве разделителя используется «\0».
/f — Данные или шаблон для поиска. Если строка содержит пробелы, заключайте ее в кавычки. Значение по умолчанию: «*».
/k — Указывает на поиск только в именах разделов.
/d — Указывает на поиск только в данных.
/c — Указывает на учет регистра знаков при поиске. По умолчанию при поиске регистр знаков не учитывается.
/e — Указывает на возврат только точных совпадений. По умолчанию возвращаются все совпадения.
/t — Указывает тип данных параметра реестра. Допустимые типы: REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE. По умолчанию будут использоваться все типы.
/z — Подробности: отображение числового кода типа имени значения.

Пример:
REG QUERY HKLM\Software\Microsoft\ResKit /v Version — отобразить значение параметра реестра Version

2. REG ADD — добавить или заменить существующий параметр реестра.

Формат команды:

REG ADD &lt;имя_раздела&gt; [/v &lt;имя_параметра&gt; | /ve] [/t &lt;тип&gt;] [/s &lt;разделитель&gt;] [/d данные&gt;] [/f] [/reg:32 | /reg:64]

REG ADD &lt;имя_раздела&gt; [/v &lt;имя_параметра&gt; | /ve] [/t &lt;тип&gt;] [/s &lt;разделитель&gt;] [/d данные&gt;] [/f] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — [\< компьютер >]< раздел >. Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.

Раздел — КОРЕНЬ\< подраздел >. КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.

/v — Имя параметра, добавляемого в выбранный раздел.

/ve — Добавление параметра с пустым именем (по умолчанию) в этот раздел.

/t — Тип данных: [ REG_SZ | REG_MULTI_SZ | REG_EXPAND_SZ | REG_DWORD | REG_QWORD|REG_BINARY | REG_NONE ]. Если не указывается, то по умолчанию используется REG_SZ.

/s — Символ, используемый в качестве разделителя данных для параметров типа REG_MULTI_SZ. Если не указан, то в качестве разделителя используется «\0».

/d — Значение, присваиваемое добавляемому параметру реестра.

/f — Принудительно перезаписывает существующую запись реестра без запроса подтверждения.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG ADD HKLM\Software\MyCo /v Data /t REG_BINARY /d fe340ead — Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead)

3. REG DELETE — удалить существующий параметр реестра.

Формат команды:

REG DELETE <имя_раздела> [/v <имя_параметра> | /ve | /va] [/f] [/reg:32 | /reg:64]

REG DELETE <имя_раздела> [/v <имя_параметра> | /ve | /va] [/f] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — [\< компьютер >]< раздел >. Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.

Раздел — КОРЕНЬ\< подраздел >. КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.

имя_параметра — Имя параметра, удаляемого из выбранного раздела. Если оно опущено, удаляются все подразделы и значения указанного раздела.

/ve — Удаляет пустое имя параметра (по умолчанию).

/va — Удаляет все параметры в указанном разделе.

/f — Выполняет принудительное удаление без запроса подтверждения.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG DELETE HKLM\Software\MyCo\MyApp\Timeout — Удаляет раздел реестра Timeout и все его подразделы и параметры.

4. REG EXPORT — экспорт данных реестра в файл.

Формат команды:

REG EXPORT <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

REG EXPORT <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — в виде КОРЕНЬ\< подраздел > (только локальный компьютер). КОРЕНЬ может быть [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в одном из выбранных корневых разделов.

имя_файла — путь и имя файла в который экспортируются данные реестра.

/y — Выполнение замены существующего файла без запроса подтверждения.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG EXPORT HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\saved\autoruns.reg — экспорт параметров автоматического запуска приложений для всех пользователей системы.

5. REG IMPORT — импорт данных реестра из файла.

Формат команды:

REG IMPORT <имя_файла> [/reg:32 | /reg:64]

REG IMPORT <имя_файла> [/reg:32 | /reg:64]

Параметры командной строки:

имя_файла — путь и имя файла с данными для импорта. Импорт возможен только для локального компьютера.

