Реестр виндовс: Что такое реестр Windows 10/8/7 ?

Содержание

Что такое системный реестр Windows


Реестр Windows - это иерархически построенная централизованная база данных в составе операционной системы, которая содержит сведения, использующиеся операционной системой для работы с пользователями, программными продуктами и устройствами. В системном реестре хранятся профили всех пользователей компьютера, сведения об установленных программах и создаваемых ими файлах, а также информация об установленном оборудовании.

Во время работы компьютера операционная система постоянно обращается к системному реестру: записывает и считывает оттуда информацию, сверяет системные файлы и так далее. При запуске ОС происходит до тысячи обращений к системному реестру.

Значение системного реестра

Системный реестр является одним из наиболее важных компонентов операционной системы Windows. От того, насколько корректны настройки реестра, зависит эффективность работы ОС и ее быстродействие, а при серьезном повреждении реестра операционная система даже перестанет запускаться. Именно по этой причине вирусные программы, проникнув в компьютер пользователя, в первую очередь пытаются внести свои изменения в реестр или даже испортить его.

Что представляет собой системный реестр

Системный реестр Windows состоит из пяти частей:

  • HKEY_CLASSES_ROOT – данная ветка содержит сведения, необходимые для запуска программ, установленных в системе.
  • HKEY_CURRENT_USER – тут хранится информация о текущем пользователе компьютера, его личных настройках и файлах.
  • HKEY_LOCAL_MACHINE – данный раздел содержит сведения об аппаратной части компьютера, подключенных устройствах и их драйверах.
  • HKEY_USERS – здесь находятся данные обо всех профилях пользователей операционной системы.
  • HKEY_CURRENT_CONFIG – в данной ветви содержится информация о профиле оборудования, которое компьютер использует для запуска системы.

Физически системный реестр Windows находится в папке Windows\System32\config.

Управление системным реестром

Наиболее известный и распространенный инструмент для управления реестром – это стандартный Редактор реестра Windows, входящий в состав любого дистрибутива ОС. Для вызова Редактора реестра следует открыть окно Выполнить (Win+R) и вписать в него команду

regedit.

Интерфейс Редактора реестра представляет собой обычное окно Windows, поделенное на две части: слева находится панель разделов реестра, а справа – панель параметров.

Предосторожности

При работе с Редактором системного реестра будьте предельно осторожны – изменение некоторых параметров может привести к нестабильной работе или даже к отказу операционной системы! Если вам нужно выполнить редактирование системного реестра, было бы хорошо заблаговременно сделать точку восстановления системы, а потом уже приступать к изменению параметров реестра.

Воспользуйтесь услугой нашей компании профилактическое обслуживание компьютеров.

Трюки с реестром Windows. Часть 1

Реестр Windows, как известно, представляет собой настоящую сокровищницу всевозможных "тонких" настроек операционной системы и различных ее компонентов, а раз так, то неплохо бы было досконально изучить его на предмет чего-нибудь вкусненького и заодно полезного. Чему, собственно, и посвятим сегодняшний материал. Не будем пользоваться специальными программными утилитами-твикерами, а постараемся "покопать" в этом направлении вручную.
Перед тем как перейти к делу, спешим напомнить, что реестр является наиболее уязвимым элементом Windows, и любое некорректное вмешательство в его недра может частично лишить "форточки" работоспособности или вообще отправить систему на "тот свет".

Реестр Windows, как известно, представляет собой настоящую сокровищницу всевозможных "тонких" настроек операционной системы и различных ее компонентов, а раз так, то неплохо бы было досконально изучить его на предмет чего-нибудь вкусненького и заодно полезного. Чему, собственно, и посвятим сегодняшний материал. Не будем пользоваться специальными программными утилитами-твикерами, а постараемся "покопать" в этом направлении вручную.
Перед тем как перейти к делу, спешим напомнить, что реестр является наиболее уязвимым элементом Windows, и любое некорректное вмешательство в его недра может частично лишить "форточки" работоспособности или вообще отправить систему на "тот свет".

Поэтому, чтобы не лить потом в три ручья горькие слезы, рекомендуем перед началом экспериментов создать резервную копию реестра.

Сделать это можно несколькими способами:

  • Экспортировать с помощью редактора реестра (Пуск -> Выполнить... -> regedit.exe), либо, набрав в командной строке regedit.exe /E c:\all.reg, скопировать все ветки реестра в файл all.reg.
  • Воспользоваться программой архивации и восстановления системы (Пуск -> Программы -> Стандартные -> Служебные -> Архивация данных), входящей в стандартную поставку многих ОС Windows.
  • Взять на вооружение какую-либо специализированную программу, например, jv16 PowerTools 2006.

И последнее замечание. Все нижеследующие манипуляции с реестром рассчитаны главным образом на систему Windows популярной линейки 2000/XP/2003, для других версий ОС эффективность приведенных советов не гарантируется.
Что ж, пожалуй, начнем.

Очистка файла подкачки после завершения работы

Во время своей работы Windows активно использует файл подкачки pagefile.sys, перенаправляя в него данные, не умещающиеся в оперативной памяти компьютера. Естественно, после плодотворной и творческой работы, часть информации (порой и конфиденциального характера) может в нем осесть. Поэтому, чтобы не оставлять злоумышленнику не единого шанса, запускаем редактор реестра, находим ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management и присваиваем параметру ClearPageFileAtShutdown значение "1". Все.

Важно лишь помнить, что пользоваться этим маниакальным средством нужно лишь в случае действительно крайней необходимости, потому как в обычной жизни активация этой функции Windows может только навредить нервной системе пользователя, которому рано и поздно порядком поднадоест томительное ожидание перезагрузки или отключения компьютера.

С появлением миниатюрных, доступных по цене USB-носителей вопрос информационной безопасности стал как никогда актуальным. Ведь, посудите сами, практически любой сотрудник офиса без особого труда, озлобившись на все и вся, может унести любую информацию из корпоративной сети, тем самым, нанеся ощутимый финансовый урон компании. Одним из эшелонов обороны от таких недоброжелательных пользователей является блокирование записи данных на внешние USB-диски.
Для активации этой функции находим в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control раздел StorageDevicePolicies (если такового ключа нет, то создаем его) и формируем в нем DWORD-параметр WriteProtect со значением "1" (включено) или "0" (отключено), после чего закрываем редактор реестра и перезагружаем компьютер для активации изменений.

Замечание. Данная "фича" работоспособна только на Windows XP с установленным вторым сервис-паком.

К редактированию списка проинсталлированных приложений, ютящегося в меню "Панель управления -> Установка и удаление программ", иногда прибегают опытные пользователи для наведения там порядка и удаления "мертвых" ссылок на стертые ранее приложения. К тому же, подобная опция вполне пригодится для защиты от случайной деинсталляции того или иного программного обеспечения.

Впрочем, от слов - к делу. Чистка списка достигается путем удаления соответствующих разделов ветки HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall (см. скриншот).

Автоматический вход в Windows

В случае если за компьютером работает только один пользователь, то сэкономить время при загрузке операционной системы поможет функция автоматического входа в Windows. Тут, правда, есть два "но": первое - не стоит забывать об информационной безопасности своего рабочего места (ведь доступ к вашим файлам и документам сможет получить любой человек), второе - логин и пароль, указанные в качестве идентификационных параметров, хранятся в реестре и не шифруются.

Схема настройки следующая. Находим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и там работаем со следующими строковыми параметрами (если некоторые из них отсутствуют, то их необходимо создать):

  • значение AutoAdminLogon ставим равным "1"
  • в DefaultUserName указываем имя пользователя, в поле DefaultPassword его пароль
  • при наличии домена в сети корректируем параметр DefaultDomainName

Сохраняем изменения и пользуемся на здоровье.

Автор: Андрей Крупин

Ещё статьи о Windows

    • Разрядность Windows

      Многие пользователи ПК слышали о разрядности Windows, но далеко не каждый может сказать, что же это такое. Разрядность ОС может быть 32-битной или 64-битной. Если вы не установили на ваш компьютер 64-х разрядную версию Windows, ваша...

    • Основные правила выбора принтера этикеток для магазина...

      Основные правила выбора принтера этикеток для магазина Ни один серьезный супермаркет или магазин не может обойтись без этикеток на реализуемых товарах. Самым же эффективным способом их изготовления является применение специального...

    • Настройка бэкапа данных "1С:Бухгалтерии"...

      Недавно у меня, как, наверное, и у многих других системных администраторов, возникла необходимость ежедневного сохранения копии данных "1С:Бухгалтерии" на другой жесткий диск с глубиной давности в семь дней. Что это значит? А то, что на...

    • Безопасное шифрование данных в NTFS

      Как показывает практика, от применения шифрования очень часто страдают сами пользователи, а не взломщики. Если система неожиданно "упадет" (а это рано или поздно случается), то восстановить данные будет практически невозможно.Чтобы...

    • Трюки с реестром Windows часть 3

      Обычно при наборе в адресной строке IE какой-нибудь фразы, не соответствующей формату интернет-адреса, браузер передает эту строку установленному в параметрах онлайновому поисковику от Microsoft (auto.search.msn.com). Однако, отдавая...

    • Трюки с реестром Windows часть 1

      Реестр Windows, как известно, представляет собой настоящую сокровищницу всевозможных "тонких" настроек операционной системы и различных ее компонентов, а раз так, то неплохо бы было досконально изучить его на предмет чего-нибудь...

Реестр Windows: всё, что нужно знать для работы

В этом каталоге собраны основные настройки реестра операционной системы Windows для различных её поколений. Рассмотрена работа непосредственно с реестром, как ускорить в нём работу, автоматизировать создание файлов реестра и внедрение файлов реестра внутрь вашей системы. Рассмотрены инструменты, позволяющие сделать реестр Windows более дружелюбным и понятным каждому.

 Коротко про реестр: из чего реестр состоит? В статье описывается сам реестр, из чего состоит, что такое ключи и ветви, и за что они отвечают.

 

 

 

Как запретить доступ к реестру? Редактирование реестра – вещь сколь полезная, столь и опасная. Запретите посторонним редактирование реестра Windows.

 

Не удаётся удалить ключ реестра. Ошибка при удалении раздела. Причины такой “ошибки” могут быть разными: от нехватки прав для группы пользователей, к коей ваша учётная запись принадлежит до блокирующей реестр службы, программы или драйвера. В статье приведены различные подходы к разрешению этого вопроса.

 Создаём копию реестра: сохраняемся на случай сбоя. Реестр Windows ошибок не любит, а потому делайте копию. Всего реестра или отдельных разделов, в которых работаете и чьи ветви и кусты редактируете. Пригодится.

 

 

Редактор реестра не запускается или зависает. Если вы столкнулись с проблемой, когда Regedit.exe работает с перебоями или не запускается вообще, вы можете попробовать заменить его с помощью программы со стороны либо попробовать починить встроенными средствами Windows.

 

 

_______________________________________________________________________________________________________________________

Папка RegBack в Windows 10: копия жизненно важных файлов реестра. В Windows 7 эта папка регулярно сохраняла для нас копии пяти основных файлов реестра. Однако в Windows 10 этого по умолчанию не происходит. Я решил эту проблему вот таким образом…

 

Как восстановить реестр Windows 7/8.1/10? В статье показывается пара простых способов, с помощью которых любой из пользователей может восстановить реестр (и саму Windows) быстро и просто без применения дополнительных программ, флешек и дисков с помощью лищь системных утилит.

 

 

Как отредактировать удалённый реестр? Что, если для исправления ошибки в Windows, которая уже не загружается, вам нужно поправить лишь один-два параметра? Но как то сделать – ведь доступа к Windows уже нет… У вас есть сразу несколько вариантов доступа к удалённому реестру системы, даже если та уже неработоспособна.

___________________________________________________________________________

Как проверить что изменяет реестр? Если вы столкнулись с ситуацией, когда какая-то программа или пользователь изменяют реестр “без спроса”, вам стоит приготовить средство контроля за параметрами реестра. Оно поможет узнать кто или что и где меняет параметры и ключи.

 

______________________________________________________________________________________

 

 Как проверить изменения в реестре без перезагрузки Windows? После прочтения статьи вы узнаете, что не обязательно перезагружать операционную систему для просмотра только проделанных твиков.

 

 

 Как создать файл реестра самому? Здесь показано как правильно создавать файлы реестра Windows, какой порядок добавления символов в файле необходим, и как сделать так, чтобы реестр Windows понял, чего от него хотят.

 

 

Как превратить файл реестра в программу? Здесь приводится описание маленьких и бесплатных утилит, с помощью которых вы можете превратить файл реестра Windows в .exe или .vbs файлы.

 

 Как удалить программу через реестр? У вас возникли проблемы с установкой или удалением программы? В статье описывается малоизвестная возможность удалить программу из Windows через реестр.

 

 

 Как быстро найти нужную ветку реестра? Большое количество ресурсов в сети предлагают готовые решения для ваших проблем. Но искать нужную ветку где-то глубоко в недрах реестра порой очень долго. Оставьте эту проблему в прошлом.