Пример:

REG IMPORT AppBkUp.reg — Импорт записей реестра из файла AppBkUp.reg

6. REG SAVE — сохранение данных реестра в файл.

Формат команды:

REG SAVE <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

REG SAVE <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — в виде КОРЕНЬ\<подраздел>. КОРЕНЬ может принимать значения [ HKLM | HKCU | HKCR | HKU | HKCC ]. подраздел — Полное имя подраздела реестра в одном из выбранных корневых разделов.

имя_файла — Путь и имя файла сохраняемых данных. Если путь не указан, то файл создается в текущей папке вызывающего процесса.

/y — Выполнение замены существующего файла без запроса подтверждения.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG SAVE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\saved\autoruns.hiv — сохранение параметров автоматического запуска приложений для всех пользователей системы в файл autoruns.hiv в каталоге saved диска C:.

7. REG RESTORE — восстановление данных реестра их файла.

Для восстановления данных реестра используется содержимое файла, созданного при выполнении команды REG SAVE

Формат команды:

REG RESTORE <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

REG RESTORE <имя_раздела> <имя_файла> [/y] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — в виде КОРЕНЬ\<подраздел>. КОРЕНЬ может принимать значения [ HKLM | HKCU | HKCR | HKU | HKCC ]. подраздел — Полное имя подраздела реестра в одном из выбранных корневых разделов.

имя_файла — Путь и имя файла, созданного при выполнении команды REG SAVE. Если путь не указан, то поиск файла выполняется в текущей папке вызывающего процесса.

Пример:

REG RESTORE HKLM\Software\Microsoft\ResKit NTRKBkUp.hiv — восстановить содержимое реестра из файла NTRKBkUp.hiv текущего каталога.

Команды REG IMPORT/EXPORT и REG RESTORE/SAVE близки по назначению, однако используют разные форматы данных.

8. REG LOAD — загрузка данных реестра из файла куста.

Для загрузки используется файл куста реестра, полученный с помощью команды REG SAVE, или другой файл куста реестра, например, скопированный с другого компьютера.

Формат командной строки:

REG LOAD <имя_раздела> <имя_файла> [/reg:32 | /reg:64]

REG LOAD <имя_раздела> <имя_файла> [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела в виде КОРЕНЬ\подраздел (только локальный компьютер). КОРЕНЬ может принимать только [ HKLM | HKU]. подраздел — Имя подраздела реестра, в который загружается файл куста.

имя_файла — путь и имя файла куста, подлежащего загрузке.

Пример:

REG LOAD HKLM\TempHive TempHive.hiv — Загрузка файла TempHive.hiv в раздел HKLM\TempHive

Обычно, команда REG LOAD используется совместно с REG UNLOAD для изменения данных реестра, содержащихся в файле куста.

REG LOAD HKU\TEMP «C:\Documents and Settings\Default User\NTUSER.DAT» — загрузить куст во временный раздел реестра.

REG ADD HKU\TEMP\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v newUserProfile /t REG_EXPAND_SZ /d «D:\setup.cmd» /f — выполнить запись во временном разделе.

REG UNLOAD HKU\TEMP — выгрузить временный раздел. При этом, выполненные изменения содержимого реестра будут сохранены в файле куста.

Загрузка и выгрузка данных с использованием файлов кустов позволяет редактировать данные реестра поддерживаемого формата, в том числе и ”чужой” операционной системы. В качестве файлов кустов можно использовать файлы из каталога \Windows\System32\config\ сторонней Windows, что позволяет восстановить ее работоспособность в некоторых случаях, требующих изменения параметров реестра, при невозможности загрузки и использования собственного редактора.

9. REG UNLOAD — выгрузка данных из реестра.

Формат командной строки:

REG UNLOAD <раздел>

REG UNLOAD <раздел>

Параметры командной строки:

<раздел> Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел (только для локального компьютера).
<КОРЕНЬ> Возможные значения для корневого раздела: [ HKLM | HKU ].
<подраздел> Имя подраздела выгружаемого куста.

Пример:

REG UNLOAD HKLM\TempHive — Выгружает куст TempHive из HKLM.