 

 

 Самые опасные ветви реестра. На что нацелится хакер, решив уничтожить вашу Windows? С какими разделами реестра лучше не шутить? Заполните пробелы в знаниях о нервной системе Windows.

Успехов 

Как и когда чистить реестр Windows: инструкция для чайников

Большинство современных программ для ускорения работы компьютера оборудовано модулем, позволяющим чистить реестр Windows. Полезность этой функции вызывает оживлённые споры среди специалистов. Мы рассмотрим основные преимущества регулярного удаления неактуальных записей и предупредим о возможных рисках. Из этого руководства вы также сможете узнать о популярных приложениях для оптимизации системного реестра и научиться их использовать.

Зачем чистить реестр Windows

Системный реестр — это обширная база данных, в которой хранится большинство настроек установленных программ и самой Windows. Распределение информации в нём построено на иерархическом принципе. Существует пять веток с данными, названия которых начинаются буквами «HKEY». В каждой ветке находится структура каталогов с различным уровнем вложенности. В папках на последних уровнях содержатся сами записи. Они состоят из названия, типа данных (всего существует 11 различных типов) и самого значения.

Необходимость очистки возникает из-за неправильного удаления приложений, сбоев в работе системы и деятельности вирусов. В этих случаях появляются ошибки реестра. Например, ссылки на несуществующие файлы. Очистка является довольно рискованной операцией. Даже самые надёжные программы не всегда могут произвести достаточно глубокий анализ, чтобы определить, какие изменения повлечёт удаление той или иной записи. Поэтому рекомендуется всегда сохранять бэкапы (резервные копии) удалённых данных.

Стоить отметить, что не все эксперты по оптимизации системы разделяют мнение о полезности очистки реестра. Многие отмечают, что такая процедура бесполезна, и эффект от неё скорее психологический. Якобы, пользователи получают чувство удовлетворения от того, что «вынесли мусор» в Windows. Другие специалисты утверждают, что очистка действительно способна повлиять на скорость загрузки и бесперебойность в работе системы. Так или иначе, окончательный выбор остаётся за вами.

Как чистить реестр

В связи с разветвлённостью и сложной структурой, очистка в ручном режиме — не самая лучшая затея. Даже при наличии обширных знаний и понимания принципов работы Windows, ни один человек не сможет проанализировать все записи и правильно выбрать те, которые нужно удалить. Но иногда возникает потребность в удалении некоторых значений в определённых ветках. Для этого используется специальный редактор. Чтобы его запустить, откройте меню «Пуск» и введите название «regedit». Кликните по найденной стоке и подтвердите запуск от имени администратора.

Важный совет! При внесении любых изменений руководствуйтесь готовыми инструкциями. Не удаляйте параметры наугад, чтобы не нарушить работоспособность Windows или программ, для которых редактируются значения.

При необходимости комплексной очистки применяются отдельные приложения. Большинство из них требует установки на компьютер, но некоторые также имеют портативные версии. Данные программы отличаются наличием дополнительных функций, таких как удаление временных файлов Windows, очистка жёстких дисков, активный мониторинг системы. Наиболее популярны следующие утилиты:

  • CCleaner — оптимизирует систему, позволяет чистить реестр Windows и временные файлы;
  • Wise Registry Cleaner;
  • Reg Organizer;
  • Registry Recycler;
  • EasyCleaner;
  • Auslogics Registry Cleaner.

В каких случаях необходимо чистить системный реестр

Единственного конкретного ответа на этот вопрос нет. Ошибки и неактуальные данные накапливаются в базе настроек Windows постепенно, поэтому запускать средство очистки нужно регулярно. Особое внимание стоит уделить оптимизации записей после массовой установки и удаления программ. Это связано с тем, что подобные операции вносят большое количество изменений в реестр. Воспользоваться утилитой для очистки также можно в качестве вспомогательной меры устранения медленной работы системы.

В редких случаях чистить устаревшие записи приходится из-за сбоев при установке программ. Например, после некорректного удаления антивируса (если были убраны не все данные) может возникнуть проблема при попытке следующей установки этой же программы. В этом случае придётся в ручном режиме или при помощи специализированных утилит стереть следы предыдущей установки. Однако, в большинстве современного ПО для Windows такие конфликты решаются автоматически.

Необходимые программы для очистки реестра

При выборе приложения, выполняющего эту функцию, следует ориентироваться на четыре основных критерия:

  1. Удобство и простота интерфейса.
  2. Скорость работы.
  3. Эффективность (глубина анализа и правильность выбора неактуальных записей).
  4. Наличие дополнительных модулей.

CCleaner

Эта бесплатная программа, разработанная британской компанией Piriform, является лидером среди подобного софта. Она работает быстро и позволяет сохранять резервные копии удалённых записей. Чтобы компьютер работал с максимальной производительностью и без сбоев, не ограничивайтесь только этой функцией приложения. Рекомендуется использовать и другие возможности CCleaner: регулярно чистить временные файлы, отключать автоматический запуск ненужного ПО и стирать остаточные данные, сохраняющиеся в системе после удаления других программ.

Для запуска проверки целостности реестра перейдите на вторую вкладку в левом меню. Во второй колонке будут отображаться типичные проблемы и сферы поиска, с которыми работает CCleaner. По умолчанию здесь установлены все галочки. Оставьте их отмеченными, если у вас нет особых требований для анализа данных. В противном случае отключите ненужные пункты, чтобы сканирование выполнялось быстрее. Нажмите на кнопку «Поиск проблем» и дождитесь, пока в строке статуса будет значение 100%.

Если ранее вы не чистили Windows с использованием подобных утилит, количество найденных ошибок может исчисляться десятками или даже сотнями. Перед их исправлением приложение позволит убрать флажки напротив тех строк, которые нужно игнорировать. Сделайте это, если хотите оставить определённые параметры без изменений. Далее нажмите кнопку «Исправить выбранное» в правом нижнем углу интерфейса. Появится диалоговое окно, предлагающее сохранить бэкап модифицированных значений.

Не игнорируйте эту возможность. Выберите вариант «Да» и укажите путь в файловой системе компьютера, по которому будет сохранена резервная копия. Для большей надёжности запишите файл «.reg» с перечнем внесённых правок на сторонний накопитель — флешку или внешний HDD. Чтобы восстановить данные с такого файла, будет достаточно запустить его и подтвердить внесение изменений. Удалённые через CCleaner записи будут возобновлены.

Обратите внимание! При появлении проблем с загрузкой может возникнуть ситуация, при которой у вас не получится воспользоваться созданным бэкапом. В этом случае запустите компьютер в безопасном режиме и откройте нужный файл. После этого перезагрузите Windows и используйте ПК в нормальном режиме.

После сохранения на всплывающем окне будут поочерёдно отображаться найденные ошибки и предложения по их решению. Чтобы пропустить отдельное значение, нажимайте кнопку «>>» слева. Для выполнения рекомендуемых действий жмите «Исправить». Чаще всего действия сводятся к удалению сбойных ключей, поэтому приложение позволяет эффективно чистить записи. Также можно воспользоваться пакетным режимом, выбрав действие «Исправить отмеченные». При этом будут откорректированы все обнаруженные неполадки.

Reg Organizer

Российская утилита, имеющая расширенные возможности для работы с реестром Windows. Продвинутые функции открываются после приобретения лицензии, но основные действия доступны и в пробной версии. Как и предыдущее приложение, Reg Organizer позволяет удалять ненужные временные данные, накопившиеся при работе ОС. Но самыми интересными и полезными инструментами здесь являются именно те, которые помогают чистить и настраивать реестровые файлы. По сравнению с CCleaner, в Reg Organizer их гораздо больше.

В частности, следует отметить функцию оптимизации. Так как ключи и конкретные значения хранятся в наборе файлов, время от времени проявляется их фрагментация — неравномерное распределение по поверхности жёсткого диска, влияющее на скорость доступа. Оптимизация поможет упорядочить файлы. Её запуск производится через раздел на вкладке «Для всех пользователей» в меню слева. Система предупредит о необходимости перезагрузки, выполняемой автоматически по завершении работы средства. Кликните выделенный на скриншоте пункт, чтобы запустить процесс.

Для опытных пользователей пригодится функционал сравнения снимков реестра. Он помогает отслеживать изменения, вносимые программами и самой Windows. При необходимости вы сможете сравнить сохранённое состояние с текущим. Данная возможность особенно полезна после установки ПО. Она позволяет оценить, насколько глубоко приложение интегрируется в систему и какие ключи оно затрагивает. По этим данным можно эффективно чистить записи с применением другого встроенного инструмента.

Easy Cleaner

Простая и удобная программа, которая отлично справляется со своими задачами, несмотря на устаревший интерфейс. Easy Cleaner распространяется бесплатно и работает даже на самых слабых компьютерах. Помогает чистить реестровые ветви, удаляя неактуальные значения. Среди недостатков выделяется отсутствие продвинутой системы резервного копирования. Список изменений сохраняется в файле «html», но создание готового бэкапа в формате «reg» здесь недоступно.

Чтобы чистить устаревшие записи, откройте Easy Cleaner и выберите самый первый раздел в меню доступных опций. Появится окно с пустой таблицей. В нижней части этого окна кликните «Найти», чтобы заполнить таблицу списком устаревших ключей. Утилита запустит поиск, который продлится немного дольше, чем при использовании предыдущих приложений. Когда таблица будет заполнена и статус в строке состояния дойдёт до 100%, вы сможете выбрать найденные значения и удалить их, нажав на третью кнопку слева. Также можно стереть сразу все найденные ключи.

Важно! Разработчик этого приложения рекомендует использовать его для очистки ненужных ветвей как минимум раз в неделю.

Полезное видео: Как очистить реестр в Windows 10

Что такое системный реестр Windows?

Официальное издание компании Microsoft – Microsoft Computer Dictionary – определяет системный реестр Windows (Windows Registry, регистр Windows) как иерархическую централизованную базу данных, используемую в операционных системах Microsoft, начиная с версии Microsoft Windows 98, и предназначенную для хранения сведений, необходимых для настройки операционной системы, для работы с пользователями, программами и устройствами.

Таким образом, системный реестр Windows – прежде всего основа операционной системы, огромная база данных настроек, хранящихся в папках %SystemRoot%\System32\Config и папке пользовательских профилей (Ntuser.dat). Без него операционная система была бы просто набором программ, неспособных выполнить даже простейшие функции ОС. Все, включая любые детали конфигурационных данных, размещено в системном реестре. Все хранящиеся в реестре данные представлены в стандартизированной форме и четко структурированы согласно предложенной разработчиками Windows иерархии. Информация в системном реестре хранится в бинарном, то есть в двоичном представлении, что позволяет не только помещать туда значительно больший объем различных данных, но и существенно увеличить скорость работы с ним.

В системном реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах. К этим данным операционная система постоянно обращается во время загрузки, работы и ее завершения. Многие программы хранят не только данные о своих настройках в реестре, но и данные об их регистрации, особенно это касается пробных («триальных») версий, которые истечение пробного срока проверяют через системный реестр Windows.

В случае установки или удаления каких бы то ни было устройств, приложений, данных о пользователях или системных компонентов информация о подобных изменениях записывается в реестр и считывается оттуда в ходе каждой загрузки операционной системы. Неудивительно, что со временем размер системного реестра постоянно увеличивается, что отрицательно сказывается и на времени доступа к нему. При удалении многие программы оставляют за собой недействительные более ключи, неверные ссылки, а это приводит к тому, что в реестре Windows появляется огромное количество мусора, также отрицательно сказывающегося на времени доступа.

Изучение работы операционной системы дало информацию, что во время запуска системы происходит до тысячи обращений к системному реестру, а во время работы на ПК в течение одного сеанса работы – до 10 тысяч. Из этого можно сделать вывод: от того, какие именно параметры указаны в реестре, во многом зависят возможности операционной системы, ее быстродействие и алгоритм работы всего компьютера в целом.

Сказанное выше приводит и к следующему выводу: некорректное изменение хранящейся в системном реестре информации вполне способно нарушить работоспособность Windows. Достаточно допустить ошибку в записи значения какого-либо ключа или параметра, и пользователь больше не сможет загрузить компьютер. Именно по этой причине разработчики ОС заметно ограничили доступ к реестру Windows, и редактировать его параметры, касающиеся безопасности, могут только пользователи ОС, имеющие в системе учетную запись администратора.

Теперь о том, в каком виде хранится реестр в операционной системе. Его версии для разных операционных систем семейства Windows имеют определенные различия. Например, в Windows 98 файлы системного реестра называются User.dat и System.dat. В Windows Millennium Edition — Classes.dat, User.dat и System.dat.

Реестр Windows XP и более старших версий устроен несколько сложнее. Хотя в программах просмотра реестра он представляется нам в виде единой базы данных, но на физическом уровне реестр неоднороден и состоит из множества файлов, каждый из которых отвечает за собственный объем представленной в этой базе информации.

Некоторые из отображаемых в системном реестре сведений никогда не сохраняются на диске в виде физических файлов, а помещаются в память компьютера в процессе его загрузки и утрачиваются в момент отключения питания. Такие разделы реестра получили название энергозависимых (volatile). В частности, к энергозависимым разделам реестра Windows относятся данные, в которых аккумулируются сведения о подключенном в системе оборудовании и назначенных различным устройствам ресурсах: запросах на прерывание (IRQ), каналах прямого доступа к памяти (DMA) и диапазонах ввода/вывода (I/O Range). Поскольку опрос, инициализация устройств и динамическое распределение ресурсов производятся именно в ходе загрузки Windows, все эти сведения хранятся непосредственно в памяти компьютера: при следующем запуске машины состав оборудования может оказаться уже другим.

Прочие компоненты реестра Windows, хранящие данные о конфигурации операционной системы, ее настройках и параметрах, содержатся в системной папке %systemroot%\System32\Config. Файлы, включающие сведения о профилях пользователей Windows XP, хранятся в папке %systemroot%\Profiles. И наконец, все данные, относящиеся к каким-либо конкретным настройкам системы для каждого пользователя, а также данные об их персональной конфигурации рабочей среды представлены в папках %Drive%\Documents and Settings\%UserName%, где %Drive% — имя дискового раздела, на котором установлена Windows XP, а %UserName% — папка, имя которой соответствует имени одного из зарегистрированных в системе пользователей. Дополнительные сведения о локальных пользователях Windows по умолчанию содержатся в папке %Drive%\Documents and Settings\LocalService, а данные о настройках системы для удаленных пользователей — в папке %Drive%\Documents and Settings\NetworkService.

С появлением 64-х разрядных операционных систем появились различия и в их системных реестрах – реестры 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista подразделяется на 32- и 64-разрядные разделы. При этом большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот.

Где находятся файлы реестра Windows в Windows 10/8/7?

Реестр Windows – это централизованная база данных конфигурации для Windows NT и Windows 2000, а также для приложений. В реестре хранится информация о параметрах настройки, конфигурации устройства и пользовательских настройках.

На диске реестр Windows – это не просто один большой файл, а набор отдельных файлов, называемых кустами. Каждый куст содержит дерево реестра, ключ которого служит корнем (т. Е. Отправной точкой) дерева. Подключи и их значения находятся под корнем.

Расположение файлов реестра Windows


Расположение этих кустов реестра:

HKEY_LOCAL_MACHINE \ SYSTEM: \ system32 \ config \ system
HKEY_LOCAL_MACHINE \ SAM: \ system32 \ config \ sam
HKEY_LOCAL_MACHINE \ SECURITY: \ system32 \ config \ security
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ: \ system32 \ config \ software
HKEY_USERS \ UserProfile: \ winnt \ profile \ username
HKEY_USERS.DEFAULT: \ system32 \ config \ default

Поддерживаются следующие файлы:

Некоторые ульи нестабильны и не имеют связанных файлов. Система создает и управляет этими ульями полностью в памяти; поэтому ульи носят временный характер. Система создает изменчивые ульи каждый раз, когда система загружается. Примеры:

HKEY_LOCAL_MACHINE \ HARDWARE: Волатильный улей
HKEY_LOCAL_MACHINE \ SYSTEM \ Clone: ​​ Волатильный улей

Эти файлы являются файлами базы данных, и только RegEdit, Regedit32 и Kernel32 могут их читать. Основным инструментом в Windows 10/8/7 для работы непосредственно с реестром является редактор реестра. Чтобы получить к нему доступ, просто введите Regedit в строке поиска меню «Пуск» и нажмите Enter!

Если вам нужно больше узнать об этом, зайдите в TechNet!

ОБНОВЛЕНИЕ: AccidentalADMIN сделал полезный комментарий. Он говорит:

Каждая Windows имеет ключ реестра, в котором перечислены все ульи в системе. Запустите regedit , чтобы открыть редактор реестра, и перейдите к следующему ключу, чтобы получить полный список:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ hivelist

В разделе «Реестр» вы также можете посмотреть, интересуют ли вас некоторые из этих ссылок:

  • Как сделать резервную копию реестра Windows
  • Как отслеживать изменения в реестре
  • Ограничить или восстановить доступ, заблокировать конкретного пользователя, изменить права доступа в реестре
  • Как открыть несколько экземпляров реестра в Windows.

Реестр Windows 98. Операция на сердце

…при попытке установить в компьютер звуковую карту Sound Blaster AWE64 появилось сообщение: «Обнаружено новое устройство: две платы AWE32»…

Кошмарный сон юзера

Реестр Windows 98 — своеобразная база данных, где хранится почти вся информация о настройке компьютера, программного обеспечения и самой всенародно любимой и повсеместно используемой операционной системы. Физически реестр расположен в двух файлах: SYSTEM.DAT и USER.DAT, находящихся в системной папке C:\Windows, а если на компьютере зарегистрировано несколько пользователей, то каждый из них имеет ещё и свой собственный файл User.dat, который вы найдёте в директории C:\WINDOWS\Profiles\имя_пользователя. Работа с системным реестром и изменение различных параметров, в нём содержащихся, осуществляется либо стандартной утилитой из комплекта Windows — Registry Editor, изначально скрытой от глаз и рук неопытных пользователей в виде файла C:\WINDOWS\REGEDIT.EXE, либо с помощью её аналогов от независимого производителя (например, редактора, входящего в состав Norton Utilities 2000), которые, в основном, даже более удобны.

В силу особой важности этих данных для операционной системы и установленных приложений, реестр, возможно, является самым главным компонентом Windows. От отсутствия ошибок в нём во многом зависит живучесть и устойчивость работы «Виндов». К сожалению, официальной информации о многих его разделах и параметрах очень мало. Главным образом, вся она сосредоточена в книгах независимых авторов — исследователей этой ОС, причём в названиях этих талмудов часто фигурирует порождённая продуктами метаболизма Microsoft фраза «Недокументированные возможности…». Связано это, видимо, с опасениями разработчиков Windows, что неквалифицированные пользователи своими действиями по редактированию (или изучению) реестра нарушат работоспособность и без того капризной и хрупкой системы. Но, тем не менее, даже в реестре только что установленной Windows имеется куча мелких ошибок, не особенно критичных, но которые всё-таки желательно устранить. Если же вы часто устанавливаете себе на ПК новые программы, а не заинтересовавшие вас с лёгким сердцем потом удаляете, то резко возрастает риск появления самых разных «глюков», связанных с тем, что производителей программного обеспечения не очень заботит мусор в реестре, оставляемый их творениями после деинсталляции, и то, как изменения реестра, вносимые их разработками, влияют на другие программы и работу всей ОС.

Кроме того, настроить операционную систему на максимальную отдачу, можно либо вручную редактируя реестр, либо используя программы типа WinBoost 2000 Gold [1], которые просто упрощают и автоматизируют этот процесс, но не в состоянии вместить в себя все настройки, доступные через обычное редактирование этой базы данных. Поэтому умение «общаться» на «ты» с реестром входит в минимальный набор знаний, необходимых грамотному пользователю.

Вообще, всю работу с реестром следует условно разделить на четыре основных категории: его регулярное резервирование и восстановление в случае крупного сбоя; устранение в нём ошибок и отслеживание всех изменений, вносимых программами при установке; ручное изменение некоторых параметров, недоступных из Панели Управления для тонкой настройки системы; сокращение его размеров.

Начнём с самой главной операции — резервирования реестра. Только зная, как сохранить работоспособную копию этой базы данных и восстановить её потом в случае серьёзных неполадок, вы избежите утомительной многочасовой переустановки операционной системы и всех программ, на неё «навешанных». «Винды98» ежедневно (при первой удачной загрузке) сами автоматически сохраняют реестр и некоторые другие критичные файлы в компрессированном виде для возможности его последующего восстановления — это файлы C:\WINDOWS\SYSBCKUP\rb00x.cab. Количество копий реестра по умолчанию ограничено пятью, однако, изменив параметр «MaxBackupCopies» в INI-файле C:\WINDOWS\SCANREG.INI, отвечающем за конфигурацию программы сканирования, оптимизации и восстановления реестра Registry Checker (Проверка Реестра — C:\WINDOWS\Scanregw.exe), которая собственно и осуществляет это резервирование, вы можете довести это число аж до 100. Если вы не пожалеете ради максимальной надёжности на это мегабайт двести дискового пространства, то всегда будет шанс избавиться от подкравшегося незаметно «глюка» — ведь причина его появления могла иметь место и месяц назад, но до поры до времени вы не замечали никаких проблем, а архива с рабочей копией реестра уже не останется — слишком много прошло времени и хорошие копии давно заменены «браком». С помощью какого-нибудь архиватора типа WinZip легко посмотреть содержимое файлов rb00x.cab и использовать их в случае лёгкой неполадки, когда «Must Die» ещё жив. В режиме MS-DOS реестр восстанавливается из этих архивов командой «SCANREG /RESTORE», после которой вы получите возможность выбрать, из какой резервной копии надо извлечь реестр.

Можно вручную регулярно создавать текстовую копию реестра с помощью команды «REGEDIT /E REGTXT.REG», введённой в строке «Выполнить» кнопки «Пуск». После её выполнения на рабочем столе появится файл REGTXT.REG, являющийся этой самой резервной копией. Для восстановления из него реестра надо будет загрузить DOS и набрать в командной строке уже «REGEDIT /C REGTXT.REG». Эту операцию полезно проводить иногда и с абсолютно «здоровым» реестром, так как после неё файлы USER.DAT и SYSTEM.DAT уменьшаются в размере килобайт на сто-двести. Это один из немногих способов сократить их размер, хотя и сама Windows 98 иногда решает, что реестр слишком распух, и Regisry Checker проводит его оптимизацию. Учтите, что если в режиме эмуляции MS-DOS у вас не будет загружен ДОСовский драйвер кэширования диска SMARTDRIVE, то этот процесс займет аж несколько часов! Итак, перед тем, как приступить к дальнейшим действиям по редактированию реестра, обязательно сделайте его резервную копию! Хотя бы просто скопируйте его файлы в надежное место — потом вернёте их в системную папку в случае неудачи.

Теперь посмотрим, что в реестре можно безболезненно подчистить. Мусора и неиспользуемых данных в реестре очень много, главным образом из-за экспериментов с установкой-удалением различных «шароварных» программ, «нарытых» на огромной Интернет-свалке. Сложно сказать, насколько влияет на скорость работы и загрузки Windows неконтролируемое его разбухание, но тем, кто не хочет, чтобы центральная база данных системы содержала абсолютно ненужную и никогда не потребующуюся в будущем информацию, а также желающим сократить размер его файлов до оптимального минимума, я посоветую просмотреть ветви реестра

  • HKEY_CURRENT_USER\SOFTWARE
  • HKEY_LOCAL_MACHINE\Software
  • HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings

— там вы найдёте множество ключей, оставленных давно уже удалёнными программами, а следовательно, совершенно бесполезных. Удалять этот мусор, возможно немного замедляющий работу системы, приходится вручную, по названиям ключей, соответствующих «чикнутым» программам. Ещё больше мусора — в разделе

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder

хранящем информацию о порядке расположения папок и ярлыков в меню «Пуск». Внимательно просмотрите его и удалите папки, в действительности отсутствующие в аналогичной ветви меню «Пуск».

Гораздо грамотнее не чистить реестр, пытаясь понять, что в нём уже лишнее, а не допускать его загрязнения, отслеживая все изменения, вносимые при инсталляции каждой программы. Для этого отлично подойдет небольшая утилита Ashampoo99 Deluxe [2] или какой-нибудь другой деинсталлятор. Подобные служебные программы, которые в обязательном порядке должны быть на каждом компьютере, покажут не только все изменения в реестре, но и обратят ваше внимание на замену системных файлов, на ненужные файлы, «забытые» удалёнными программами в папке C:\windows\System и избавят вас от нудной переустановки операционной системы после фатального воздействия на неё очередного творения доморощенных любителей Microsoft Visual Basic. Просто при удалении очередной «шаровары», воспользуйтесь не стандартным системным диалогом «Установка/Удаление Программ», а специализированным деинсталлятором, который справится с этим на порядок лучше, не оставив ни следа в реестре и на винчестере от ненужной программы.

Утилиты, отслеживающие изменения реестра, помогут вам и на следующей стадии оптимизации реестра — устранении всевозможных ошибок. Здесь уже бывает сложнее определить верное решение, но многие ошибки регулярно повторяются, хорошо известны и не представляют особых проблем. Например, часто пользователи неправильно удаляют установленные приложения, просто выбрасывая папки с файлами в корзину, а иногда и их разработчики допускают недочёты, из-за чего в меню «Установка и удаление программ» остаются неработающие команды для деинсталляции и без того отсутствующих приложений. В таком случае удалите эти команды в разделе реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall

вручную или с помощью утилит Add/Remove Pro [3] и Tweak UI. Другие ошибки найти в реестре сложнее, так как для этого надо использовать программу мониторинга обращений к реестру RegMon [4]. Если с её помощью проследить за всеми параметрами, запрашиваемыми «глючным» приложением, то, пошевелив немного мозгами, можно определить, что надо в нём подправить. Как правило, параметры в реестре имеют достаточно понятные сокращённые наименования, и несложно догадаться, какой из них за что отвечает.