10. REG COMPARE — сравнение двух разделов данных реестра.

Формат командной строки:

REG COMPARE <имя_раздела_1> <имя_раздела_2> [/v <имя_параметра> | /ve] [вывод] [/s] [/reg:32 | /reg:64]

REG COMPARE <имя_раздела_1> <имя_раздела_2> [/v <имя_параметра> | /ve] [вывод] [/s] [/reg:32 | /reg:64]

Параметры командной строки:

имяраздела в виде [\< компьютер >]< раздел >. компьютер имяраздела в виде КОРЕНЬ\подраздел. Если имя раздела 1 не указано, то имя раздела 2 равно имени раздела 1. КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. подраздел — Полное имя подраздела реестра в одном из выбранных корневых разделов.

имя_параметра — Имя параметра реестра в выбранном разделе, подлежащее сравнению. Если опущено, то сравниваются все параметры в разделе.

/ve — Сравнение параметров раздела с пустым именем (по умолчанию).

/s — Сравнение всех подразделов и параметров.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Вывод — формат выводимых различий — [/oa | /od | /os | /on]
/oa — Вывод всех различий и совпадений.
/od — Вывод только различий.
/os — Вывод только совпадений.
/on — Без вывода.
Если Вывод не задан, то выводятся только различия.

Код возврата:

0 — Успешно, сравниваемые данные идентичны
1 — При обработке произошла ошибка
2 — Успешно, сравниваемые данные отличаются

Примечание:

Символы в начале каждой строки читаются следующим образом:

= данные FullKey1 равны данным FullKey2
< относится к данным FullKey1, если они отличаются от данных FullKey2 > относится к данным FullKey2, если они отличаются от данных FullKey1

Пример:

REG COMPARE HKLM\Software\MyCo\MyApp HKLM\Software\MyCo\SaveMyApp — Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp

Результат сравнения: не совпадают

Операция успешно завершена.


11. REG FLAGS — просмотр, установка и сброс флагов реестра.

Формат командной строки:

REG FLAGS имя_раздела [QUERY | [/reg:32 | /reg:64] REG FLAGS имя_раздела SET [DONT_VIRTUALIZE] [DONT_SILENT_FAIL] [RECURSE_FLAG]] [/reg:32 | /reg:64]

REG FLAGS имя_раздела [QUERY | [/reg:32 | /reg:64]

REG FLAGS имя_раздела SET [DONT_VIRTUALIZE] [DONT_SILENT_FAIL] [RECURSE_FLAG]] [/reg:32 | /reg:64]

Параметры командной строки:

имя_раздела — «HKLM\Software»[\подраздел] (ограничено этими разделами только на локальном компьютере). подраздел — полное имя раздела реестра в узле HKLM\Software.

DONT_VIRTUALIZE DONT_SILENT_FAIL RECURSE_FLAG — Используется вместе с параметром SET; флаги, указанные в командной строке, будут установлены, не указанные — удалены.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG FLAGS HKLM\Software query — Отображает текущие флаги раздела HKLM\Software.

Пример отображаемой информации о флагах:

HKEY_LOCAL_MACHINE\Software
REG_KEY_DONT_VIRTUALIZE: CLEAR
REG_KEY_DONT_SILENT_FAIL: CLEAR
REG_KEY_RECURSE_FLAG: CLEAR

Операция успешно завершена.


12. Команда REG COPY — копирование ключей реестра операционной системы Windows
Формат командной строки:

REG COPY <раздел1> <раздел2> [/s] [/f]

REG COPY <раздел1> <раздел2> [/s] [/f]

Параметры командной строки:

REG COPY <раздел> Имя раздела в формате: [\Компьютер]Путь

<компьютер> Имя удаленного компьютера, если оно опущено, то по умолчанию считается равным имени локального компьютера. Для удаленных компьютеров доступны только HKLM и HKU.
<путь> Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел. <КОРЕНЬ> Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
<подраздел> Полный путь к разделу реестра в выбранном корневом разделе./s Копировать все подразделы и параметры.
/f Принудительное копирование без дополнительного предупреждения.
Командная строка команда REG COPY

Пример:
REG COPY \ZODIAC\HKLM\Software\MyCo HKLM\Software\MyCo1 Копирует все параметры раздела MyCo с компьютера ZODIAC в раздел MyCo1 на локальном компьютере