Вот ещё один пример устранения «виндовых» недоделок с помощью реестра. Когда вы открываете неизвестный тип файла, появляется окно диалога «Открыть с помощью…», предлагающее выбрать из обширного списка наиболее подходящее приложение для открытия нового файла. Если вы внимательно просмотрите этот список, то найдете и в нём программы, давно удалённые с компьютера. Чтобы исправить этот непорядок с фиктивными записями, надо запустить поиск в реестре, задав ключевым словом название запускного файла отсутствующей программы. В данном случае нас интересуют только записи в разделе HKEY_CLASSES_ROOT, и то не все, а лишь строки вида HKEY_CLASSES_ROOT\ТИП_ФАЙЛА\shell\open\command с упоминанием искомой программы. Дело в том, что часто при удалении приложения, даже если файловые ассоциации меняются (у файла изменяется тип, например, был ACDSee.BMP, а после удаления ACDSee32, он стал опять открываться Пайнтом и теперь его тип снова — Paint.Picture), всё равно остаются записи о командах, зарегистрированных с удалённым типом файлов. Вот эти команды на вызов затёртой программы и содержатся в указанных строках реестра, и именно их и сканирует система при выдаче диалога «Открыть с помощью…». Следовательно, для удаления фиктивных записей, надо просто удалить эти строки. И опять надо быть очень внимательным, чтобы не наделать ещё больше ошибок, удалив ненароком что-нибудь нужное.

К счастью, не всё надо удалять ручками, применяя только редактор реестра. Есть программы, сильно облегчающие и ускоряющие поиск причин появления «глюков» и гораздо больше подходящие для простых пользователей. С помощью WinDoctor'a из пакета Norton Utilities вы проверите реестр (и не только его) на наличие самых разных ошибок. Только исправлять их тоже надо очень осторожно, самостоятельно выбрав оптимальное решение из предлагаемого списка, или вручную, открыв RegEdit. Например, если WinDoctor не нашёл какой-то файл, а решение видит только одно — удалить неверную ссылку в реестре, то лучше поискать файл самому или, с помощью входящей в комплект Windows 98 утилиты System File Checker (Проверка Системных Файлов), извлечь его с компакт-диска Windows (разумеется, если ссылка в реестре относится к все ещё установленной на ваш компьютер программе). Другая программа от «мелкомягких»: RegClean — сама удаляет ошибки без диалога с пользователем и находит их даже больше, чем WinDoctor (правда и ошибается чаще), при этом в качестве «UNDO» создаётся простой REG-файл, позволяющий просмотреть и отменить внесённые изменения. Найти её можно на FTP-сервере Microsoft. О многих других «глюках», устраняемых через изменения параметров в реестре, вы узнаете подробнее по адресу search.support.microsoft.com/kb/ [5], где находится большущая база данных по лечению некоторых проблем с Windows и с приложениями для неё. Правда, несмотря на огромное количество выявленных «глюков», нет гарантии, что вы найдёте здесь ответы на свои вопросы: есть мнение, что известные и вполне устранимые недоработки — всего лишь верхушка айсберга проблем, порождённых желанием Microsoft как можно быстрее выпускать на рынок свои творения, чтобы сокращать расходы и удерживать полную монополию на рынке основных программных продуктов.

Конечно, Панель Управления не в состоянии удовлетворить все запросы по «подгонке» операционной системы под ваши конкретные вкусы и нужды. Поэтому, рано или поздно большинство пользователей приходит к пониманию необходимости изучать правила работы с реестром и искать информацию о параметрах, в нём содержащихся. Настройка системы с помощью реестра — довольно небезопасное занятие: ошибка может наглухо «завесить» Windows, и даже в режиме Защиты от сбоев («Safe Mode») вы свой ПК не загрузите. Спасёт только восстановление реестра со старыми, «доглючными» параметрами из его, предусмотрительно припасённого, резерва. Но, тем не менее, если очень хочется — то можно (помнится, была такая реклама). Тем более, что некоторые разделы нужно знать просто наизусть, например, приложения, которые всегда загружаются при старте Windows, вы увидите в ветвях:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Наверняка вы найдёте там программы, которые вам не нужны, и их загрузка только замедляет работу компьютера. Правда, используя Программу Настройки Системы (System Configuration Utility — msconfig.exe), вы тоже легко уберёте из этих разделов любую строку, но разделы

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

она не отображает, а ведь именно здесь иногда прописывают себя запускаемые для конспирации только один раз «троянцы».

Безусловно, быстрее, удобнее и безопаснее использовать для «разгона» и тонкой настройки системы небольшие специализированные утилиты типа WinBoost2000 Gold или TweakUI, которые в совокупности позволяют менять более 300 различных параметров, но невозможно объять необъятное, так что и эти очень мощные программы не дадут вам доступ ко многим настройкам системы. В короткой журнальной статье не рассказать обо всех интересных ключах и разделах, но вот, например, наиболее важные, относящиеся к некоторым установкам оболочки Windows.

Команды контекстного меню, выпадающего, если нажать правую кнопку мыши на ссылке в Internet Explorer, редактируются или удаляются в разделе:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt

а отредактировать или удалить кнопки в панели инструмениов Internet Explorer и команды в его меню «Tools» можно в разделе

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions

В контекстное меню сразу всех файлов вы добавите единую команду или измените уже имеющиеся в разделе:

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

Аналогично, вы легко отредактируете команды, содержащиеся в вызываемом правой кнопкой мыши контекстном меню папок — в разделах реестра

  • HKEY_CLASSES_ROOT\Directory\shell
  • HKEY_CLASSES_ROOT\Folder\shell

а для дисков — в разделе

HKEY_CLASSES_ROOT\Drive\shell

Если хотите, к примеру, чтобы файлы неизвестных типов открывались Блокнотом или каким-нибудь шестнадцатеричным редактором, то задайте команды на это в ключе

HKEY_CLASSES_ROOT\Unknown\shell

Гораздо больше вы узнаете о параметрах операционной системы и основных, самых распространённых программ для Windows на сайтах в Интернете: members.aol.com/axcel216/ [6], www.regedit.com [7], www.halcyon.com/cerelli/tips.htm [8]. Здесь вы прочитаете статьи разного уровня сложности — от самых основ вроде типов параметров, применяемых для хранения данных в реестре, до последних «открытий» и советов других пользователей со всего мира. Совсем не лишним будет и проштудировать хорошую книгу о реестре Windows 98, например работу Гюнтера Борна, которая так и называется — «Реестр Windows 98» из популярной серии книг «Мастер» — тираж ещё не распродан. Многие вещи в ней описаны даже гораздо подробнее, чем на специализированных Интернет-сайтах. Словом, не останавливайтесь в своём развитии, ищите новую информацию, экспериментируйте с настройками и программами, продолжайте изучать любимые «форточки».

Ссылки
  1. www.magellass.com
  2. www.ashampoo.com
  3. www.superwin.com
  4. www.sysinternals.com
  5. search.support.microsoft.com/kb/
  6. members.aol.com/axcel216/
  7. www.regedit.com
  8. www.halcyon.com/cerelli/tips.htm
Реестр Windows

(что это такое и как его использовать)

Реестр Windows - это набор баз данных параметров конфигурации для операционных систем Microsoft Windows.

Для чего используется реестр Windows?

Registry Hives (Windows 10).

В реестре Windows хранится большая часть информации и настроек программного обеспечения, аппаратных устройств, пользовательских настроек и конфигураций операционной системы.

Например, когда установлена ​​новая программа, новый набор инструкций и ссылок на файлы может быть добавлен в реестр в определенном месте для программы и другие, которые могут взаимодействовать с ней, для получения дополнительной информации, например, где находятся файлы. расположены, какие опции использовать в программе и т. д.

Во многих отношениях реестр можно рассматривать как своего рода ДНК операционной системы Windows.

Не обязательно, чтобы все приложения Windows использовали реестр Windows. Некоторые программы хранят свои конфигурации в XML или других типах файлов вместо реестра, а другие полностью переносимы и хранят свои данные в исполняемом файле.

Как получить доступ к реестру Windows

Доступ к реестру Windows и его настройка осуществляется с помощью программы Registry Editor , бесплатной утилиты редактирования реестра, включенной по умолчанию в каждую версию Microsoft Windows, начиная с Windows 95.

Редактор реестра - это не программа, которую вы загружаете. Вместо этого к нему можно получить доступ, выполнив regedit из командной строки или из поля поиска или выполнения в меню «Пуск». См. «Как открыть редактор реестра», если вам нужна помощь.

Редактор реестра - это лицо реестра, позволяющее просматривать и вносить изменения в реестр, но не сам реестр. Технически реестр - это собирательное имя для различных файлов базы данных, расположенных в каталоге установки Windows.

Как использовать реестр Windows

Реестр содержит значения реестра (которые являются инструкциями), расположенные в разделах реестра (папки, содержащие дополнительные данные), все в одном из нескольких кустов реестра (папок, которые классифицируют все данные в реестре с помощью подпапок). Внесение изменений в эти значения и ключи с помощью редактора реестра изменяет конфигурацию, которой управляет определенное значение.

Внесение изменений в значения реестра решает проблему, отвечает на вопрос или каким-либо образом изменяет программу:

На реестр постоянно ссылаются Windows и другие программы.Когда вы вносите изменения почти в любой параметр, изменения также вносятся в соответствующие области реестра, хотя иногда эти изменения не реализуются, пока вы не перезагрузите компьютер.

Учитывая, насколько важен реестр Windows, очень важно сделать резервную копию изменяемых частей, , прежде чем вы измените их . Файлы резервных копий реестра Windows сохраняются как файлы REG.

См. Раздел Как создать резервную копию реестра Windows, чтобы узнать, как создавать резервные копии вручную.Кроме того, на всякий случай, вот наш учебник «Как восстановить реестр Windows», в котором объясняется, как импортировать файлы REG обратно в редактор реестра.

Доступность реестра Windows

Реестр Windows и программа Microsoft Registry Editor доступны почти во всех версиях Microsoft Windows, включая Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2000, Windows NT, Windows 98 и Windows 95.

Несмотря на то, что реестр доступен почти в каждой версии Windows, между ними существуют очень небольшие различия.

Реестр Windows заменил autoexec.bat, config.sys и почти все файлы INI, содержащие информацию о конфигурации в MS-DOS и в очень ранних версиях Windows.

Где хранится реестр Windows?

Файлы реестра SAM, SECURITY, SOFTWARE, SYSTEM и DEFAULT, среди прочего, хранятся в более новых версиях Windows (от Windows XP до Windows 10) в папке % SystemRoot% \ System32 \ Config \ .

Более старые версии Windows используют папку % WINDIR% для хранения данных реестра в виде файлов DAT.Windows 3.11 использует только один файл реестра для всего реестра Windows, который называется REG.DAT .

Windows 2000 хранит резервную копию системного ключа HKEY_LOCAL_MACHINE, который используется для устранения проблемы с существующим ключом.

Спасибо, что сообщили нам!

Расскажите, почему!

Другой Недостаточно подробностей Трудно понять

Что такое реестр Windows и как его редактировать?

Реестр Windows на первый взгляд пугает.Это место, где опытные пользователи могут изменять настройки Windows, недоступные в других местах. Когда вы ищете, как что-то изменить в Windows, вы часто найдете статьи, в которых вам предлагается отредактировать реестр.

Если вам нужно отредактировать реестр, не волнуйтесь. Внести изменения в реестр несложно, если вы знаете, какой параметр изменяете. Однако вы должны быть осторожны при редактировании реестра Windows, так как вы можете создать непредвиденные проблемы.

Что такое реестр Windows?

Реестр Windows - это база данных, в которой хранятся самые разные параметры конфигурации.Здесь хранятся почти все параметры конфигурации, включенные в Windows. Сторонние программы также могут использовать реестр для хранения своих настроек, хотя они также могут сохранять настройки в файлах конфигурации - выбор остается за каждой программой.

Многие параметры, представленные в реестре, недоступны в других частях Windows. Существует множество дополнительных настроек, которые нельзя изменить без редактирования реестра.Некоторые из этих параметров доступны через групповую политику Windows, но редактор групповой политики Windows доступен только для профессиональных версий Windows. Если вы используете непрофессиональную версию Windows, редактирование реестра Windows, вероятно, единственный способ изменить некоторые из этих параметров.

Редактор реестра Windows - это графический интерфейс для реестра Windows, который позволяет просматривать и редактировать его содержимое.

Как открыть реестр Windows

Предупреждение: Я советую соблюдать крайнюю осторожность при редактировании реестра Windows.Не прыгайте в редактор реестра и не начинайте удалять все, что хотите. Не изменяйте никакие записи реестра, не зная точно, что вы собираетесь редактировать. Если вы знаете, что делаете, и внимательно редактируете только правильные значения, у вас не должно возникнуть никаких проблем.

Однако, если вы начнете удалять, редактировать и настраивать ключи реестра, вы можете повредить установку Windows и не восстановить ее. Только полная переустановка восстановит вашу систему на этом этапе, и вы можете потерять много данных в процессе.(Хотя можно сбросить реестр Windows.)

Чтобы открыть редактор реестра, введите regedit в строке поиска меню «Пуск» и выберите вариант «Лучшее совпадение».

Как отредактировать реестр Windows

Если вы знаете конкретное значение, которое хотите изменить, вы можете перемещаться по древовидной структуре реестра Windows.

Щелкайте стрелки, чтобы открывать следующую ветку папок, пока не найдете то, что ищете.Например, если я хочу отредактировать параметр контекстного меню «Добавить в список воспроизведения VLC», щелкнув правой кнопкой мыши, я бы перешел к HKEY_CLASSES_ROOT \ Directory \ shell \ AddToPlaylistVLC, разворачивая каждую ветвь папки, пока не достигнете конечного значения.

Кроме того, вы можете использовать функцию поиска в редакторе реестра. Нажмите CTRL + F , чтобы открыть «Найти». Затем вы можете ввести ключ, значение или строку данных, которую ищете. Функция поиска в редакторе реестра не всегда возвращает то, что вы ищете.Если он не возвращает значений, вернитесь к ручному поиску. Вы также можете узнать, как открыть реестр Windows для любого ключа без поиска!

Чтобы изменить значение, щелкните имя правой кнопкой мыши и выберите «Изменить». Измените значения данных на подходящие и нажмите ОК.

Как создать новое значение реестра Windows

Иногда вам может потребоваться создать новое значение реестра. Например, если значение реестра для параметра, который вы хотите изменить, не существует, вы можете его создать.Однако, чтобы новое значение работало, вы должны убедиться, что находитесь в соответствующей папке реестра. Нет смысла помещать новое значение реестра в какую-либо старую папку; это может негативно повлиять на вашу систему или того хуже.

Во-первых, убедитесь, что вы находитесь в правильном месте редактора реестра. Затем щелкните правой кнопкой мыши правую панель и выберите Создать> [тип значения реестра] . Введите имя значения, назначьте ему все необходимые атрибуты и нажмите OK. Звучит расплывчато? Это потому, что вы будете создавать новые значения реестра только для каждого конкретного случая, и существует несколько различных типов значений реестра.По большому счету, вы создадите значение DWORD (32-битное). Но это не всегда так.

Если необходимого вам ключа или папки не существует, создайте правильную структуру папок, создав новые подразделы в каждой папке. Например, если вам нужно изменить значение в Foo \ Bar , создайте ключ «Foo», если он не существует, а затем создайте внутри него ключ «Bar».

Как экспортировать и импортировать файлы реестра Windows

Редактор реестра также поддерживает импорт и экспорт файлов.reg файлы.

Экспорт

Вы можете создавать свои собственные файлы .reg для резервного копирования определенных разделов реестра. Создание резервной копии - отличная идея, если вы собираетесь редактировать реестр. Вы можете создать резервную копию отдельных ключей и значений или всего реестра. Хотя создание резервной копии всего реестра занимает много времени, это не так. Для большинства людей размер реестра составляет сотни мегабайт. Например, весь мой реестр Windows весит 167 МБ, как вы можете видеть ниже:

В любом случае, вернемся к экспорту.Щелкните правой кнопкой мыши раздел реестра (на левой панели) и выберите Export. Содержимое ключа будет сохранено в файл .reg на вашем компьютере.

Импорт

Двойной щелчок по файлу .reg добавит его содержимое в реестр. Добавление файла .reg в реестр упрощает процесс взлома реестра. Вместо того, чтобы создавать или редактировать каждое значение вручную, двойной щелчок по .reg добавляет каждое значение, помещая их в реестр без ошибок.Для многих взломов или изменений реестра вам придется перезагрузить систему, прежде чем изменения вступят в силу.

В Интернете вы найдете файлы .reg. Однако вам не следует загружать и запускать какие-либо старые REG-файлы. Вредоносный файл реестра может испортить ваши системные настройки одним файлом. Перед запуском файла .reg щелкните его правой кнопкой мыши и выберите Изменить . Содержимое файла реестра откроется в Блокноте (или в альтернативном текстовом редакторе), и при двойном щелчке вы увидите, что именно будет установлено.

Понятно, что вы не поймете, для чего предназначена каждая запись. Я тоже не могу. Если вы не уверены, выполните поиск в Интернете соответствующего раздела реестра, чтобы выяснить, является ли он безопасным.

Три полезных взлома реестра, чтобы попробовать

Есть множество удобных хаков и настроек реестра, которые вы можете сделать. Вот три, с которых можно начать.

1. Открыть последнее активное окно на панели задач

Вы когда-нибудь щелкали значок на панели задач и хотели, чтобы он открывал последнее активное окно этой программы? Я так и сделал, поэтому нашел эту настройку реестра, которая «решает» проблему.

Откройте редактор реестра и перейдите к:

  HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Current \ Version \ Explorer \ Advanced  

Затем щелкните правой кнопкой мыши на правой панели и выберите New> DWORD (32-bit) Value . Назовите его LastActiveClick , измените Value Data на 1 и нажмите OK.

2. Удалите кнопку OneDrive из проводника

Еще меня бесит постоянство кнопки OneDrive.Не пользуетесь OneDrive? Вы можете использовать настройку реестра, чтобы удалить кнопку из проводника.

Откройте редактор реестра и перейдите к:

  HKEY_CLASSES_ROOT \ CLSID \ {018D5C66-4533-4307-9B53-224DE2ED1FE6}  

Дважды щелкните System.IsPinnedToNameSpaceTree , установите Value Data на 0 и нажмите OK.

3. Изменить интервал между значками на рабочем столе

Вы когда-нибудь хотели изменить расстояние между значками на рабочем столе? Для этого вы можете использовать настройку реестра Windows!

Откройте редактор реестра и перейдите к:

  HKEY_CURRENT_USER \ Панель управления \ Рабочий стол \ WindowMetrics  

Вам необходимо отредактировать два шага.На левой панели найдите ключ WindowMetrics . На левой панели найдите значения для IconSpacing и IconVerticalSpacing . Первый контролирует интервал по горизонтали, а второй - по вертикали.

Легко ли редактировать реестр Windows?

Редактировать реестр Windows легко - пока вы двигаетесь медленно. Это означает, что не добавляйте случайные файлы реестра без проверки, не связывайтесь со значениями реестра, которые вы не понимаете, и всегда делайте резервную копию перед внесением изменений в реестр.

Хотите еще один совет по реестру Windows? Программа для очистки реестра - это змеиное масло! Но знание того, как использовать реестр, может помочь вам исправить такие проблемы, как ошибка DistributedCOM.

15 команд командной строки Windows (CMD), которые вы должны знать

Командная строка по-прежнему является мощным инструментом Windows.Вот самые полезные команды CMD, которые должен знать каждый пользователь Windows.

Читать далее

Об авторе Гэвин Филлипс (Опубликовано 934 статей)

Гэвин - младший редактор отдела Windows and Technology Explained, постоянный автор Really Useful Podcast и регулярный обозреватель продуктов.У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.

Более От Гэвина Филлипса
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться

Копаем прошлое: новый взгляд на криминалистику реестра Windows

Введение
Консультанты

FireEye часто используют данные реестра Windows при проведении криминалистического анализа компьютерных сетей в рамках операций по реагированию на инциденты и оценке компрометации.Это может быть полезно для обнаружения вредоносной активности и определения того, какие данные могли быть украдены из сети. В реестре присутствует множество различных типов данных, которые могут свидетельствовать о выполнении программы, настройках приложений, устойчивости вредоносных программ и других ценных артефактах.

Проведение криминалистического анализа прошлых атак может быть особенно сложной задачей. Продвинутые постоянные злоумышленники часто используют методы защиты от судебной экспертизы, чтобы скрыть свои следы и усложнить работу специалистов по реагированию на инциденты.Чтобы предоставить нашим консультантам самые лучшие инструменты, мы пересмотрели существующие методы судебной экспертизы реестра и определили новые способы восстановления исторических и удаленных данных реестра. Наш анализ был сосредоточен на следующих известных источниках исторических данных реестра:

  • Журналы транзакций реестра (.LOG)
  • Журналы транзакций реестра транзакций (.TxR)
  • Удаленные записи в кустах реестра
  • Система резервного копирования ульев (REGBACK)
  • Ульи, резервные копии которых созданы с помощью восстановления системы
Формат реестра Windows

Реестр Windows хранится в виде набора файлов куста.Ульи - это двоичные файлы, содержащие простую файловую систему с набором ячеек, используемых для хранения ключей, значений, данных и связанных метаданных. Кусты реестра читаются и записываются на страницах по 4 КБ (также называемых корзинами).

Подробное описание формата куста реестра Windows см. В этом исследовательском документе и на этой странице GitHub.

Журналы транзакций реестра (.LOG)

Для максимальной надежности реестра Windows может использовать журналы транзакций при выполнении записи в файлы реестра. Журналы действуют как журналы, в которых хранятся данные, записываемые в реестр, прежде чем они будут записаны в файлы куста.Журналы транзакций используются, когда кусты реестра невозможно записать напрямую из-за блокировки или повреждения.

Журналы транзакций записываются в файлы в том же каталоге, что и соответствующие кусты реестра. Они используют то же имя файла, что и улей, с расширением .LOG. Windows может использовать несколько журналов, в этом случае будут использоваться расширения .LOG1 и .LOG2.

Дополнительные сведения о формате журнала транзакций см. На этой странице GitHub.

Журналы транзакций реестра

были впервые представлены в Windows 2000.В исходном формате журнала транзакций данные всегда записываются в начале журнала транзакций. Растровое изображение используется, чтобы указать, какие страницы присутствуют в журнале, и страницы следуют по порядку. Поскольку начало файла часто перезаписывается, очень сложно восстановить старые данные из этих журналов. Поскольку при каждом использовании в журнал транзакций будут записываться разные объемы данных, старые страницы могут оставаться в файле при многократном использовании. Однако расположение каждой страницы необходимо будет определить путем поиска похожих страниц в текущем улье, а вероятность последовательного восстановления данных очень мала.

Новый формат журнала транзакций реестра был представлен в Windows 8.1. Хотя новые журналы используются одинаково, они имеют другой формат. Новые журналы работают как кольцевой буфер, где самые старые данные в журнале перезаписываются новыми данными. Каждая запись в новом формате журнала включает порядковый номер, а также смещение реестра, что упрощает определение порядка записи и места записи страниц. Из-за измененного формата журнала данные перезаписываются гораздо реже, и старые транзакции часто можно восстановить из этих файлов журнала.

Объем данных, которые можно восстановить, зависит от активности реестра. Выборка журналов транзакций из реальных систем показала диапазон восстанавливаемых данных от нескольких дней до нескольких недель. Возможности восстановления в реальном мире могут значительно различаться. Операции с большим объемом реестра, такие как Центр обновления Windows, могут значительно сократить диапазон восстановления.

Хотя новый формат журнала содержит больше восстанавливаемой информации, превратить набор страниц реестра в полезные данные довольно сложно.Во-первых, это требует отслеживания всех страниц в реестре и определения того, что могло измениться при конкретной записи. Также необходимо определить, привело ли это изменение к чему-то, чего нет в более поздних версиях улья, чтобы оценить, содержит ли он уникальные данные.

В нашем текущем подходе к обработке файлов транзакций реестра используется следующий алгоритм:

  1. Сортировать все записи по порядковому номеру по убыванию, чтобы в первую очередь обрабатывать самые последние записи.
  2. Выполните синтаксический анализ выделенных и нераспределенных ячеек, чтобы найти выделенные и удаленные записи.
  3. Сравните записи с исходным ульем. Любые записи, которых нет, помечаются как удаленные и регистрируются.
Пример журнала транзакций

В этом примере мы создаем параметр реестра в разделе «Выполнить», который запускает вредоносное ПО, когда пользователь входит в систему.


Рисунок 1. Злоумышленник создает значение в клавише «Выполнить»

Позже вредоносная программа будет удалена из системы.Перед удалением значение реестра перезаписывается.


Рисунок 2: Вредоносное значение перезаписывается и удаляется

Хотя удаленное значение все еще существует в кусте, существующие инструменты судебной экспертизы не смогут восстановить исходные данные, поскольку они были перезаписаны.


Рисунок 3. Перезаписанное значение присутствует в кусте реестра

Однако в этом случае данные все еще присутствуют в журнале транзакций и могут быть восстановлены.


Рисунок 4: Журнал транзакций содержит исходное значение

Журналы транзакций реестра транзакций (.TxR)

В дополнение к журналу журнала транзакций существуют также журналы, используемые подсистемой реестра транзакций. Приложения могут использовать реестр транзакций для атомарного выполнения операций с составным реестром. Это чаще всего используется установщиками приложений, поскольку упрощает откат неудачной операции.

Журналы реестра транзакций

используют формат Common Log File Sytstem (CLFS).Журналы хранятся в файлах вида .TxR. .regtrans-ms. Для пользовательских ульев эти файлы хранятся в том же каталоге, что и улей, и удаляются при выходе пользователя из системы. Однако для системных кустов журналы хранятся в% SystemRoot% \ System32 \ config \ TxR, и журналы не очищаются автоматически. В результате обычно можно восстановить исторические данные из системных журналов транзакций.

Формат журналов транзакций недостаточно изучен или задокументирован.Microsoft предоставила общий обзор журналов и API CLFS.

Поэкспериментировав, мы смогли определить основной формат записи. Мы можем идентифицировать записи для создания и удаления ключей реестра, а также записи и удаления значений реестра. Соответствующий путь ключа, имя значения, тип данных и данные присутствуют в записях журнала. См. Приложение для получения подробной информации о формате записи журнала транзакций.

Хотя большая часть данных, содержащихся в журналах транзакций реестра, не представляет особой ценности для расследования вторжений, в некоторых случаях эти данные могут оказаться полезными.В частности, мы обнаружили, что создание и удаление запланированных задач используют транзакции реестра. Анализируя журналы транзакций реестра, мы смогли найти доказательства того, что злоумышленник создал запланированные задачи на действующих системах. Эти данные не были доступны ни в каком другом месте.

Планировщик задач наблюдался с использованием транзакционных операций реестра в Windows Vista через Windows 8.1; планировщик задач в Windows 10 не демонстрирует такого поведения. Неизвестно, почему Windows 10 ведет себя иначе.

Пример транзакционного реестра

В этом примере мы создаем запланированную задачу. В запланированной задаче периодически запускаются вредоносные программы.


Рисунок 5: Создание запланированного задания для запуска вредоносного ПО

Информация о запланированной задаче сохраняется в реестре.


Рисунок 6: Запись реестра, созданная планировщиком задач

Поскольку запланированная задача была записана в реестр с использованием транзакционных операций реестра, копия данных доступна в журнале транзакций реестра транзакций.Данные могут оставаться в журнале и после того, как запланированное задание было удалено из системы.


Рисунок 7. Вредоносная запланированная задача в журнале TxR

Восстановление удаленной записи

Помимо журналов транзакций, мы также изучили методы восстановления удаленных записей из файлов куста реестра. Мы начали с углубленного анализа некоторых распространенных методов, используемых сегодня судебно-медицинскими инструментами, в надежде найти более точный подход.

Восстановление удаленной записи требует анализа ячеек реестра в файлах куста.Это относительно просто. FireEye имеет ряд инструментов, которые могут читать необработанные файлы кустов реестра и анализировать соответствующие ключи, значения и данные из ячеек. Восстановить удаленные данные сложнее, потому что некоторая информация теряется при удалении элементов. Требуется более сложный подход, чтобы справиться с возникающей двусмысленностью.

При парсинге ячеек есть только одно общее поле: размер ячейки. Некоторые типы ячеек содержат идентификаторы магических чисел, которые могут помочь определить их тип.Однако другие типы ячеек, такие как списки данных и значений, не имеют идентификаторов; их типы должны быть выведены по ссылкам из других ячеек. Кроме того, размер данных в ячейке может отличаться от размера ячейки. В зависимости от типа ячеек может потребоваться использовать информацию из ссылочных ячеек для определения размера данных.

При удалении элемента реестра его ячейки помечаются как нераспределенные. Поскольку ячейки не перезаписываются немедленно, удаленные элементы часто можно восстановить из кустов реестра.Однако нераспределенные ячейки могут быть объединены со смежными нераспределенными ячейками, чтобы максимизировать эффективность обхода. Это усложняет восстановление удаленных ячеек, поскольку размеры ячеек могут быть изменены. В результате исходные границы ячеек не определены должным образом и должны определяться неявно путем изучения содержимого ячеек.

Существующие подходы к восстановлению удаленных записей

Обзор общедоступной литературы и исходного кода выявил существующие методы восстановления удаленных элементов из файлов кустов реестра.Обычно встречались вариации следующего алгоритма:

  1. Поиск по всем нераспределенным ячейкам в поисках удаленных ключевых ячеек.
  2. Найти удаленные значения, на которые есть ссылки, из удаленных ключей.
  3. Поиск по всем оставшимся нераспределенным ячейкам в поисках ячеек с удаленными значениями, на которые нет ссылок.
  4. Найдите ячейки данных, на которые есть ссылки, из всех удаленных значений.

Мы реализовали аналогичный алгоритм, чтобы проверить его эффективность. Хотя этот простой алгоритм смог восстановить многие удаленные элементы реестра, он имел ряд существенных недостатков.Одной из основных проблем была невозможность проверить какие-либо ссылки из удаленных ячеек. Поскольку указанные ячейки могли уже быть перезаписаны или повторно использованы несколько раз, наша программа часто допускала ошибки при идентификации значений и данных, что приводило к ложным срабатываниям и недействительным выводам.

Мы также сравнили вывод программы с популярными инструментами судебной экспертизы реестра. Хотя наша программа дала почти такой же результат, было очевидно, что существующие инструменты судебной экспертизы реестра смогли восстановить больше данных.В частности, существующие инструменты могли восстанавливать удаленные элементы из свободного пространства выделенных ячеек, которые еще не были перезаписаны.

Кроме того, мы обнаружили, что осиротевшие выделенные ячейки также считаются удаленными. Неизвестно, как выделенные ячейки без ссылок могут существовать в кусте реестра, поскольку все связанные ячейки должны быть нераспределены одновременно при удалении. Возможно, что определенные типы сбоев могут привести к тому, что удаленные ячейки не станут нераспределенными должным образом.

Экспериментируя, мы обнаружили, что существующие инструменты реестра могут лучше выполнять проверку, что приводит к меньшему количеству ложных срабатываний.Однако мы также выявили множество случаев, когда существующие инструменты создавали неверные ассоциации удаленных значений и выводили недопустимые данные. Это, вероятно, происходит, когда ячейки повторно используются несколько раз, в результате чего ссылки могут показаться действительными, если их не тщательно исследовать.

Новый подход к восстановлению удаленных записей

Учитывая потенциал для улучшения нашего алгоритма, мы провели серьезную переработку, чтобы восстановить удаленные элементы реестра с максимальной точностью и эффективностью. После многих раундов экспериментов и доработок мы пришли к новому алгоритму, который может точно восстанавливать удаленные элементы реестра при максимальной производительности.Это было достигнуто путем обнаружения и отслеживания всех ячеек в кустах реестра для более точной проверки, обработки свободного пространства ячеек и обнаружения потерянных ключей и значений. Результаты тестирования близко соответствовали существующим инструментам судебной экспертизы реестра, но с лучшей проверкой и меньшим количеством ложных срабатываний.

Ниже приводится краткое изложение улучшенного алгоритма:

  1. Выполните базовый анализ для всех выделенных и нераспределенных ячеек. По возможности определите тип ячейки и размер данных.
  2. Перечислите все выделенные ячейки и выполните следующие действия:
    • Для выделенных ключей найдите списки ссылочных значений, имена классов и записи безопасности. Заполните размер данных ссылочных ячеек. Проверьте предков ключа, чтобы определить, не стал ли ключ потерянным.
    • Для выделенных значений найдите данные, на которые имеются ссылки, и укажите размер данных.
  3. Определите все выделенное свободное пространство ячеек как незанятое.
  4. Перечислить выделенные ключи и попытаться найти удаленные значения в списке значений.Также попытайтесь найти старые удаленные ссылки на значения в резервном пространстве списка значений.
  5. Перечислить нераспределенные ячейки и попытаться найти удаленные ключевые ячейки.
  6. Перечислить нераспределенные ключи и попытаться определить имена классов, записи безопасности и значения, на которые имеются ссылки.
  7. Перечислить незанятые ячейки и попытаться найти ячейки с удаленными значениями, на которые нет ссылок.
  8. Перечислить нераспределенные значения и попытаться найти ячейки данных, на которые имеются ссылки.
Удаленный пример восстановления

Следующий пример демонстрирует, как наш алгоритм восстановления удаленной записи может выполнить более точное восстановление данных и избежать ложных срабатываний.На рисунке 8 показан пример ошибки восстановления данных популярным инструментом судебной экспертизы реестра:


Рисунок 8: Неправильно восстановленные данные реестра

Обратите внимание, что имя ProviderName, восстановленное из этого ключа, было перемешано, поскольку оно относилось к местоположению, которое было перезаписано. Когда наш удаленный инструмент восстановления реестра запускается в том же кусте, он распознает, что данные были перезаписаны, и не выводит искаженный текст. Поле data_present на рисунке 9 со значением 0 указывает, что удаленные данные не могут быть восстановлены из куста.

Ключ: CMI-CreateHive {2A7FB991-7BBE-4F9D-B91E-7CB51D4737F5} \
ControlSet002 \ Control \ Class \ {4D36E972-E325-11CE-BFC1-08002BE192902 Тип: REG_NAME: Тип: REG_NAME: Тип поставщика: value_offset = 0x137FE40) (data_size = 20)
( data_present = 0 ) (data_offset = 0x10EAF68) (deleted_type = UNALLOCATED)

Рисунок 9: Правильно проверенные данные реестра

Резервные копии реестра

Windows включает простой механизм периодического резервного копирования кустов системного реестра.Резервные копии кустов создаются с помощью запланированной задачи RegIdleBackup, запуск которой по умолчанию запланирован каждые 10 дней. Резервные копии кустов хранятся в% SystemRoot% \ System32 \ config \ RegBack. В этом месте хранится только самая последняя резервная копия. Это может быть полезно для изучения недавней активности в системе.

Функция RegIdleBackup впервые была включена в Windows Vista. С тех пор он присутствует во всех версиях Windows, но не запускается по умолчанию в системах Windows 10, и даже когда он запускается вручную, резервные копии не создаются.Неизвестно, почему RegIdleBackup был удален из Windows 10.

Помимо RegBack, данные реестра копируются с помощью функции восстановления системы. По умолчанию моментальные снимки восстановления системы создаются при установке или удалении программного обеспечения, включая обновления Windows. В результате моментальные снимки восстановления системы обычно создаются не реже одного раза в месяц, если не чаще. Хотя известно, что некоторые продвинутые постоянные группы угроз манипулируют моментальными снимками восстановления системы, свидетельства прошлой активности злоумышленника обычно можно найти, если моментальный снимок был сделан в то время, когда злоумышленник был активен.Моментальные снимки восстановления системы содержат все кусты реестра, включая системные и пользовательские.

В Википедии есть полезная информация о восстановлении системы.

Обработка кустов в моментальных снимках восстановления системы может быть сложной задачей, поскольку в системе может быть много моментальных снимков, что приводит к обработке большого объема данных, и часто в кустах между моментальными снимками могут быть только незначительные изменения. Одна из стратегий обработки большого количества моментальных снимков - построить структуру, представляющую ячейки куста реестра, а затем повторить этот процесс для каждого моментального снимка.Все, что не входит в предыдущую структуру, можно считать удаленным и соответствующим образом зарегистрировать.

Заключение

Реестр может предоставить судебному следователю огромное количество данных. Благодаря многочисленным источникам удаленных и исторических данных, в ходе расследования можно составить более полную картину активности злоумышленников. По мере того как злоумышленники продолжают изощряться и совершенствовать свое мастерство, следователям придется адаптироваться, чтобы обнаруживать их и защищаться от них.

Приложение - Журнал транзакций реестра транзакций (.TxR) Формат записи

Журналы транзакций реестра содержат записи в следующем формате:

Смещение

Поле

Размер

0

Магическое число (0x280000)

4

...

12

Размер записи

4

16

Тип записи (1)

4

20

Тип операции реестра

2

...

40

Размер пути ключа

2

42

Размер ключевого пути повторяется

2

Магическое число всегда 0x280000.
Размер записи включает заголовок.
Тип записи всегда 1.

Тип операции 1 - создание ключа.
Тип операции 2 - удаление ключа.
Типы операций 3-8 - запись или удаление значения. Неизвестно, что означают разные типы.

Размер пути ключа находится по смещению 40 и повторяется по смещению 42. Это присутствует для всех типов операций реестра.

Для операций записи и удаления ключей реестра путь к ключу находится по смещению 72.

Для операций записи и удаления значений реестра присутствуют следующие данные:

Смещение

Поле

Размер

56

Размер имени значения

2

58

Размер имени значения повторяется

2

...

72

Тип данных

4

76

Размер данных

4

Данные для записей значений начинаются со смещения 88. Они содержат путь ключа, за которым следует имя значения, за которым могут следовать данные. Если размер данных не равен нулю, запись является операцией записи значения; в противном случае это операция удаления значения.

Демистификация реестра Windows

Введение

Начиная с Windows 95, операционная система Windows использует централизованную иерархическую базу данных для хранения системных настроек, конфигураций оборудования и пользовательских настроек. Эта база данных называется реестром Windows или более широко известным как реестр. Когда на компьютер устанавливается новое оборудование, пользователь изменяет настройки, например фон рабочего стола, или устанавливается новое программное обеспечение, эта информация сохраняется в реестре.Затем операционная система постоянно обращается к этой информации во время своей работы. Хотя понимание реестра даст хорошее представление о внутренней работе вашего компьютера, важно проявлять особую осторожность при работе с реестром, поскольку его неправильное изменение может вызвать проблемы с использованием вашей операционной системы.

Реестр

Реестр - ключевой компонент операционной системы Windows. Это настолько важно, что без него Windows даже не запустилась бы.Когда в Windows устанавливается новое оборудование или программное обеспечение, оно сохраняет свою конфигурацию в реестре. Это позволяет Windows получать эту информацию позже, например, при запуске. При запуске Windows будет считывать конфигурацию в реестре и знать, какие драйверы необходимо загрузить, какие параметры следует применить и какие ресурсы необходимо выделить для работы этого оборудования. Поскольку эта информация хранится в реестре на вашем жестком диске, Windows получает эту информацию при каждой загрузке.

Однако реестр предназначен не только для настроек операционной системы. Пользовательские настройки и настройки приложений также хранятся в реестре. Когда вы меняете фон рабочего стола или заставку, эти данные сохраняются в реестре. Теперь, когда вы закрываете Windows и запускаете ее позже, ваши настройки доступны и загружаются автоматически. Здесь также хранятся настройки приложения, такие как каталог, в который вы хотите загружать файлы или шрифт по умолчанию в текстовом редакторе.Как видите, реестр содержит информацию, которая не только жизненно важна для использования операционной системы, но и позволяет вам настраивать Windows в соответствии с вашими предпочтениями.

Структура реестра

Реестр представляет собой иерархическую структуру, аналогичную той, которую вы видите при просмотре дерева каталогов / файлов на своем компьютере. У вас есть главный ключ, или Hive, с ключами, подразделами и затем значениями. Каждый из них обсуждается ниже:

Ульи - Ульи - это самые верхние части иерархического дерева данных, каждый улей содержит определенную категорию информации.Например, один Hive может содержать конфигурацию, которая применяется к конкретному пользователю, выполнившему вход в систему, а другой Hive будет содержать информацию об оборудовании, установленном на компьютере. В зависимости от версии Windows, которую вы используете, может быть 5 или 6 разных кустов. Ниже мы обозначили 6 возможных ульев:

HKEY_CURRENT_USER (HKCU) -
Этот куст содержит настройки и конфигурацию для конкретного пользователя, который в данный момент вошел в систему.Если другой пользователь вошел в систему на том же компьютере, то информация в этом улье изменится в соответствии с конфигурацией этого конкретного пользователя.
HKEY_LOCAL_MACHINE (HKLM) -
Этот куст содержит конфигурацию реального компьютера. Информация в этом улье остается неизменной независимо от того, какой пользователь в данный момент находится в системе.
HKEY_CLASSES_ROOT (HKCR) -
Этот куст содержит информацию, относящуюся к основному пользовательскому интерфейсу, такую ​​как ассоциации файлов и ярлыки.
HKEY_USERS (HKU) -
Этот куст содержит информацию обо всех пользователях, которые когда-либо входили в систему на этом компьютере.
HKEY_CURRENT_CONFIG (HKCC) -
Этот куст содержит информацию о текущей конфигурации оборудования. Этот улей связан с ульем HKLM.
HKEY_DYN_DATA (HKDD) -
Этот куст можно найти только в Windows 95/98 / ME. Он содержит информацию об оборудовании Plug and Play.Этот улей связан с ульем HKLM.

Ключи - Ключи - это организационная единица в Реестре. Ключи - это контейнеры, которые могут содержать значения или дополнительные подключи. Сами подключи могут содержать дополнительные подключи. Ключи похожи на папки в том, что они могут содержать дополнительные подразделы или файл, или то, что мы называем значениями в реестре.

Значения - Значения содержат фактические данные, которые хранятся в ключе или подразделе. Существует довольно много различных типов значений, которые могут храниться в реестре, но наиболее распространенными являются двоичные значения, строки и значения DWORD.

При визуализации реестра вы должны смотреть на кусты, ключи и подключи как на путь, по которому вам нужно будет пройти, чтобы достичь окончательной сохраненной информации, которая является значением.

Например, значение реестра, определяющее, какой будет ваша начальная начальная страница при использовании Internet Explorer, - это HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \ Start Page , как показано ниже.

Значение начальной страницы

Когда мы разбиваем этот Ключ на его компоненты, мы видим следующее:

HKEY_CURRENT_USER - это куст, с которым связан этот ключ.
Программное обеспечение - это ключ
Microsoft - это подраздел
Internet Explorer - это подраздел
Основная - это подраздел
Начальная страница - Это значение, которое представляет собой фактические данные хранится в. Для этого конкретного значения данные будут начальной страницей, которую вы хотите использовать в Internet Explorer.

Где хранится Реестр

Сам реестр хранится на вашем компьютере в определенных файлах.Ниже мы подробно описываем, какие файлы и их расположение используются для хранения реестра в зависимости от конкретной версии Windows.

Для Windows 10, Windows 8, Windows 7, Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003 файлы реестра хранятся в следующих каталогах:

% SYSTEMROOT% \ System32 \ Config
% USERPROFILE% \ ntuser.dat

Имена файлов реестра:

Сэм, Sam.log, Sam.sav
Безопасность, Security.log, Безопасность.sav
Software, Software.log, Software.sav
System, System.alt, System.log, System.sav
System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
Default, Default.log, Default.sav

В Windows 98 файлы реестра называются User.dat и System.dat и хранятся в каталоге C: \ Windows.

Для Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat и хранятся в каталоге C: \ Windows.

Как редактировать Реестр

Чтобы изменить значения в реестре, вам необходимо использовать программу, называемую редактором реестра.Windows поставляется с программой regedit.exe или иначе известной как редактор реестра. Чтобы запустить эту программу, вы должны нажать кнопку «Пуск», затем выбрать параметр «Выполнить», ввести в поле regedit.exe и нажать кнопку «ОК». Это запустит редактор реестра.

Открытие редактора реестра

Когда вы откроете редактор реестра, вы увидите две панели. Левая панель - это панель навигации. По умолчанию он перечисляет все ульи со знаком + или - рядом с каждым из них. Вы можете щелкнуть +, чтобы развернуть дерево под этим ульем, в котором показаны ключи и подключи.Вы должны продолжать перемещаться по подразделам, пока не достигнете желаемого места, а затем щелкнете по нему один раз, чтобы выделить его. Затем вы увидите на правой панели список значений, связанных с этим ключом.

На скриншоте ниже вы увидите изображение редактора реестра, где я перешел к ключу: HKEY_CURRENT_USER \ Control Panel \ Colors



Рисунок 1. Редактор реестра

На рисунке 1 выше улей, в котором мы находимся, - это HKEY_CURRENT_USER.Ключ - это Панель управления, а Подраздел - Цвета. В правой части показаны все значения, содержащиеся в подразделе «Цвета».

Чтобы изменить значение, дважды щелкните имя значения, и появится экран, подобный изображенному на рисунке 2 ниже.


Рисунок 2: Изменение значения


Затем введите соответствующую информацию в поле «Значение» и нажмите кнопку OK.

Чтобы удалить значения, вместо двойного щелчка по имени значения щелкните значение правой кнопкой мыши и выберите «Удалить».Этот метод также можно использовать для удаления ключей или подключей. Чтобы добавить значение, щелкните пункт меню «Правка», затем выберите «Создать» и выберите соответствующий тип.

Также можно экспортировать и импортировать значения реестра в ваш реестр. Чтобы экспортировать конкретный ключ или подраздел, вы должны один раз щелкнуть по ключу, который вы хотите экспортировать, а затем нажмите «Файл», а затем «Экспорт». Затем выберите каталог и имя файла для экспорта ключа реестра. Точно так же вы также можете импортировать ключи в реестр, нажав «Импорт», а затем выбрав ранее экспортированный файл.

Резервное копирование реестра

Вирусы, шпионское и другое вредоносное ПО могут вызвать повреждение и повреждение реестра. Имея это в виду, важно сделать резервную копию вашего реестра, чтобы вы знали, что у вас есть чистая копия, надежно хранящаяся на жестком диске в случае возникновения чрезвычайной ситуации. Ниже мы изложили шаги по резервному копированию и восстановлению вашего реестра в различных версиях Windows.

См. Это руководство по резервному копированию и восстановлению реестра Windows.

    Заключение

    Понимание и умение делать резервную копию реестра - важная часть обеспечения безопасности и эффективности вашего компьютера. Следует подчеркнуть, что изменение любой части реестра следует производить с особой осторожностью, поскольку неправильное использование реестра может вывести ваш компьютер из строя.

    Как всегда, если у вас есть какие-либо комментарии, вопросы или предложения по этому руководству, не стесняйтесь сообщать нам на справочном форуме по компьютеру .

    Карманное техническое руководство по изучению реестра Windows

  1. Предстоит ли веб-семинар?
  2. Какой часовой пояс? *

    Выберите сеанс

  3. Eloqua Form HTML-имя
  4. Имя *
  5. Фамилия *
  6. Адрес электронной почты *
  7. Ваша отрасль
  8. Рабочий телефон *
  9. Агентство / Организация / Компания *
  10. Какова ваша отрасль? *

    - Пожалуйста, выберите - Граничный контрольБизнес и корпоративное предприятие Оборона и разведка Правительство / Федеральное агентство ПравоприменениеПравоохранительные органы / исправительные учреждения Академический

  11. Должность / должность Экзаменатор и следовательФронтлайн-офицеры / полевые офицерыИммиграционный офицерНачальник отдела расследованийНачальник лабораторииКомандующий персонал / управление агентствомЗакупки / контрактный партнер / интегратор / дистрибьютор

  12. Должность / функция *

    - Пожалуйста, выберите --Аналитик судебной медицины CSOCyber SecurityeDiscoveryInsider ThreatITLegal ProfessionalPartner / Integrator / DistributorProcurement / Contracting

  13. Должность / функция *

    - Пожалуйста, выберите --Forensics AnalystForensics ExaminerInvestigator / DetectiveBeforensics Examiner & Investigator of Front Line Officers / Professional Investigations Дистрибьютор Закупки / Контракт

  14. Должность / функция *

    - Пожалуйста, выберите - Судебно-медицинский аналитик Исследователь / Детектив Кибербезопасность Офицеры на линии / Полевые сотрудники Начальник отдела расследований Начальник отдела LabCommand / Управление агентствомITLegal Профессиональный партнер / Интегратор / Дистрибьютор Должность

  15. Закупки / Подрядчик *

    - Пожалуйста, выберите - Судебный аналитикСледующий / детективКак судебно-медицинский эксперт, так и исследователь onalPartner / Integrator / DistributorProcurement / Contracting

  16. Должность / функция *

    - Пожалуйста, выберите --Forensics AnalystForensics ExaminerInvestigator / DetectiveBorensics Examiner & Investigator Функция *

    - выберите - эксперт-криминалист АфрикаФранцияГерманияСингапурБразилия ---- АфганистанАландские островаАлбанияАлжирАндорраАнголаАнгильяАнтарктикаАнтигуа и БарбудаАргентинаАрменияАрубаАвстрияАзербайджанБахамыБахрейнБангладешБарбадосБеларусьБельгияБелизацияБенина daBhutanBoliviaBonaire, Санкт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanary IslandsCape VerdeCayman IslandsCentral African RepublicCeuta и MelillaChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongo, Демократическая Республика ofCongo, Республика ofCook IslandsCosta RicaCote d'IvoireCroatia / HrvatskaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEast TimorEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland IslandsFaroe IslandsFijiFinlandFrench GuianaFrench PolynesiaFrench Южный TerritoriesGabonGambiaGeorgiaGhanaGibraltarGreeceGreenlandGrenadaGuadeloupeGuatemalaGuernseyGuineaGuinea-BissauGuyanaHaitiHeard и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndonesiaIran (Исламская Республика) IraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Демократическая Peo PLE в RepublicKorea, Республика ofKosovoKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacauMacedoniaMadagascarMalawiMalaysiaMaldivesMaliMaltaMartiniqueMauritaniaMauritiusMayotteMexicoMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmar (Бирма) NamibiaNauruNepalNetherlands AntillesNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorwayOmanPakistanPalestinian TerritoriesPanamaPapua Новый GuineaParaguayPeruPhilippinesPitcairn IslandPolandPortugalPuerto RicoQatarReunion IslandRomaniaRussian FederationRwandaSaint Барта © lemySaint HelenaSaint Киттс и NevisSaint LuciaSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSerbia и MontenegroSierra LeoneSint MaartenSint Маартен (нидерландский часть) Словацкая РеспубликаСловенияСоломоновы островаСомалиЮжная ГрузияЮжный СуданИспанияШри-ЛанкаСт.Пьер и MiquelonSudanSurinameSvalbard и Ян Майен IslandsSwazilandSwedenSwitzerlandSyrian Arab RepublicTaiwanTajikistanTanzaniaThailandTogoTokelauTongaTrinidad и TobagoTunisiaTurkeyTurkmenistanTurks и Кайкос IslandsTuvaluUgandaUkraineUnited Арабские EmiratesUruguayUzbekistanVanuatuVenezuelaVietnamVirgin острова (Британские) Уоллис и FutunaWestern SaharaYemenZambiaZimbabwe

  17. * Государство - Пожалуйста, выберите --AlaskaAlabamaArkansasArizonaCaliforniaColoradoConnecticutDistrict из ColumbiaDelawareFloridaGeorgiaHawaiiIowaIdahoIllinoisIndianaKansasKentuckyLouisianaMassachusettsMarylandMaineMichiganMinnesotaMissouriMississippiMontanaNorth CarolinaNorth DakotaNebraskaNew HampshireNew JerseyNew MexicoNevadaNew YorkOhioOklahomaOregonPennsylvaniaRhode IslandSouth CarolinaSouth DakotaTennesseeTexasUtahVirginiaVermontWashingtonWisconsinWest VirginiaWyomingArmed сил АмерикаВооруженные силы ЕвропыВооруженные силы Тихоокеанского регионаАмериканское СамоаФедеративная МикронезияГуамМаршалловы островаСеверная Мария На острова Пуэрто-РикоПалау Малые отдаленные острова СШАВиргинские острова США

  18. Провинция *

    - Пожалуйста, выберите - АльбертаБританская КолумбияМанитобаНью-БрансуикНьюфаундленд и Лабрадор Новая ШотландияСеверо-западные территории2НьюнавутСогласие AS232 *

    03 902 * Квартал 903 * Квартал Эдуард 903 Выберите - Местный федеральный / правительственный поставщик услуг

  19. Подразделение *

    - Выберите - Военная разведка

  20. Подразделение *

    - Выберите - Предприятие Поставщик услуг Академический

  21. Вас интересует: *

    - Пожалуйста, выберите - Доступ к данным ваша роль в процессе покупки? *

    - Пожалуйста, выберите --UserInflue ncerApproverBuyerNot Sure

  22. Идентификатор сообщения
  23. Кампания UTM
  24. Средний UTM
  25. Источник UTM
  26. Контент UTM
  27. Срок действия UTM
  28. Этап прогрессивного профилирования
  29. Срок действия UTM - Пожалуйста, выберите --ЯнварьФевральМартАпрельМайИюньИюльАвгустСентябрьОктябрьНоябрьДекабрь

  30. Когда вы принимаете решение о покупке?

    - Пожалуйста, выберите - 3 месяца или меньше 3-6 месяцев 6-9 месяцев 9-12 месяцев Не уверен

  31. *
  32. Bitte bestätigen Sie: Mit Ihrer Anmeldung erklären Sie sich einverstanden, gelegentlich Informationen über Cellebrite Webinare, Veranstaltungen, Produkt- und Trainingsupdates und Marketing / Fall-Studien zu erhalten.Diese Informationen können Sie jederzeit wieder abbestellen.

  33. Bitte bestätigen Sie: Mit Ihrer Anmeldung erklären Sie sich einverstanden, gelegentlich Informationen über Cellebrite Webinare, Veranstaltungen, Produkt- und Trainingsupdates und Marketing / Fall-Studien zu erhalten. Diese Informationen können Sie jederzeit wieder abbestellen.

  34. Bitte bestätigen Sie: Mit Ihrer Anmeldung erklären Sie sich einverstanden, gelegentlich Informationen über Cellebrite Webinare, Veranstaltungen, Produkt- und Trainingsupdates und Marketing / Fall-Studien zu erhalten.Diese Informationen können Sie jederzeit wieder abbestellen.

  35. Двойная подписка
  36. Отправляя форму, я подтверждаю, что прочитал Уведомление о конфиденциальности.
  37. Cellebrite Referrer
  38. Поисковый запрос
  39. Ошибка Eloqua
  40. Данные, отправленные в Eloqua
  41. Ответ Eloqua
  42. Электронная почта

    Это поле предназначено для проверки, и его следует оставить без изменений.

  43. Основы реестра Windows: устранение мистификации реестра Windows

    Реестр Windows - это каталог, в котором хранятся настройки и параметры для операционной системы Microsoft Windows.Он содержит информацию и настройки для всего оборудования, программного обеспечения операционной системы, большей части программного обеспечения, не связанного с операционной системой, пользователей, настроек ПК и т. Д. В этом сообщении рассказывается о Windows Registry Basics .

    Каждый раз, когда пользователь вносит изменения в настройки панели управления, ассоциации файлов, системные политики или большинство установленного программного обеспечения, эти изменения отражаются и сохраняются в реестре. В реестре также есть окно с информацией о работе ядра, в которой отображается информация о времени выполнения, такая как счетчики производительности и текущее активное оборудование.

    Реестр Windows был введен, чтобы привести в порядок множество INI-файлов для каждой программы, которые ранее использовались для хранения параметров конфигурации для программ Windows. Эти файлы, как правило, были разбросаны по всей системе, что затрудняло их отслеживание.

    Чтение : Когда сохраняются изменения в реестре?

    Основы работы с реестром Windows

    Реестр состоит из следующих 5 корневых ключей :

    • HKEY_CLASSES_ROOT
    • HKEY_CURRENT_USER
    • HKEY_LOCAL_MACHINE_MACHINE

    Корневые ключи содержат Подключа . Подразделы могут также содержать собственные подключи и содержать по крайней мере одно значение, называемое его значением по умолчанию . Ключ со всеми его подключами и значениями называется Hive .

    Реестр находится на Диске в папке system32 / config в виде нескольких отдельных файлов Hive. Эти файлы Hive затем считываются в память при каждом запуске Windows или при входе пользователя в систему.Чтобы узнать, где физически хранятся кусты, см .:

     HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ HiveList 

    Подробнее о расположении файлов реестра Windows.

    Реестр использует следующие типы данных:

    • REG_SZ : SZ указывает строку с нулевым завершением. Это строка переменной длины, которая может содержать символы Unicode, а также символы ANSI.
    • REG_BINARY : содержит двоичные данные. 0 и 1.
    • REG_DWORD : Этот тип данных является двойным словом. Это 32-битное числовое значение, которое может содержать любое число от 0 до 232.
    • REG_QWORD : Этот тип данных является четверным словом. Это 64-битное числовое значение.
    • REG_MULTI_SZ : Этот тип данных содержит группу строк с нулевым завершением, присвоенных одному значению.
    • REG_EXPAND_SZ : этот тип данных представляет собой строку с завершающим нулем, содержащую нерасширенную ссылку на переменную среды, например,% SystemRoot%.

    Виртуализация реестра в Windows

    Начиная с Windows Vista, наряду с виртуализацией файлов, реестр также был виртуализирован и, следовательно, в отличие от Windows XP, не имеет склонности к раздуванию. То же самое было продолжено в Windows 7.

    Виртуализация в основном означает, что приложениям запрещена запись в файловую систему Windows системных папок, а ТАКЖЕ в « машинных ключей » в реестре. Однако это не мешает стандартным учетным записям пользователей устанавливать или запускать приложения.

    В Windows Vista и более поздних версиях UAC использует функцию виртуализации реестра для перенаправления попыток записи в подразделы

     HKEY_LOCAL_MACHINE \ Software 

    Когда приложение пытается записать в этот куст, Vista вместо этого записывает его в для каждого пользователя,

     HKEY_CLASSES_ROOT \ VirtualStore \ Machine \ Software 

    Это делается незаметно. Никто не узнает, что это происходит!

    Короче говоря, это виртуализация реестра, и это полезная функция безопасности.

    Между прочим, следует упомянуть еще одну новую технологию, лежащую в основе Windows Vista и более поздних версий: диспетчер транзакций ядра, который включает реестр транзакций. Эта функция позволяет выполнять своего рода откат реестра. Но это не реализовано в редакторе реестра. Вместо этого эта функция предназначена для использования разработчиками, которым необходимо создавать надежные приложения с использованием обработки транзакций.

    Прочтите: Как создать ключ реестра в Windows.

    Редактор реестра

    Основным инструментом в Windows 10/8/7 / Vista для работы непосредственно с реестром является Редактор реестра .Чтобы получить к нему доступ, просто введите regedit в строке поиска Vista в меню «Пуск» и нажмите Enter!

    Вы должны быть вдвойне осторожны при работе с реестром, так как нет ни запроса подтверждения, ни щелчка на кнопке OK для сохранения. Внесенные изменения вносятся напрямую.

    Вы можете узнать больше о советах и ​​функциях редактора реестра Windows. Пользователи Windows 10 v1703 могут использовать адресную строку для прямого перехода к любому разделу реестра.

    Особо следует упомянуть куст

     HKEY_LOCAL_MACHINE \ System \ CurrentControlSet 

    , поскольку ключи в этом конкретном случае настолько важны для запуска Windows, что сохраняется его резервная копия, которую вы можете восстановить при необходимости, просто нажав загрузка в безопасном режиме и выбор Последняя удачная конфигурация .

    Вы также можете прочитать эти сообщения:

    1. Как восстановить поврежденный или поврежденный реестр
    2. Меню «Пуск» и настройки реестра панели задач
    3. Резервное копирование и восстановление реестра
    4. Отслеживайте изменения в реестре.
    5. Как открыть несколько экземпляров реестра.

    O&O RegEditor: Бесплатная программа для редактирования реестра Windows

    18.01.2021 7:42 Программное обеспечение O&O

    Говорим ли мы об опытном домашнем пользователе или об администраторе, O&O RegEditor упрощает и ускоряет работу.Он поставляется с в высшей степени удобным для пользователя приложением, но на самом деле именно его портативность значительно упрощает жизнь администратора.

    Установка не требуется, все настройки сохраняются в данных профиля, так что O&O RegEditor можно легко использовать на других компьютерах. Доступны специальные 32- и 64-битные версии, то есть в 64-битных системах можно редактировать определенные записи реестра, которые обычно скрыты от 32-битных пользователей.

    Обзор функций

    • Удобная функция поиска
    • Копирование и вставка целых ключей, подразделов и их значений
    • Упрощенное редактирование
    • Создание, управление, импорт и экспорт избранного
    • Часто используемые клавиши можно установить как избранные
    • Файлы REG, оптимизированные для импорта и экспорта
    • Экспорт реестра в формате XML

    Дополнительная информация

    Портативная версия - установка не требуется

    Операционная система:
    Рабочие станции: Windows® 10, 8.1, 8, 7, 2008, Vista (32 или 64 бит)
    Сервер: 2012 R2, 2012, 2008 R2, 2008, 2003 (32 или 64 бит)

    O&O RegEditor EULA

    Изменение или создание настроек системы и программы является ежедневной рутиной каждого администратора. O&O RegEditor значительно упрощает работу с регистрационной базой данных. Он поставляется с в высшей степени удобным для пользователя приложением, но именно благодаря его портативности оно действительно значительно упрощает жизнь администратору.

    O&O RegEditor упрощает работу с регистрационной базой данных.

    Помимо возможности работы независимо от местоположения, O&O RegEditor делает доступ к регистрационным базам данных в системах Windows особенно быстрым и простым. Доступен широкий спектр стандартных функций, все из которых являются более быстрыми и оптимизированными благодаря оптимизированной доступности и удобству для пользователя. Например, после выполнения высокоточного поиска отображается список результатов вместе с соответствующими ключевыми путями.Кроме того, поиск выполняется без того, чтобы пользователям приходилось делать раздражающие подтверждения каждого промежуточного результата. Пользователи также могут копировать пути прямо с веб-сайтов или руководств в адресную строку и переходить прямо к ним. Поскольку история всех посещенных путей сохраняется, переход между различными клавишами выполняется быстро и легко. Возможность простого копирования и вставки полных ключей и подразделов реестра особенно полезна при тестировании настроек, чтобы сохранить старые настройки для последующего восстановления.

    Сравнительная таблица: O&O RegEditor и Windows RegEdit

    Редактор O&O Windows RegEdit
    Создание, редактирование и удаление записей реестра Windows
    Удобная функция поиска: успех отображается в списке
    Скопируйте и вставьте полные ключи, подразделы и их значения
    Переносная версия, установка не требуется.Начните с портативного запоминающего устройства, например USB
    Создание, редактирование, импорт и экспорт избранного
    Часто используемые клавиши можно предварительно установить в качестве избранных
    Экспорт избранного
    Импорт и экспорт файлов REG
    Экспорт всего реестра в формате XML

    O&O RegEditor также является компонентом O&O BlueCon

    O&O RegEditor изначально разрабатывался как неотъемлемый компонент O&O BlueCon и для разработки наших собственных продуктов.O&O BlueCon - это комплексный пакет инструментов для администраторов, который позволяет восстанавливать систему, создавать образы системы и многое другое в Windows. Его можно запустить прямо с USB или CD / DVD с полным пользовательским интерфейсом Windows, когда система больше не запускается и требует восстановления.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *