Windows реестра для продвинутых пользователей — Windows Server
- Чтение занимает 9 мин
В этой статье
В этой статье описывается Windows реестр и содержится информация о том, как изменить и создать его обратно.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 256986
Описание реестра
Словарь microsoft Computer Dictionary( Пятое издание) определяет реестр как:
Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000 г., используется для хранения сведений, необходимых для настройки системы для одного или более пользователей, приложений и аппаратных устройств.
Реестр содержит сведения, Windows постоянно ссылаются во время работы, такие как профили для каждого пользователя, установленные на компьютере приложения и типы документов, которые каждый может создать, параметры листов свойств для папок и значков приложений, оборудование, которое существует в системе, и используемые порты.
Реестр заменяет большинство текстовых .ini, используемых в Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Несмотря на то, что реестр является общим для нескольких Windows операционных систем, между ними существуют некоторые различия. Ульй реестра — это группа ключей, под ключей и значений в реестре с набором вспомогательных файлов, содержащих резервные копии данных. Вспомогательные файлы для всех ульев, кроме HKEY_CURRENT_USER, находятся в папке % SystemRoot%\System32\Config
на Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в %SystemRoot%\Profiles\Username
Ульй реестра | Поддержка файлов |
---|---|
HKEY_LOCAL_MACHINE\SAM | Sam, Sam.log, Sam.sav |
HKEY_LOCAL_MACHINE\Security | Безопасность, Security.log, Security.sav |
HKEY_LOCAL_MACHINE\Software | Программное обеспечение, Software.log, Software.sav |
HKEY_LOCAL_MACHINE\System | System, System.alt, System.log, System.sav |
HKEY_CURRENT_CONFIG | System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log |
HKEY_USERS\DEFAULT | Default, Default.log, Default.sav |
В Windows 98 файлы реестра называются User.dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.
Примечание
Функции безопасности Windows доступ администратора к клавишам реестра.
В следующей таблице перечислены предопределяные ключи, используемые системой. Максимальный размер имени ключа — 255 символов.
Папка/предопределяемая клавиша | Описание |
---|---|
HKEY_CURRENT_USER | Содержит корневую часть сведений о конфигурации для пользователя, который в настоящее время входит в систему. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения связаны с профилем пользователя. Этот ключ иногда сокращен как HKCU. |
HKEY_USERS | Содержит все активно загруженные профили пользователей на компьютере. HKEY_CURRENT_USER является подмывком HKEY_USERS. HKEY_USERS иногда сокращенно HKU. |
HKEY_LOCAL_MACHINE | Содержит сведения о конфигурации, определенные компьютеру (для любого пользователя). Этот ключ иногда сокращен как HKLM. |
HKEY_CLASSES_ROOT | Это подмывка HKEY_LOCAL_MACHINE\Software . Сведения, хранимые здесь, убедитесь, что правильная программа откроется при открываемом файле с помощью Windows Explorer. Этот ключ иногда сокращен как HKCR. Начиная с Windows 2000 г., эти сведения хранятся в HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER клавишах. Ключ HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые могут применяться для всех пользователей на локальном компьютере. Ключ содержит параметры, которые переопределяют параметры по умолчанию HKEY_CURRENT_USER\Software\Classes и применяются только к интерактивному пользователю. Ключ HKEY_CLASSES_ROOT предоставляет представление реестра, который объединяет сведения из этих двух источников. HKEY_CLASSES_ROOT также предоставляет это объединенного представления для программ, предназначенных для более ранних версий Windows. Чтобы изменить параметры интерактивного пользователя, необходимо внести изменения в соответствии с HKEY_CLASSES_ROOT. Чтобы изменить параметры по умолчанию, необходимо внести изменения в HKEY_LOCAL_MACHINE\Software\Classes . Если вы пишете ключи к клавише HKEY_CLASSES_ROOT, система сохраняет сведения под HKEY_LOCAL_MACHINE\Software\Classes . Если вы пишете значения на ключ под HKEY_CLASSES_ROOT, а ключ уже существует под, система будет хранить сведения там, а HKEY_CURRENT_USER\Software\Classes не под HKEY_LOCAL_MACHINE\Software\Classes . |
HKEY_CURRENT_CONFIG | Содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы. |
Примечание
Реестр в 64-битных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32-битные и 64-битные клавиши. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. 64-битная версия редактора реестра по умолчанию, включенная с 64-битными версиями Windows XP, Windows Server 2003 и Windows Vista, отображает 32-битные клавиши под HKEY_LOCAL_MACHINE\Software\WOW6432Node
узлом.
Дополнительные сведения о просмотре реестра в 64-битных версиях Windows см. в обзоре реестра системы с помощью 64-битныхверсий Windows .
В следующей таблице перечислены типы данных, которые в настоящее время определены и используются Windows. Максимальный размер имени значения:
- Windows Server 2003, Windows XP и Windows Vista: 16 383 символов
- Windows 2000: 260 символов ANSI или 16 383 символа Юникод
- Windows Millennium Edition/Windows 98/Windows 95: 255 символов
Длинные значения (более 2048 bytes) должны храниться в качестве файлов с именами файлов, хранимыми в реестре. Это помогает реестру работать эффективно. Максимальный размер значения:
- Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003/Windows Vista: доступная память
- Windows Millennium Edition/Windows 98/Windows 95: 16 300 bytes
Примечание
Существует ограничение в 64K для общего размера всех значений ключа.
Имя | Тип данных | Описание |
---|---|---|
Двоичное значение | REG_BINARY | Необработанные двоичные данные. Большинство сведений о компонентах оборудования хранятся в виде двоичных данных и отображаются в редакторе реестра в гексадецимальной форме. |
Значение DWORD | REG_DWORD | Данные представляются числом длиной 4 bytes (32-bit integer). Многие параметры для драйверов и служб устройств являются этим типом и отображаются в редакторе реестра в двоичном, hexadecimal или десятичном формате. Соответствующие значения DWORD_LITTLE_ENDIAN (наименее значительный byte находится на самом низком адресе) и REG_DWORD_BIG_ENDIAN (наименее значительный byte находится на самом высоком адресе). |
Расширяемое значение строки | REG_EXPAND_SZ | Строка данных переменной длины. Этот тип данных включает переменные, которые решаются при помощи данных программы или службы. |
Многострочный параметр | REG_MULTI_SZ | Несколько строк. Значения, содержащие списки или несколько значений в форме, которую люди могут прочитать, обычно являются этим типом. Записи разделены пробелами, запятой или другими метками. |
Значение строки | REG_SZ | Текстовая строка фиксированной длины. |
Двоичное значение | REG_RESOURCE_LIST | Серия вложенных массивов, предназначенных для хранения списка ресурсов, который используется драйвером аппаратного устройства или одним из физических устройств, которые он контролирует. Эти данные обнаруживаются и пишутся в дереве \ResourceMap системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение. |
Двоичное значение | REG_RESOURCE_REQUIREMENTS_LIST | Серия вложенных массивов, предназначенных для хранения списка возможных аппаратных ресурсов драйвера или одного из физических устройств, которые он контролирует. Система записывает подмножество этого списка в дереве \ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение. |
Двоичное значение | REG_FULL_RESOURCE_DESCRIPTOR | Серия вложенных массивов, предназначенных для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и пишутся в дереве \HardwareDescription системой и отображаются в редакторе реестра в hexadecimal формате как двоичное значение. |
Нет | REG_NONE | Данные без определенного типа. Эти данные записаны в реестр системой или приложениями и отображаются в редакторе реестра в hexadecimal формате как двоичное значение |
Ссылка | REG_LINK | Строка Unicode, именуемая символической ссылкой. |
Значение QWORD | REG_QWORD | Данные, представленные числом, которое представляет собой 64-битный набор. Эти данные отображаются в редакторе реестра как двоичное значение и были представлены Windows 2000 году. |
Back up the registry
Перед изменением реестра экспортируйте ключи из реестра, который планируется изменить, или закапируйте весь реестр. Если возникает проблема, вы можете следовать шагам в разделе Восстановление реестра, чтобы восстановить реестр в прежнем состоянии. Чтобы создать резервную копию всего реестра, используйте утилиту Резервное копирование для резервного копирования состояния системы. Состояние системы включает реестр, базу данных регистрации класса COM+ и файлы загрузки. Дополнительные сведения об использовании утилиты Резервного копирования для резервного копирования состояния системы см. в следующих статьях:
Изменение реестра
Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в функциях реестра.
Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или запуска сценариев, таких как файлы скриптов VisualBasic.
Использование пользовательского Windows интерфейса
Рекомендуется использовать интерфейс Windows для изменения параметров системы, а не вручную изменять реестр. Однако редактирование реестра иногда может быть оптимальным методом для решения проблемы продукта. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошагированными инструкциями по редактированию реестра для этой проблемы. Мы рекомендуем выполнять эти инструкции точно.
Использование редактора реестра
Предупреждение
При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Вы можете использовать редактор реестра для следующих действий:
- Найдите подтрий, ключ, подкайку или значение
- Добавление подкайки или значения
- Изменение значения
- Удаление подкайки или значения
- Переименование подкайки или значения
Область навигации редактора реестра отображает папки. Каждая папка представляет предопределяемую клавишу на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределённых ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.
Использование групповой политики
На консоли управления Майкрософт (MMC) размещены административные средства, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, применяемые к компьютерам или пользователям. Групповую политику можно реализовать на локальных компьютерах с помощью локальной оснастки MMC групповой политики Gpedit.msc. Можно реализовать групповую политику в Active Directory с помощью оснастки пользователей и компьютеров Active Directory MMC. Дополнительные сведения об использовании групповой политики см. в разделе Справка в соответствующей оснастке MMC групповой политики.
Использование файла Записи регистрации (.reg)
Создайте файл Записи регистрации (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, где необходимо внести изменения. Файл .reg можно запускать вручную или с помощью скрипта logon. Дополнительные сведения см. в публикации How to add, modify or delete registrys and values by using a Registration Entries (.reg) file.
Использование Windows скрипта
Хост Windows скриптов позволяет запускать VBScript и JScript непосредственно в операционной системе. Вы можете создать VBScript и JScript, которые используют Windows для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах можно получить на следующих веб-сайтах Майкрософт:
Использование Windows инструментов управления
Windows Инструментарий управления (WMI) является компонентом операционной системы Microsoft Windows и является microsoft реализация Web-Based Enterprise управления (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии для доступа к сведениям об управлении в корпоративной среде. С помощью WMI можно автоматизировать административные задачи (например, редактирование реестра) в корпоративной среде. WMI можно использовать в языках скриптов, на Windows которые обрабатывают объекты Microsoft ActiveX. Вы также можете использовать утилиту WMI Command-Line (Wmic.exe) для изменения Windows реестра.
Дополнительные сведения о WMI см. в Windows инструментов управления.
Дополнительные сведения о утилите WMI Command-Line см. в описании утилиты командной строки управления Windows (WMI) (Wmic.exe).
Используйте средство реестра консоли для Windows
Для редактирования реестра можно использовать средство реестра консоли Windows (Reg.exe). Для получения помощи с Reg.exe введите в reg /?
командной подсказке, а затем нажмите кнопку ОК.
Восстановление реестра
Чтобы восстановить реестр, используйте соответствующий метод.
Метод 1. Восстановление ключей реестра
Чтобы восстановить подкайки реестра, которые вы экспортировали, дважды щелкните файл Registration Entries (.reg), сохраненный в разделе Subkeys реестра экспорта. Или можно восстановить весь реестр из резервного копирования. Дополнительные сведения о восстановлении всего реестра см. в разделе Method 2: Restore the whole registry section later in this article.
Метод 2. Восстановление всего реестра
Чтобы восстановить весь реестр, восстановим состояние системы из резервного копирования. Дополнительные сведения о восстановлении состояния системы из резервного копирования см. в материалах Как использовать резервное копирование для защиты данных и восстановления файлов и папок на компьютере в Windows XP и Windows Vista.
Примечание
При копировании состояния системы также создаются обновленные копии файлов реестра в %SystemRoot%\Repair
папке.
Ссылки
Дополнительные сведения можно получить на следующих веб-сайтах:
Каталог Windows серверов тестовых продуктов — это ссылка на продукты, протестированные на совместимость Windows Server.
Data Protection Manager (DPM) является ключевым членом семейства продуктов microsoft System Center управления и предназначена для того, чтобы помочь ИТ-специалистам управлять своей Windows средой. DPM — это новый стандарт для Windows резервного копирования и восстановления и обеспечивает непрерывную защиту данных для приложений и файлового сервера Майкрософт, которые используют бесшовно интегрированные дисковые и ленточные носитли. Дополнительные сведения о том, как создать реестр и восстановить его, см. в дополнительных сведениях о том, как создать и восстановить реестр в Windows XP и Windows Vista.
Что такое системный реестр Windows
Реестр Windows — это иерархически построенная централизованная база данных в составе операционной системы, которая содержит сведения, использующиеся операционной системой для работы с пользователями, программными продуктами и устройствами. В системном реестре хранятся профили всех пользователей компьютера, сведения об установленных программах и создаваемых ими файлах, а также информация об установленном оборудовании.
Во время работы компьютера операционная система постоянно обращается к системному реестру: записывает и считывает оттуда информацию, сверяет системные файлы и так далее. При запуске ОС происходит до тысячи обращений к системному реестру.
Значение системного реестра
Системный реестр является одним из наиболее важных компонентов операционной системы Windows. От того, насколько корректны настройки реестра, зависит эффективность работы ОС и ее быстродействие, а при серьезном повреждении реестра операционная система даже перестанет запускаться. Именно по этой причине вирусные программы, проникнув в компьютер пользователя, в первую очередь пытаются внести свои изменения в реестр или даже испортить его.
Что представляет собой системный реестр
Системный реестр Windows состоит из пяти частей:
- HKEY_CLASSES_ROOT – данная ветка содержит сведения, необходимые для запуска программ, установленных в системе.
- HKEY_CURRENT_USER – тут хранится информация о текущем пользователе компьютера, его личных настройках и файлах.
- HKEY_LOCAL_MACHINE – данный раздел содержит сведения об аппаратной части компьютера, подключенных устройствах и их драйверах.
- HKEY_USERS – здесь находятся данные обо всех профилях пользователей операционной системы.
- HKEY_CURRENT_CONFIG – в данной ветви содержится информация о профиле оборудования, которое компьютер использует для запуска системы.
Физически системный реестр Windows находится в папке Windows\System32\config.
Управление системным реестром
Наиболее известный и распространенный инструмент для управления реестром – это стандартный Редактор реестра Windows, входящий в состав любого дистрибутива ОС. Для вызова Редактора реестра следует открыть окно Выполнить (Win+R) и вписать в него команду regedit.
Интерфейс Редактора реестра представляет собой обычное окно Windows, поделенное на две части: слева находится панель разделов реестра, а справа – панель параметров.
Предосторожности
При работе с Редактором системного реестра будьте предельно осторожны – изменение некоторых параметров может привести к нестабильной работе или даже к отказу операционной системы! Если вам нужно выполнить редактирование системного реестра, было бы хорошо заблаговременно сделать точку восстановления системы, а потом уже приступать к изменению параметров реестра.
Воспользуйтесь услугой нашей компании профилактическое обслуживание компьютеров.
Что такое реестр windows. Как редактировать реестр
Что такое реестр Windows? Как работать с реестром? Где хранится реестр и из каких разделов состоит? Как редактировать реестр на удаленном компьютере?
Реестр Windows представляет собой базу данных различных настроек и параметров операционной системы, а также настроек программ, установленных на компьютере. Основным средством для просмотра и редактирования записей реестра служит встроенная в Windows утилита Regedit – Редактор реестра. Для ее запуска необходимо зайти в “Пуск” – “Выполнить” – набрать команду regedit и нажать “ОК”.
После этого откроется окно программы: слева отображается дерево реестра, а справа выводятся так называемые ключи, т.е. параметры реестра, содержащиеся в выбранном разделе.
С помощью Regedit вы можете редактировать значения, импортировать или экспортировать ветви реестра, осуществлять поиск разделов и ключей в реестре. Но хотел бы сразу предупредить, что информация, которая хранится в реестре, очень важна для корректной работы Windows. Удаление или неграмотное изменение нужных разделов и ключей может привести к тому, что перестанут работать какие-нибудь программы, не будет загружаться учетная запись пользователя или произойдет полный крах системы.
Стоит также отметить, что изменения внесенные вами в Редакторе реестра вступают в силу сразу после того, как вы их сделали – никакого подтверждения на сохранение, как во многих приложениях, здесь нет.
В Windows XP реестр хранится во многих файлах: эти файлы находятся в каталогах WINDOWS\system32\config и Documents and Settings\Имя пользователя (файлы Ntuser.dat и Ntuser.dat.log).
Реестр Windows состоит из нескольких основных разделов:
HKEY_CLASSES_ROOT – в разделе содержатся данные о расширениях типов файлов и приложениях, которые при их запуске будут открываться.
HKEY_CURRENT_USER – в разделе хранятся настройки пользователя, вошедшего в систему в данный момент. Здесь хранятся папки пользователя, цвета экрана и настройки панели управления. Эти данные называются профилем пользователя.
HKEY_LOCAL_MACHINE – здесь содержатся сведения о загрузке операционной системы, информация о драйверах устройств и аппаратном обеспечении компьютера. Хранящиеся здесь настройки относятся ко всем пользователям компьютера.
HKEY_USERS – раздел хранит индивидуальные настройки профиля каждого пользователя, зарегистрированного в системе. Здесь же хранится информация о профиле «по умолчанию» для создаваемых новых пользователей.
HKEY_CURRENT_CONFIG – в разделе находится вся информация об аппаратном профиле, который используется на локальной машине во время запуска системы.
В каждом из рассмотренных разделов реестра содержатся подразделы, которые хранят различные параметры системы. Например, настройки служб Windows хранятся в разделе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. А стартовая страница браузера Internet Explorer хранится в параметре Start Page раздела HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main.
Параметры в реестре подобно файлам хранят в себе различную информацию. Каждый параметр имеет свои атрибуты: имя, тип данных и значение переменной. Есть параметры реестра, которые хранят текстовые строки подобно обычным текстовым файлам. Есть параметры, в которых хранятся бинарные данные, есть параметры для хранения чисел.
Редактирование реестра
Основные операции, которые можно выполнить в Редакторе реестра, это:
Поиск раздела реестра, строк или параметра. Для этого в строке меню выберите “Правка” – “Найти” (“Найти далее”).
Добавление раздела или параметра реестра. В левой части редактора реестра выделите раздел, в который необходимо добавить подраздел. В меню “Правка” выберите команду “Создать” – “Раздел” – введите имя нового раздела и нажмите Enter.
Для создания нового параметра выберите в меню “Правка” один из типов параметров: Строковый, Двоичный, Параметр DWORD, Мультистроковый, либо Расширяемый строковый параметр. Затем введите имя параметра и нажмите Enter.
Удаление раздела или параметра. Выделите удаляемый раздел или параметр – в меню “Правка” выберите “Удалить” (либо нажмите на клавиатуре Delete).
Изменения значения параметра. Выделите параметр, значение которого требуется изменить. В меню “Правка” выберите команду “Изменить”. В поле “Значение” введите новое значение параметра и нажмите кнопку “ОК”.
Переименование раздела или параметра реестра. Выберите раздел или параметр, который требуется переименовать. В меню “Правка” выберите команду “Переименовать”. Введите новое имя и нажмите клавишу Enter.
Кстати, корневые разделы и параметры по умолчанию переименовывать нельзя. Также как и разделы нельзя удалить.
Редактирование реестра на удаленном компьютере
Утилита Regedit позволяет редактировать реестр не только на данном локальном компьютере. Она может подключиться к удаленному компьютеру и производить с его реестром различные операции. Однако для этого необходимо выполнить ряд условий:
— оба компьютера должны быть подключены к сети;
— на компьютере должно быть разрешено удаленное управление;
— на удаленном компьютере должна быть запущена служба “Удаленный реестр”;
— вы должны обладать правами Администратора на обоих компьютерах.
Для редактирования реестра на удаленном компьютере вам необходимо:
1. Запустить на своем компьютере Regedit.
2. В меню “Файл” выбрать пункт “Подключить сетевой реестр”.
3. В диалоговом окне “Подключение сетевого реестра” ввести имя компьютера, реестр которого требуется подключить и нажать “ОК”.
При осуществлении доступа к реестру удаленного компьютера отображаются только два раздела HKEY_USERS и HKEY_LOCAL_MACHINE. Теперь вы можете производить различные манипуляции с реестром удаленного компьютера, добавлять и удалять разделы, изменять значения параметров и т.п. Таким образом можно практически полностью управлять удаленным компьютером.
Когда вы сделали все необходимые действия с реестром удаленного компьютера, нужно отключиться от него. Для этого в меню “Файл” выберите пункт “Отключить сетевой реестр”. В списке компьютеров выделите имя ПК и нажмите “ОК”.
Продолжение – в следующей статье.
Метки: реестр
Реестр Windows — Документация Работа с реестром Windows 1
Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем семейства Microsoft Windows [2].
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].
Открытие реестра
Поскольку файлов в реестре несколько, его нельзя открыть, например, в текстовом редакторе и внести какие-либо коррективы. Для работы с ним требуется специальная программа – редактор реестра, который является встроенным компонентом операционной системы Windows и вызывается путем ввода команды Regedit
[4].
Существует несколько способов открыть редактор реестра.
Способ №1 – Открытие через утилиту «Выполнить»:
- Выбрать Пуск → Выполнить, либо нажать сочетание клавиш
Win+R
(Win
— клавиша, междуCtrl
иAlt
в нижнем ряду клавиатуры, обычно на ней изображен значок Microsoft Windows ; - В открывшимся окне ввести команду
regedit
; - Нажать клавишу
ОК
.
Рис. 1 – Открытие через утилиту «Выполнить»
Способ №2 – Открытие через поиск по меню «Пуск»:
- Открыть меню Пуск;
- Ввести в строке поиска
regedit
и запустить найденный файл, который отобразится в верхней части Пуска.
Рис. 2 – Открытие через поиск по меню «Пуск»
С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.
Структура реестра
Реестр имеет иерархическую структуру, которая напоминает файловую систему жесткого диска – с его каталогами, подкаталогами и файлами. Но называются элементы реестра по-другому: верхний уровень иерархии составляют разделы, каждый из которых может содержать вложенные подразделы, а также параметры. Именно в параметрах хранится основное содержимое реестра, разделы служат лишь для группировки схожих по назначению параметров [4].
Рис. 3 – Редактор реестра
Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.
HKEY_CURRENT_USER
Данный раздел является корневым для данных конфигурации пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU
.
HKEY_USERS
Данный раздел содержит все активные загруженные профили пользователей компьютера. Раздел HKEY_CURRENT_USER
является подразделом раздела HKEY_USERS
. Вместо полного имени раздела иногда используется аббревиатура HKU
.
HKEY_LOCAL_MACHINE
Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Наиболее интересным является подраздел Software
, который включает в себя настройки всех установленных в системе приложений. Вместо полного имени раздела иногда используется аббревиатура HKLM
.
HKEY_CLASSES_ROOT
Является подразделом HKEY_LOCAL_MACHINE\Software
. Хранящиеся здесь сведения обеспечивают выполнение необходимой программы при открытии файла с использованием проводника. Вместо полного имени раздела иногда используется аббревиатура HKCR
. Начиная с Windows 2000, эти сведения хранятся как в HKEY_LOCAL_MACHINE
, так и в HKEY_CURRENT_USER
.
Раздел HKEY_LOCAL_MACHINE\Software\Classes
содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes
, переопределяют принятые по умолчанию и относятся только к текущему пользователю.
Раздел HKEY_CLASSES_ROOT
включает в себя данные из обоих источников. Кроме того, раздел HKEY_CLASSES_ROOT
предоставляет эти объединенные данные программам, разработанным для более ранних версий Windows. Изменения настроек текущего пользователя выполняются в разделе HKEY_CURRENT_USER\Software\Classes
. Модификация параметров по умолчанию должна производиться в разделе HKEY_LOCAL_MACHINE\Software\Classes
. Данные из разделов, добавленных в HKEY_CLASSES_ROOT
, будут сохранены системой в разделе HKEY_LOCAL_MACHINE\Software\Classes
. Если изменяется параметр в одном из подразделов раздела HKEY_CLASSES_ROOT
и такой подраздел уже существует в HKEY_CURRENT_USER\Software\Classes
, то для хранения информации будет использован раздел HKEY_CURRENT_USER\Software\Classes
, а не HKEY_LOCAL_MACHINE\Software\Classes
.
HKEY_CURRENT_CONFIG
Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.
Примечание
Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле: HKEY_LOCAL_MACHINE\Software\WOW6432Node
Файлы реестра на жестком диске
Основные файлы, отвечающие за формирование реестра хранятся в папке %SystemRoot%\System32\Config\
. Обычно это C:\Windows\System32\Config\
и в зависимости от версии ОС их состав может несколько различаться.
Файл, хранящий личные настройки пользователя, «скрыт» в папке соответствующей учетной записи, например, в C:\Documents and Settings\Dmitry
. Также файлы, отвечающие за пользовательские настройки, могут храниться в:
C:\Documents and Settings\%Username%\(Ntuser.dat)
;C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\Windows\ (UsrClass.dat)
.
Еще есть резервные копии файлов реестра, созданные системой, хранятся они в
C:\Windows\System32\config\RegBack
– для Windows 7 и Server 2008;C:\Windows\repair
– для XP и Server 2003.
Примечание
По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.
Вспомогательные файлы для всех кустов за исключением HKEY_CURRENT_USER
хранятся в системах Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista в папке %SystemRoot%\System32\Config
.
Вспомогательные файлы для куста HKEY_CURRENT_USER
хранятся в папке %SystemRoot%\Profiles\Имя_пользователя
. Расширения имен файлов в этих папках указывают на тип содержащихся в них данных. Отсутствие расширения также иногда может указывать на тип содержащихся в файле данных.
Примечание
Куст (дерево) реестра (англ. hive) — это группа разделов, подразделов и параметров реестра с набором вспомогательных файлов, содержащих резервные копии этих данных.
Куст реестра | Вспомогательные файлы |
---|---|
HKEY_LOCAL_MACHINE\SAM | Sam , Sam.log , Sam.sav |
HKEY_LOCAL_MACHINE\Security | Security , Security.log , Security.sav |
HKEY_LOCAL_MACHINE\Software | Software , Software.log , Software.sav |
HKEY_LOCAL_MACHINE\System | System , System.alt , System.log , System.sav |
HKEY_CURRENT_CONFIG | System , System.alt , System.log , System.sav , Ntuser.dat , Ntuser.dat.log |
HKEY_USERS\DEFAULT | Default , Default.log , Default.sav |
Примечание
Например, кусту HKEY_LOCAL_MACHINE\Software
соответствует на жестком диске файл C:\Windows\System32\config\SOFTWARE
.
Рис. 4 – Файлы реестра на жестком диске
Что такое реестр Windows? Как его открыть и что с ним делать?
Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем Microsoft Windows.
Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, профилей пользователей, предустановки. Большинство изменений в Панели управления, ассоциации файлов, системные политики, список установленного ПО фиксируются в реестре.
Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов, обеспечения единого механизма (API) записи-чтения настроек и избавления от проблем коротких имён, отсутствия разграничения прав доступа и медленного доступа к ini-файлам, хранящимся на файловой системе FAT16, имевшей серьёзные проблемы быстродействия при поиске файлов в директориях с большим их количеством. Со временем (окончательно — с появлением файловой системы NTFS) проблемы, решавшиеся реестром, исчезли, но реестр остался из-за обратной совместимости, и присутствует во всех версиях Windows, включая последнюю. Поскольку сейчас не существует реальных предпосылок для использования подобного механизма, Microsoft Windows — единственная операционная система из используемых сегодня, в которой используется механизм реестра операционной системы. В общем Реестр это рудимент.
Реестр Windows в нынешнем виде.
Реестр в том виде, как его использует Windows и как видит его пользователь в процессе использования программ работы с реестром, формируется из различных данных. Чтобы получилось то, что видит пользователь, редактируя реестр, происходит следующее.
Вначале, в процессе установки (инсталляции) и настройки Windows, на диске формируются файлы, в которых хранится часть данных относительно конфигурации системы.
Затем, в процессе каждой загрузки системы, а также в процессе каждого входа и выхода каждого из пользователей, формируется некая виртуальная сущность, называемая «реестром» — объект REGISTRY\. Данные для формирования «реестра» частично берутся из тех самых файлов (Software, System …), частично из информации, собранной ntdetect при загрузке (HKLM\Hardware\Description).
То есть часть данных реестра хранится в файлах, а часть данных формируется в процессе загрузки Windows.
Для редактирования, просмотра и изучения реестра стандартными средствами Windows (программы regedit.exe и regedt32.exe) доступны именно ветки реестра. После редактирования реестра и/или внесения в него изменений эти изменения сразу записываются в файлы.
Однако есть программы сторонних разработчиков, которые позволяют работать непосредственно с файлами.
Программы оптимизации реестра, твикеры, а также инсталляторы и деинсталляторы программ работают через специальные функции работы с реестром.
Где лежат файлы реестра Windows?
Файлы реестра лежат в папке windows\System32\config\ еще есть пользовательский раздел реестра — в файле %userprofile%\ntuser.dat.Резервные копии файлов реестра находятся в папке windows\System32\config\RegBack.
Какие основные разделы (кусты) реестра?
Раздел HKEY_CLASSES_ROOT
Это основной ключ реестра Windows, он содержит ассоциации файлов, которые связывают типы файлов с программами, которые могут открывать и редактировать их, и регистрацию классов для объектов Component Object Model (COM – компонентная модель объектов). Последнее предоставляет возможность изменить неимоверное число правил поведения системы — не стоит этого делать без веской причины.
Раздел HKEY_CURRENT_USER
Он хранит в себе настройки текущего активного пользователя. В ветке хранятся папки пользователя, различные персональные настройки и параметры панели управления. Эти сведения напрямую взаимодействуют с профилем пользователя. Данная ветка состоит из нескольких подразделов, которые содержат пути звуковых файлов, используемых для озвучивания системных событий; различные данные, которые могут быть изменены в панели управления, например, упорядочение значков; информацию о текущей раскладке клавиатуры, пользовательские настройки приложений и т.п.
Раздел HKEY_LOCAL_MACHINE
Здесь хранятся параметры конфигурации, которые относятся к данному компьютеру (параметры устанавливаются одновременно для всех пользователей). Например, здесь содержатся сведения о конфигурации компьютера, установленных драйверах и программах, наименовании портов, параметры файловой системы и т.п.
Раздел HKEY_USERS
Эта ветка содержит информацию о профилях всех пользователей данного компьютера (имя пользователя, настройки рабочего стола и т.д.). Также этот раздел хранит настройки по умолчанию для рабочего стола, меню «Пуск» и т.д. Они нужны в тех случаях, когда новый пользователь входит в систему в первый раз. В этот момент настройки по умолчанию копируются в его профиль, а все дальнейшие изменения, сделанные пользователем, сохранятся в данной ветке.
Раздел HKEY_CURRENT_CONFIG
Ключ отвечает за устройства Plug&Play и содержит информацию о текущей конфигурации компьютера с переменным составом устройств, вроде флеш-карт, принтеров, факсов, внешних накопителей и т.п. Также данный раздел содержит сведения о текущем профиле оборудования, который используется компьютером при запуске системы.
HKEY_DYN_DATA
Данный раздел имеется только в реестре ОС семейства Windows 9x/ME. Содержит динамически изменяемые данные о компьютере (загрузка процессора, размер файла подкачки и т. п.)
Как редактировать реестр?
Все просто в поиске Windows набираем regedit и запускаем редактор реестра от имени администратора. Перед выполнением каких либо операций в реестре необходимо сделать резервную копию! Если что то пойдет не так, можно будет вернутся на рабочую версию реестра.
Оптимизация работы реестра.
Ходят споры о том стоит ли оптимизировать реестр Windows. Я бы сказал так для более слабых компьютеров оптимизация более полезна чем для мощных. Но есть и еще один нюанс иногда не очищенные параметры реестра могут вызывать сбои и конфликты ПО и аппаратного обеспечения, поэтому делать очистку реестра от ненужных данных я рекомендую.
Кроме того реестр со временем фрагментируется, это происходит в том числе и из-за чисток. Поэтому те кто делают очистку реестра постоянно я также рекомендую иногда делать дефрагментацию реестра.
Для оптимизации работы реестра Windows можно использовать программы Ccleaner, WinOptimizer, Reg Organizer, Advanced SystemCare, Auslogics Boostspeed.
Если остались вопросы смотрите видео выше.
Реестр Windows — описание, структура, как открыть, восстановление, чистка и тп.
Для работы операционной системы Windows должны использоваться различные сведения. Реестр представляет собой специальную базу данных. В нем имеется информация, касающаяся оборудования, программного обеспечения, а также многое другое. В процессе функционирования системы происходит постоянное обращение к этой информации. Она может изменяться или дополняться, в зависимости от конкретных действий. Подобные мероприятия происходят в автоматическом порядке и пользователю нет необходимости беспокоиться об их выполнении.
ВАЖНО: если Вы решили работать с реестром Windows, то предварительно создайте его копию. Неосторожные действия легко могут стать причиной серьёзных системных сбоев. В результате придется восстанавливать ОС или даже осуществить её переустановку.
Реестр в операционных системах
Чтобы продемонстрировать важность реестра, требуется сказать о простой статистике. В ходе запуска ОС сюда осуществляется около тысячи обращений, а в течение одного дня количество может достигнуть 10.000 и даже более. Достаточно запустить какую-либо программу, задать настройки или выполнить иные действия, чтобы информация в реестре была отредактирована.
Довольно часто можно услышать вопрос о расположении файлов. Реестр Windows располагается по директории C\Windows\System32\config. Здесь в качестве диска указан С, но для Вашего устройства ситуация может быть иной. Все зависит от того, куда именно установлена система.
Если рассматривать наиболее популярную ОС Windows 7, то файлы реестра здесь располагаются в специальных местах. Подобный момент требует к себе отдельного внимания:
- «HKEY_LOCAL_MACHINE\HARDWARE». Указанная ветка будет создаваться на основании того, какое именно подключено периферийное оборудование. Процесс является динамическим.
- «HKEY_LOCAL_MACHINE\BCD00000000» использует для своего создания специальный файл «%SystemRoot%\Boot\BCD».
- «HKEY_LOCAL_MACHINE\SYSTEM». Чтобы сформировать указанную ветку, применяется документ «%SystemRoot%\System32\config\ SYSTEM».
- «HKEY_LOCAL_MACHINE\SOFTWARE». Создание происходит на основании документа «%SystemRoot%\System32\config\SOFTWARE».
- «HKEY_LOCAL_MACHINE\SECURITY». В ветке происходит хранение параметров безопасности устройства и она создается из документа «%SystemRoot%\System32\config\SECURITY».
- «HKEY_LOCAL_MACHINE\SAM». Для создания применяется информация из документа, находящегося по адресу «%SystemRoot%\System32\config\SAM».
- «HKEY_USERS\DEFAULT». Формирование ветки реестра производится за счет документа «%SystemRoot%\System32\config\DEFAULT».
- Ветки реестра «HKEY_USERS\S-1-5-18», «HKEY_USERS\S-1-5-19» и «HKEY_USERS\S-1-5-20». Для их создания используется документ NTUSER.DAT, который лежит в различных директориях. Это «%SystemRoot%\System32\config\systemprofile\», «%SystemRoot%\System32\config\systemprofile\» и «%SystemRoot%\ServiceProfiles\NetworkService\».
- «HKEY_USERS\<SID_юзера>». С целью формирование происходит применение документа «%USERPROFILE%\NTUSER.DAT».
- «HKEY_USERS\<SID_юзера>_Classes». В указанном случае, формирование производится в ходе использования документа «%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat».
Реестр имеет отдельные файлы, которые заслуживают к себе внимания – это резервные копии. Они необходимы в случае восстановления системы. Данные документы находятся по директории «%SystemRoot%\System32\config\RegBack». Если рассматривать ситуацию по умолчанию, то копия будет создавать один раз в 10 дней. Можно выполнить настройку подобного процесса – периодичности и времени запуска. Пользовательская часть реестра находится в документе %userprofile%\ntuser.dat.
Когда речь заходит о реестре ОС 32х и 64х разрядного типа, тут предусматриваются определенные особенности. В первом случае все папки являются единичными. Для 64х разрядов предусматривается разделение на 32х и, непосредственно, 64х разрядные разделы.
Для получения доступа можно использовать несколько способов и необходимо рассмотреть среди них наиболее популярные.
Через утилиту «Выполнить»
Подобный вариант можно назвать наиболее привлекательным, поскольку он сочетает в себе простоту и удобство. Требуется действовать в соответствии с рекомендациями:
- Зажимаем сочетание клавиш Win+R или запускаем утилиту «Выполнить» другим способом.
- Производим ввод regedit и нажимаем подтверждение. Крайне важно, чтобы подобное действие проводилось от имени администратора.
Посредством поиска через меню «Пуск»
Тут могут быть определенные отличия при работе с различными ОС. Например, для Windows 8 отсутствует классическое меню «Пуск». В любом случае, необходимо получить доступ к строке поиска. В неё требуется ввести regedit и запустить выданную программу.
Посредством проводника Windows
Поставлена задача найти конкретный файл в системой папке C\Windows (ранее уже говорилось о возможности использования другой буквы диска, в зависимости от места установки ОС). Нас интересует regedit. Его нужно найти в общем перечне и запустить.
Реестр Windows включает в себя 5 ветвей. Каждая из них предусматривает хранение сведений конкретного типа. Данные разделы не разрешается изменять. Они не могут быть перенесены, переименованы или удалены. Требуется описать каждую из ветвей и указать их особенности:
- HKEY_CLASSES_ROOT (HKCR). Здесь хранятся данные о многочисленных расширениях, что позволяет системе работать с файлами различного типа. Если каких-либо сведений нет, всегда можно внести дополнительные изменения для расширения возможностей.
- HKEY_CURRENT_USER (HKCU). В указанной ветке находятся сведения об учетной записи. Сюда можно отнести различные настройки и элементы персонализации.
- HKEY_LOCAL_MACHINE (HKLM). Здесь располагается все данные о подсоединённых устройствах и драйверах. Что особенно важно, тут находятся сведения, касающиеся загрузки ОС.
- HKEY_USERS (HKU). Здесь представлены данные о полном списке пользователей для конкретного устройства.
- HKEY_CURRENT_CONFIG (HKCC). Представлены сведения об оборудовании, которое применяет устройство в ходе запуска ОС. Как показывает практика, тут находится мало информации и почти вся она является копией из иных разделов.
В процессе работы с реестром Windows, интерес представляют HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Здесь находится большинство настроек, которые возникает необходимость изменять.
Необходимо уделить внимание такой составляющей, как параметры. Они позволяют вносить изменения в различные аспекты работы системы. Существует несколько типов параметров:
- Двоичный. Получил наибольшее распространение и используется во всех разделах. При выдаче в редакторе реестра предусматривается применение 16х формата.
- Dword. Используется значение с длиной 4 байта. Необходим для осуществления хранения параметров драйверов и различных программ.
- Расширяемая строка данных. Основное отличие от строкового параметра заключается в отсутствии четкого фиксирования длины.
- Многострочный. Используется более чем одна строка. Довольно часто применяется при необходимости хранения табличных данных.
- Строковый. Строка текста, которая обладает фиксированной длиной.
- Qword. Сведения указываются в виде 64х разрядного целого.
- Ссылка. Используется символическая ссылка в формате Юникод.
Резервная копия всего реестра или отдельного раздела
Ранее уже говорилось об опасностях работы с реестром. Всегда имеется вероятность причинить вред системе и нужно заранее позаботиться о создании копии. Следует войти в редактор реестра Windows, где открыть раздел «Файл». В появившемся списке происходит выбор пункта «Экспорт». Теперь можно осуществить создание копии всего реестра или конкретного подраздела. Для удобства, процесс демонстрируется на скриншоте ниже.
С целью повышения надежности допускается сохранить копию не только на жёстком диске устройства, но внешнем носителе.
Так, самое худшее случилось и в системе произошел сбой. Что необходимо сделать в такой ситуации? Стоит рассмотреть три способа восстановления, каждый из которых обладает своими особенностями. В любой ситуации требуется предварительно завершить работу всех программ и приложений. Не станет лишним отключение антивирусных средств.
Восстановление из файла
Переходим к документу, который ранее был сохранен. Там должна находиться копия всего реестра Windows. Требуется осуществить двойной клик, после чего подтвердить полученное сообщение. Оно представлено на скриншоте далее.
Определенное время потребуется для восстановления, а сам процесс будет завершен после перезагрузки устройства.
Слияние
Нужно открыть папку с копией и нажать на ней правой кнопкой мыши. Произойдет выдача меню, в котором требуется указать «Слияние». Для Вашего удобства, это действие представлено на скриншоте.
Как и в предыдущем случае, восстановление завершится после перезагрузки.
Импорт
Необходимо открыть реестр Windows. Как это сделать уже рассматривалось ранее и было представлено несколько подходов. В самом редакторе нас интересует меню «Файл». Там следует выбрать «Импорт». Будет предложено указать путь до сохраненной копии.
Отдельно требуется вынести вариант, который предусматривает восстановление всей системы. Это предусматривает использование встроенных средств. Важно самостоятельно делать бэкап или не отключать резервное копирование.
Восстановление с использованием live CD
В некоторых ситуациях загрузка операционной системы не будет представляться возможной. Это наиболее сложный вариант и для решения такой проблемы рекомендуется использовать специальный способ. Он заключается в осуществлении загрузки через live CD. Когда это выполнено, необходимо проследовать дальше – посетить корень диска, где установлена Windows. Предусматривается следующая инструкция:
- Создаем на диске с системой временную папку. Ей требуется дать название tmp. Именно здесь будут располагаться дефектные файлы реестра.
- Теперь осуществляем вход в папку C:\WINDOWS\system32\config
- Все файлы, найденные здесь, должны быть перенесены в созданную ранее временную папку C:\tmp\
- Идем в папку восстановления, которая располагается в директории C:\System Volume Information\. В ней должно располагаться некоторое количество папок следующего типа — _restore{длинный символьный код с дефисами}. Проверяем дату создания подобных папок и находим в списке самую позднюю.
- Внутри будут находиться папки с названиями RP1, RP2 и так далее. Нас опять интересует самая последняя. Важно ознакомиться с датой и уточнить, работали ли ОС в указанное время стабильно. Если нет, выбираем последнее работоспособное сохранение.
- Переходим в папку Snapshot\. Именно здесь располагаются резервные копии файлов реестра.
- Требуется использовать _REGISTRY_USER_DEFAULT, _REGISTRY_MACHINE_SECURITY, _REGISTRY_MACHINE_SOFTWARE, _REGISTRY_MACHINE_SYSTEM и _REGISTRY_MACHINE_SAM
- Указанные в прошлом пункте файлы копируются и ими производится замена аналогичных файлов реестра в директории C:\WINDOWS\system32\config. Требуется выполнить смену названия на DEFAULT, SECURITY, SOFTWARE, SYSTEM и SAM
- Для того, чтобы изменения вступили в силу, необходимо перезагрузиться.
Нередко можно столкнуться с запросом о том, как очистить реестр на Windows (Виндовс). Здесь можно использовать специализированное ПО или ручной метод. В первом случае, можно порекомендовать достаточно большое количество приложений. К наиболее популярным следует отнести Reg Organizer, CCleaner и Windows Cleaner. Данные программы отлично себя зарекомендовали – их возможности по оптимизации работы системы находятся на весьма высоком уровне.
Ручная чистка реестра Windows больше подходит для опытных пользователей, которые знают, что делают. Предварительно рекомендуется выполнить копирование файлов, чтобы провести восстановление в случае неудачи.
Непосредственно процесс очистки требует удалить любые сведения об уже удаленной программе. Подобные данные содержатся в «HKEY_CURRENT_USER» и именно туда лежит наш путь. В подразделе Software требуется найти необходимую папку. Ниже на скриншоте показан пример для программы Скайп.
Создание и удаление разделов и параметров через файл с расширением reg
Все reg файлы обладают строго установленным синтаксисом, который должен в обязательном порядке соблюдаться. Это является особенностью документов подобного типа. REG файлы допускается применять в качестве средства для создания или удаления подразделов, а также параметров.
Создание подразделов или изменение параметров
- Осуществляем доступ к редактору реестра
- Выбирается тот подраздел, изменения для которого должны быть проведены
- Происходит нажатие на вкладку «Файл», где надо нажать «Экспорт»
- В поле «Имя файла» прописывается название документа для сохранения REG-файла с изначальными элементами реестра и нажимается кнопку «Сохранить»
Удаление разделов реестра или параметров
Для выполнения поставленной задачи требуется поместить дефис перед путем реестра. Следует рассмотреть это на простом примере. Имеем:
HKEY_LOCAL_MACHINE\Software
Из него необходимо выполнить удаление раздела Program. Это будет выглядеть следующим образом:
[-HKEY_LOCAL_MACHINE\Software\Program]
Удаление значения имеет схожий способ. В данном случае, дефис должен располагаться непосредственно перед знаком равенства. Расширим прошлый пример – теперь нужно удалить параметр ProgramValue. Это выполняется следующим образом:
[HKEY_LOCAL_MACHINE\Software\Program]
» ProgramValue»=-
Вносить изменения можно через обычную программу-блокнот. Не забывайте предварительно делать копии.
Системный реестр Windows. Командная строка. Раскладка клавиатуы. Дефрагментация
Для удобства пользования используется следующая система, позволяющая наглядно представить все возможности реестра.
Используемые сокращения
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT
Продолжение: страница 1…2…3…4…
Часы
- Синхронизация системных часов
Для изменения интервала синхронизации системных часов компьютера с time-сервером в разделеHKLM\SYSTEM\ControlSet001\Services\W32Time\TimeProviders\NtpClient
выбираем параметр SpecialPollInterval и изменяем его значение: оно должно быть равно требуемому интервалу между синхронизациями системного времени, выраженному в секундах (например, 43200 — 12 часов)
- Выбор time-серверов
Windows XP умеет подстраивать системное время, сверяясь со специальными серверами в интернете. Можно изменить адреса используемых серверов.
Без использования реестра: Щелкните правой кнопкой мыши на значке часов в системной области панели задач, выберите команду «Adjust Date/Time» и на странице «Internet Time» установите нужный сервер. При помощи реестра: Откройте разделHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers
и внесите свой собственный список серверов, использующихся для синхронизации времени
- Украшение часиков
Идем в разделHKCU\Control Panel\International
и создаем строковый параметр sTimeFormat. Присвойте этому параметру слово, не превышающее 8 символом (например, свою фамилию), и оно отобразится вместо часов. Если вы не готовы к такому радикальному изменению, то предлагаю более мягкий вариант. В указанный параметр пишите «HH:mm Рыжик». В этом случае будет показываться и время и имя вашего любимого кота. Кстати, вместо стандартного разделителся -двоеточия (:) можете использовать и другие символы, например звездочку(*) или вообще обойтись без разделителя. Заодно можете поменять и формат — сначала минуты, потом часы — mm*HH Можно применить и другой интересный эффект. В этом же разделе создаем еще два строковых параметра — s1159 и s2359 и присваиваем им слова, напр. Еще не вечер и Утро вечера мудреней. А в уже знакомом параметре sTimeFormat пишем HH:mm:ss tt (по-прежнему можно использовать другой разделитель). Теперь в утренние часы рядом с часиками будет надпись Еще не вечер, а с 12 до 24 часов соответственно Утро вечера мудреней
Раскладка клавиатуры
- Раскладка для окна Приветствие
Если при установки системы вы в качестве основного языка установили русский язык, а пароль обычно используете на английском языке, то при выводе окна Приветствие вам каждый раз придется переключаться с русского языка на английский, чтобы ввести пароль. Чтобы по умолчанию система выводила английскую раскладку в этом окне надо открыть разделHKU\.DEFAULT\Keyboard Layout\Preload
И там надо на первую позицию поместить желаемую раскладку — 00000409 (английская раскладка) или 00000419 (русская), т.е. просто поменяйте их местами.
- Свой текст для названия раскладки
Рядом с часиками находится значок раскладки, позволяющий переключать языки при набивке текста (В России обычно используют два языка — Русский и английский). Чтобы изменить всплывающий текст при подведении мыши, идем в разделHKLM\System\CurrentControlSet\Сontrol\Nls\Locale
Там нужно изменить значение соответствующего параметра. Параметр русского языка — 00000419, английского — 00000409 и т.п. Например, вместо слова Русский пишем Великий и могучий
Недостаточно места на диске
Если на вашем диске остается свободным менее 10% (по умолчанию) места, то система информирует об этом появлением иконки в области уведомления (рядом с часиками). На дисках маленькой емкости этот порог вполне оправдан, но для дисков большой емкости это не совсем удобно. Можно изменить порог в процентном соотношении. Находим параметр типа DWORD DiskSpaceThreshold, в котором указываете значение от 0 до 99 (т.е процент от объема диска) в разделе
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Если Windows постоянно выводит сообщения о том, что на диске мало места (см. выше), то создайте параметр типа DWORD NoLowDiskSpaceChecks со значением, равным 1 в разделе
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer
Дефрагментация
- Как уменьшить фрагментируемость больших файлов на диске?
Для того чтобы операционная система при записи файла на диск сначала нашла для него наиболее подходящее по размеру место и поместила его туда, как можно меньше дробя на части, необходимо добавить в разделHKLM\System\CurrentControlSet\Control\FileSystem
параметр ContigFileAllocSize со значением типа dword равный 00000200, который и определяет максимальный размер нефрагментируемого блока данных на диске. При желании размер такого блока можно еще увеличить. Данная настройка может быть очень полезной при работе с мультимедиа (уменьшается нагрузка на диск и процессор при записи и воспроизведении видео или звуковых файлов).
- Boot defrag (Windows XP)
Суть boot defrag заключается в дефрагментации тех файлов, что нужны для старта операционной системы. Выключение этой функции позволит на некоторое время уменьшить время загрузки, но со временем она будет становиться все медленнее. Если хотите отключить данную функцию, то идем в разделHKLM\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction
и меняем там значение параметра Enable на N. Для включения используйте Y
Файл подкачки
- Очистка файла подкачки
Файл подкачки pagefile.sys находится в корне каждого или только системного диска. Там могут оставаться ваши пароли к различным ресурсам и прочая конфиденциальная информация Для очистки данного файла после завершения работы установите параметр типа DWORD ClearPageFileAtShutdown равным 1 в разделеHKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
- Способ использования файла подкачки
По умолчанию, все запущенные системные драйвера и пользовательские коды, которые не помещаются в памяти, сбрасываются в файл подкачки на диске. При большой памяти компьютера можно разрешить не сохранять данные на диске. Для этого используйте ключ типа DWORD DisablePagingExecutive со значением 1 в разделеHKLM\ SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Изменение времени ожидания проверки диска
При загрузке Windows после неправильного выключения запускается проверка дисков. При этом пишется что-то вроде «Через 10 секунд начну проверять…». Чтобы уменьшить время ожидания надо в разделе
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
создать или отредактировать параметр AutoChkTimeOut типа DWORD и присвоить ему значение в секундах. По умолчанию установлена пауза в 10 секунд. Если вы присвоите ему значение больше чем 259200 секунд (около 3 дней), то будет использоваться значение по умолчанию
Num Lock
Можно управлять состоянием индикатора NumLock до входа в систему в экране приветствия. Этот способ может пригодиться тем, кто использует для входа в систему в качестве пароля цифры. В этом случае вам надо установить параметр InitialKeyboardIndicators в разделе
HKU\.DEFAULT\Control Panel\Keyboard
Значение 0 — выключено, значение 2 — включено.
Некоторые сетуют, что при входе пользователя в систему переключатель клавиатуры Num Lock всегда выключен. Можно ли сделать, чтобы он всегда был включен? Для этого найдите ветвь
HKCU\Сontrol Panel\Keyboard
и установите строковое значение InitialKeyboardIndicators равным «2»
Выбор программы
Когда вы щелкаете на файле с незарегистрированным в системе расширением, то появляется окно «Выбор программы» (или «Открыть с помощью…»), в котором вам предлагается выбрать из предложенного списка программу, способную обработать неизвестный тип файла. Но в данном окне всегда установлен флажок «Всегда использовать эту программу…», что порой приводит к нежелательным проблемам. Как правило, данный флажок лучше не использовать, чтобы не повредить реестр. Существует способ, чтобы этот флажок отсутствовал по умолчанию. Для этого нужно немного подправить запись в реестре. Откройте раздел:
HKCR\Unknown\shell\openas\command
и в установленном по умолчанию параметре запишите
C:\WINDOWS\rundll32.exe shell32.dll,OpenAs_RunDLL %1 %2
Список программ
Если вы постоянно пользовались окном Выбор программы, то реестр заполняется списком выбранных программ. Можно очистить этот список для уменьшения размера реестра или скрытия своих следов деятельности. Данный список находится в разделе
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Клавиша Windows
- Отключение клавиши Windows
На некоторых современных клавиатурах присутствует клавиша Windows (как правило, логотип-флажок Майкрософт). Некоторым пользователям она мешает при быстрой печати или играх. Чтобы отключить ее, нужно создать новый двоичный параметр Scancode Map со значением 00 00 00 00 00 00 00 00 03 00 00 00 00 00 5B E0 00 00 5C E0 00 00 00 00 в разделеHKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout
- Запрещение горячих клавиш с клавишей Windows
Можно отключить использование комбинацию «горячих» клавиш с клавишей Windows. Для этого создаем параметр типа DWORD NoWinKeys со значением 1 в разделеHKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer
Однако после установки этого запрета, одиночное нажатие клавиши Windows, которое вызывает меню «Пуск», будет работать.
Создание псевдонима для программы
Существует скрытая возможность создания псевдонима для запускаемой программы. Например, вы выбрали команду Пуск-Выполнить и напечатали WINRAR, а запускается блокнот NOTEPAD Для этого найдите ветвь:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
— в ней в качестве подразделов выступают имена программ.
Войдите в один из разделов, например WINRAR.EXE из измените строковое значение по умолчанию на путь к другой программе, например C:\WINDOWS\NOTEPAD.EXE.
Теперь закройте реестр. Выберите Пуск — Выполнить и напечатайте winrar и у вас запустится блокнот
Обработка reg-файлов
Значки для DLL
Оболочка Windows использует для файлов DLL определенный стандартный значок. Но порой эти dll-файлы сами содержат значки. Можно настроить систему таким образом, чтобы она выводила значок из этих файлов (Если файл значков не содержит, то будет выведен стандартный значок для неизвестного типа файлов). Идем в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dllfile\DefaultIcon
и меняем установленное строковое значение по умолчанию например,
«C:\WINDOWS\SYSTEM\shell32.dll,-154» на «%1»
Автоматическая выгрузка DLL
Оболочка Windows выгружает неиспользуемые DLL не сразу, а через некоторое время. Этот промежуток времени иногда может достигать больших интервалов (особенно при отладке программ). Для автоматической выгрузки всех DLL установите значение строкового параметра AlwaysUnloadDLL равным «1» в разделе
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Источник: whatis.ru
Реестр Windowsдля опытных пользователей — Windows Server
- 11 минут на чтение
В этой статье
В этой статье описывается реестр Windows и предоставляется информация о том, как его редактировать и создавать резервные копии.
Применимо к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 256986
Описание реестра
Компьютерный словарь Microsoft , пятое издание, определяет реестр как:
Центральная иерархическая база данных, используемая в Windows 98, Windows CE, Windows NT и Windows 2000, используемая для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
Реестр содержит информацию, на которую Windows постоянно ссылается во время работы, такую как профили для каждого пользователя, приложения, установленные на компьютере, и типы документов, которые каждый может создавать, настройки окна свойств для папок и значков приложений, какое оборудование существует в системе , и используемые порты.
Реестр заменяет большинство текстовых файлов .ini, которые используются в файлах конфигурации Windows 3.x и MS-DOS, таких как Autoexec.bat и Config.sys. Хотя реестр является общим для нескольких операционных систем Windows, между ними есть некоторые различия. Куст реестра — это группа ключей, подразделов и значений в реестре, имеющая набор вспомогательных файлов, содержащих резервные копии его данных. Вспомогательные файлы для всех кустов, кроме HKEY_CURRENT_USER, находятся в папке% SystemRoot% \ System32 \ Config
в Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista. Вспомогательные файлы для HKEY_CURRENT_USER находятся в папке % SystemRoot% \ Profiles \ Username
.Расширения имен файлов в этих папках указывают на тип данных, которые они содержат. Кроме того, отсутствие расширения иногда может указывать на тип данных, которые они содержат.
Улей реестра | Вспомогательные файлы |
---|---|
HKEY_LOCAL_MACHINE \ SAM | Сэм, Sam.log, Sam.sav |
HKEY_LOCAL_MACHINE \ Security | Безопасность, Security.log, Security.sav |
HKEY_LOCAL_MACHINE \ Программное обеспечение | Программное обеспечение, Программное обеспечение.журнал, Software.sav |
HKEY_LOCAL_MACHINE \ System | Система, System.alt, System.log, System.sav |
HKEY_CURRENT_CONFIG | Система, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log |
HKEY_USERS \ ПО УМОЛЧАНИЮ | По умолчанию, Default.log, Default.sav |
В Windows 98 файлы реестра называются User.dat и System.dat. В Windows Millennium Edition файлы реестра называются Classes.dat, User.dat и System.dat.
Примечание
Функции безопасности в Windows позволяют администратору контролировать доступ к разделам реестра.
В следующей таблице перечислены предварительно определенные ключи, которые используются системой. Максимальный размер имени ключа — 255 символов.
Папка / предопределенный ключ | Описание |
---|---|
HKEY_CURRENT_USER | Содержит корень информации о конфигурации для текущего пользователя.Здесь хранятся папки пользователя, цвета экрана и настройки панели управления. Эта информация связана с профилем пользователя. Этот ключ иногда обозначается сокращенно как HKCU . |
HKEY_USERS | Содержит все активно загружаемые профили пользователей на компьютере. HKEY_CURRENT_USER — это подраздел HKEY_USERS. HKEY_USERS иногда сокращается до HKU . |
HKEY_LOCAL_MACHINE | Содержит информацию о конфигурации, относящуюся к компьютеру (для любого пользователя).Этот ключ иногда обозначается сокращенно как HKLM . |
HKEY_CLASSES_ROOT | Это подраздел HKEY_LOCAL_MACHINE \ Software . Информация, которая хранится здесь, гарантирует, что правильная программа открывается при открытии файла с помощью проводника Windows. Этот ключ иногда обозначается как HKCR . Начиная с Windows 2000, эта информация хранится под ключами HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Ключ HKEY_LOCAL_MACHINE \ Software \ Classes содержит настройки по умолчанию, которые могут применяться ко всем пользователям на локальном компьютере.Ключ HKEY_CURRENT_USER \ Software \ Classes содержит параметры, которые переопределяют параметры по умолчанию и применяются только к интерактивному пользователю. Ключ HKEY_CLASSES_ROOT обеспечивает представление реестра, объединяющего информацию из этих двух источников. HKEY_CLASSES_ROOT также предоставляет это объединенное представление для программ, разработанных для более ранних версий Windows. Чтобы изменить настройки для интерактивного пользователя, необходимо внести изменения в HKEY_CURRENT_USER \ Software \ Classes , а не в HKEY_CLASSES_ROOT.Чтобы изменить настройки по умолчанию, изменения должны быть сделаны в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы пишете ключи для ключа в HKEY_CLASSES_ROOT, система сохраняет информацию в HKEY_LOCAL_MACHINE \ Software \ Classes . Если вы записываете значения в ключ под HKEY_CLASSES_ROOT, а ключ уже существует под HKEY_CURRENT_USER \ Software \ Classes , система сохранит информацию там, а не под HKEY_LOCAL_MACHINE \ Software \ Classes . |
HKEY_CURRENT_CONFIG | Содержит информацию о профиле оборудования, который используется локальным компьютером при запуске системы. |
Примечание
Реестр в 64-битных версиях Windows XP, Windows Server 2003 и Windows Vista разделен на 32-битные и 64-битные ключи. Многие из 32-битных ключей имеют те же имена, что и их 64-битные аналоги, и наоборот. В 64-разрядной версии редактора реестра по умолчанию, которая входит в состав 64-разрядных версий Windows XP, Windows Server 2003 и Windows Vista, 32-разрядные ключи отображаются в узле HKEY_LOCAL_MACHINE \ Software \ WOW6432Node
.Дополнительные сведения о просмотре реестра в 64-разрядных версиях Windows см. В разделе
Как просмотреть системный реестр в 64-битных версиях Windows.
В следующей таблице перечислены типы данных, которые определены в настоящее время и используются Windows. Максимальный размер имени значения:
- Windows Server 2003, Windows XP и Windows Vista: 16 383 символа
- Windows 2000: 260 символов ANSI или 16 383 символа Unicode
- Windows Millennium Edition / Windows 98 / Windows 95: 255 символов
Длинные значения (более 2048 байт) должны храниться в виде файлов с именами файлов, хранящимися в реестре.Это помогает реестру работать эффективно. Максимальный размер значения:
- Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows Vista: доступная память
- Windows Millennium Edition / Windows 98 / Windows 95: 16 300 байт
Примечание
Существует ограничение в 64 КБ для общего размера всех значений ключа.
Имя | Тип данных | Описание |
---|---|---|
Двоичное значение | REG_BINARY | Необработанные двоичные данные.Большая часть информации о компонентах оборудования хранится в виде двоичных данных и отображается в редакторе реестра в шестнадцатеричном формате. |
Значение DWORD | REG_DWORD | Данные представлены числом длиной 4 байта (32-битное целое число). Многие параметры для драйверов устройств и служб относятся к этому типу и отображаются в редакторе реестра в двоичном, шестнадцатеричном или десятичном формате. Связанные значения: DWORD_LITTLE_ENDIAN (младший байт находится в младшем адресе) и REG_DWORD_BIG_ENDIAN (младший байт находится в старшем адресе). |
Расширяемое строковое значение | REG_EXPAND_SZ | Строка данных переменной длины. Этот тип данных включает переменные, которые разрешаются, когда программа или служба используют данные. |
Многострочное значение | REG_MULTI_SZ | Множественная строка. К этому типу обычно относятся значения, содержащие списки или несколько значений в форме, доступной для чтения. Записи разделяются пробелами, запятыми или другими знаками. |
Строковое значение | REG_SZ | Текстовая строка фиксированной длины. |
Двоичное значение | REG_RESOURCE_LIST | Серия вложенных массивов, предназначенная для хранения списка ресурсов, используемого драйвером оборудования или одним из физических устройств, которыми он управляет. Эти данные обнаруживаются и записываются системой в дереве \ ResourceMap и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение. |
Двоичное значение | REG_RESOURCE_REQUIREMENTS_LIST | Серия вложенных массивов, предназначенная для хранения списка драйверов устройства возможных аппаратных ресурсов, которые драйвер или одно из физических устройств, которыми он управляет, могут использовать.Система записывает подмножество этого списка в дерево \ ResourceMap. Эти данные обнаруживаются системой и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение. |
Двоичное значение | REG_FULL_RESOURCE_DESCRIPTOR | Серия вложенных массивов, предназначенная для хранения списка ресурсов, используемого физическим аппаратным устройством. Эти данные обнаруживаются и записываются системой в дереве \ HardwareDescription и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение. |
Нет | REG_NONE | Данные без какого-либо конкретного типа. Эти данные записываются в реестр системой или приложениями и отображаются в редакторе реестра в шестнадцатеричном формате как двоичное значение |
Ссылка | REG_LINK | Строка Unicode, обозначающая символическую ссылку. |
QWORD Значение | REG_QWORD | Данные представлены числом, которое является 64-битным целым числом. Эти данные отображаются в редакторе реестра как двоичное значение и были введены в Windows 2000. |
Резервное копирование реестра
Перед тем, как редактировать реестр, экспортируйте разделы реестра, которые вы планируете редактировать, или сделайте резервную копию всего реестра. В случае возникновения проблемы вы можете выполнить действия, описанные в разделе «Восстановление реестра», чтобы восстановить реестр в его предыдущее состояние. Чтобы создать резервную копию всего реестра, используйте утилиту резервного копирования для резервного копирования состояния системы. Состояние системы включает в себя реестр, базу данных регистрации классов COM + и ваши загрузочные файлы.Дополнительные сведения об использовании служебной программы резервного копирования для резервного копирования состояния системы см. В следующих статьях:
Редактировать реестр
Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в разделе «Функции реестра».
Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или запуска сценариев, таких как файлы сценариев VisualBasic.
Использование пользовательского интерфейса Windows
Мы рекомендуем вам использовать пользовательский интерфейс Windows для изменения настроек системы вместо того, чтобы вручную редактировать реестр.Однако редактирование реестра иногда может быть лучшим методом решения проблемы с продуктом. Если проблема задокументирована в базе знаний Microsoft, будет доступна статья с пошаговыми инструкциями по редактированию реестра для решения этой проблемы. Мы рекомендуем вам точно следовать этим инструкциям.
Использовать редактор реестра
Предупреждение
Серьезные проблемы могут возникнуть, если вы измените реестр неправильно с помощью редактора реестра или другим способом. Эти проблемы могут потребовать переустановки операционной системы.Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вы вносите изменения в реестр на свой страх и риск.
Вы можете использовать редактор реестра для выполнения следующих действий:
- Найдите поддерево, ключ, подключ или значение
- Добавить подраздел или значение
- Изменить значение
- Удалить подраздел или значение
- Переименовать подраздел или значение
В области навигации редактора реестра отображаются папки. Каждая папка представляет собой предопределенный ключ на локальном компьютере.При доступе к реестру удаленного компьютера появляются только два предопределенных ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.
Использовать групповую политику
Microsoft Management Console (MMC) содержит инструменты администрирования, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, которые применяются к компьютерам или пользователям. Вы можете реализовать групповую политику на локальных компьютерах с помощью оснастки локальной групповой политики MMC, Gpedit.msc. Вы можете реализовать групповую политику в Active Directory с помощью оснастки MMC «Пользователи и компьютеры Active Directory». Дополнительные сведения об использовании групповой политики см. В разделах справки соответствующей оснастки MMC групповой политики.
Используйте файл регистрационных записей (.reg)
Создайте файл регистрационных записей (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, на котором вы хотите внести изменения. Вы можете запустить REG-файл вручную или с помощью сценария входа в систему.Дополнительные сведения см. В разделе Добавление, изменение или удаление подразделов и значений реестра с помощью файла регистрационных записей (.reg).
Использовать Windows Script Host
Windows Script Host позволяет запускать сценарии VBScript и JScript непосредственно в операционной системе. Вы можете создавать файлы VBScript и JScript, которые используют методы Windows Script Host для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах см. На следующих веб-сайтах корпорации Майкрософт:
Используйте инструментарий управления Windows
Windows Management Instrumentation (WMI) является компонентом операционной системы Microsoft Windows и реализацией Microsoft для управления предприятием через Интернет (WBEM).WBEM — это отраслевая инициатива по разработке стандартной технологии доступа к управленческой информации в корпоративной среде. Вы можете использовать WMI для автоматизации административных задач (таких как редактирование реестра) в корпоративной среде. Вы можете использовать WMI в языках сценариев, которые имеют движок в Windows и обрабатывают объекты Microsoft ActiveX. Вы также можете использовать служебную программу командной строки WMI (Wmic.exe) для изменения реестра Windows.
Для получения дополнительных сведений о WMI см. Инструментарий управления Windows.
Дополнительные сведения о служебной программе командной строки WMI см. В разделе Описание служебной программы командной строки инструментария управления Windows (WMI) (Wmic.exe).
Используйте консольный реестр для Windows
Для редактирования реестра можно использовать Console Registry Tool для Windows (Reg.exe). Чтобы получить справку по инструменту Reg.exe, введите reg /?
в командной строке, а затем нажмите ОК .
Восстановить реестр
Для восстановления реестра воспользуйтесь соответствующим методом.
Метод 1. Восстановить ключи реестра
Чтобы восстановить экспортированные подразделы реестра, дважды щелкните файл регистрационных записей (.reg), который вы сохранили в разделе «Экспорт подразделов реестра». Или вы можете восстановить весь реестр из резервной копии. Дополнительные сведения о том, как восстановить весь реестр, см. В разделе «Метод 2: восстановление всего реестра» далее в этой статье.
Метод 2: Восстановить весь реестр
Чтобы восстановить весь реестр, восстановите состояние системы из резервной копии.Дополнительные сведения о том, как восстановить состояние системы из резервной копии, см. В разделе Как использовать резервную копию для защиты данных и восстановления файлов и папок на вашем компьютере в Windows XP и Windows Vista.
Примечание
Резервное копирование состояния системы также создает обновленные копии файлов реестра в папке % SystemRoot% \ Repair
.
Список литературы
Для получения дополнительной информации посетите следующие веб-сайты:
Каталог протестированных продуктов Windows Server — это справочник продуктов, которые были протестированы на совместимость с Windows Server.
Data Protection Manager (DPM) является ключевым членом семейства продуктов управления Microsoft System Center и разработан, чтобы помочь ИТ-специалистам управлять своей средой Windows. DPM — это новый стандарт резервного копирования и восстановления Windows, обеспечивающий непрерывную защиту данных для приложений и файловых серверов Microsoft, использующих интегрированные дисковые и ленточные носители. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows XP и Windows Vista.
Что такое реестр Windows?
Обновлено: 16.11.2019, Computer Hope
Реестр или Реестр Windows — это база данных с информацией, настройками, параметрами и другими значениями для программного и аппаратного обеспечения, установленного во всех версиях операционных систем Microsoft Windows. При установке программы в реестре создается новый подраздел. Этот подраздел содержит параметры, относящиеся к этой программе, такие как ее расположение, версия и основной исполняемый файл.
Когда Windows была первоначально выпущена (например, Windows 3.11), она в значительной степени полагалась на файлы .ini для хранения конфигураций и настроек Windows и программ Windows. Хотя файлы .ini по-прежнему иногда используются, большинство программ Windows полагаются на настройки, сделанные в реестре Windows после установки.
Информация о редакторе реестра
Для просмотра и внесения изменений в реестр Windows можно использовать редактор реестра Windows (показан ниже). В Windows 3.x редактор реестра назывался Registration Info Editor или Registration Editor .Редактор реестра позволяет просматривать все ключи и значения, которые есть в реестре, и изменять значения Windows, программы или драйвера, которые вы считаете необходимыми.
Корневые ключи реестра (имя куста)
При первом открытии редактора реестра Windows отображаются корневые ключи, содержащие все значения реестра. Ниже приводится краткое описание каждого из наиболее распространенных корневых ключей и значений, содержащихся в каждом из них.
Корневой ключ | Описание |
---|---|
HKCR (HKEY_CLASSES_ROOT) | Описывает тип файла, расширение файла и информацию OLE. |
HKCU (HKEY_CURRENT_USER) | Содержит пользователя, который в данный момент вошел в Windows, и его настройки. |
HKLM (HKEY_LOCAL_MACHINE) | Содержит относящуюся к компьютеру информацию об установленном оборудовании, настройках программного обеспечения и другую информацию. Информация используется для всех пользователей, которые входят в систему на этом компьютере. Этот раздел и его подразделы — одна из наиболее часто просматриваемых и редактируемых пользователями областей реестра. |
HKU (HKEY_USERS) | Содержит информацию обо всех пользователях, которые входят в систему на компьютере, включая как общую, так и индивидуальную информацию. |
HKEY_CURRENT_CONFIG (HKCC) | Подробная информация о текущей конфигурации оборудования, подключенного к компьютеру. |
HKDD (HKEY_DYN_DATA) | Используется только в Windows 95, 98 и NT, ключ содержит информацию о динамическом состоянии и информацию о plug and play.Информация может изменяться по мере добавления или удаления устройств с компьютера. Информация для каждого устройства включает соответствующий аппаратный ключ и текущее состояние устройства, включая проблемы. |
Значения реестра Windows
Ниже приведены различные значения, с которыми вы сталкиваетесь в реестре Windows, и краткое описание того, какой тип данных может содержать каждое значение.
Должен ли я использовать «реестр» или «реестр» в моем письме?
В соответствии с Руководством по стилю Microsoft, «реестр» пишется полностью в нижнем регистре, за исключением случаев, когда часть именованного компонента системы (например.g., «Редактор реестра»), или это первое слово предложения.
База данных, куст, термины операционной системы, очиститель реестра
Общие сведения о реестре в Windows
ИТ-специалисты могут узнать о реестре Windows.
Реестр Windows — это иерархическая база данных, в которой хранятся параметры и параметры конфигурации в операционных системах Microsoft Windows. Он содержит настройки для низкоуровневых компонентов операционной системы, а также приложений, работающих на платформе: ядро, драйверы устройств, службы, SAM, пользовательский интерфейс и сторонние приложения — все они используют реестр.Реестр также предоставляет средства доступа к счетчикам для профилирования производительности системы.
Реестр содержит два основных элемента: ключи и значения.
Ключи реестра
Ключи реестра похожи на папки — в дополнение к значениям каждый ключ может содержать подключи, которые могут содержать дополнительные подключи, и так далее. Ссылки на ключи имеют синтаксис, аналогичный именам путей в Windows, с использованием обратной косой черты для обозначения уровней иерархии. Каждый подраздел имеет обязательное имя, которое представляет собой непустую строку, которая не может содержать никакой обратной косой черты или нулевого символа, а регистр букв не имеет значения.
К иерархии ключей реестра можно получить доступ только из известного дескриптора корневого ключа (который является анонимным, но эффективное значение которого является постоянным числовым дескриптором), который отображается на содержимое раздела реестра, предварительно загруженного ядром из сохраненного «куста». », Или с содержимым подраздела в другом корневом ключе, или сопоставлены с зарегистрированной службой или DLL, которые предоставляют доступ к содержащимся в нем подключам и значениям.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows относится к подразделу «Windows» подраздела «Microsoft» подраздела «Программное обеспечение» корневого ключа HKEY_LOCAL_MACHINE.
Имеется семь предопределенных корневых ключей:
- HKEY_LOCAL_MACHINE или HKLM
- HKEY_CURRENT_CONFIG или HKCC (только в Windows 9x / ME и версиях Windows на базе NT)
- HKEY_CLASSES_ROOT или HKEY_CLASSES_ROOT_ 9_00030003 или HKCR
- 0003 или HKEY_CLASSES_ROOT_ 9_0003 или HKCR
- или HKCR
- 0003 или HKEY_CLASSES_ROOT_
- или HKCR
- HKEY_PERFORMANCE_DATA (только в версиях Windows для NT, но не отображается в редакторе реестра Windows)
- HKEY_DYN_DATA (только в Windows 9x / ME и отображается в редакторе реестра Windows)
Как и другие файлы и службы в Windows, все ключи реестра могут быть ограничены списками управления доступом (ACL), в зависимости от прав пользователя, или токенов безопасности, полученных приложениями, или политик безопасности системы, применяемых системой (эти ограничения могут быть заранее определены самой системой и настроены с помощью локальными системными администраторами или администраторами домена).Разные пользователи, программы, службы или удаленные системы могут видеть только некоторые части иерархии или отдельные иерархии из одних и тех же корневых ключей.
HKEY_LOCAL_MACHINE (HKLM)
Ключ, обнаруженный HKLM, на самом деле не хранится на диске, но поддерживается в памяти ядром системы, чтобы отобразить туда все остальные подключи. Приложения не могут создавать дополнительные подразделы. В версиях Windows на базе NT этот ключ содержит четыре подраздела: «SAM», «SECURITY», «SYSTEM» и «SOFTWARE», которые загружаются во время загрузки в соответствующие файлы, расположенные в папке% SystemRoot% System32config.Пятый подключ, «HARDWARE», является энергозависимым и создается динамически и, как таковой, не сохраняется в файле (он предоставляет обзор всех обнаруженных в данный момент устройств Plug-and-Play). В Windows Vista, Windows Server 2008, Windows Server 2008 R2 и Windows 7 шестой подраздел отображается в памяти ядром и заполняется из данных конфигурации загрузки (BCD).
HKLMSAM Key
Этот ключ обычно отображается как пустой для большинства пользователей (если им не предоставлен доступ администраторами локальной системы или администраторами доменов, управляющих локальной системой).Он используется для ссылки на все базы данных «Безопасность и управление учетными записями» (SAM) для всех доменов, в которых локальная система авторизована или настроена административно (включая локальный домен работающей системы, в базе данных SAM которой хранится подраздел, также называемый « SAM »: при необходимости будут созданы другие подключи, по одному для каждого дополнительного домена).
Каждая база данных SAM содержит все встроенные учетные записи (в основном псевдонимы групп) и настроенные учетные записи (пользователи, группы и их псевдонимы, включая гостевые учетные записи и учетные записи администраторов), созданные и настроенные в соответствующем домене, для каждой учетной записи в этом домене она в частности, содержит имя пользователя, которое может использоваться для входа в этот домен, внутренний уникальный идентификатор пользователя в домене, их криптографически хешированный пароль в этом домене, расположение хранилища их куста реестра пользователей, различные флаги состояния (например, если учетную запись можно перечислить и отобразить на экране приглашения входа в систему), а также список доменов (включая локальный домен), для которых была настроена учетная запись.
HKLMSECURITY Key
Этот ключ обычно кажется пустым для большинства пользователей (если им не предоставлен доступ пользователями с административными привилегиями) и связан с базой данных безопасности домена, в который вошел текущий пользователь (если пользователь вошел в систему) в домене локальной системы этот ключ будет связан с кустом реестра, который хранится на локальном компьютере и управляется локальными системными администраторами или встроенной учетной записью «Система» и установщиками Windows). Ядро получит к нему доступ, чтобы прочитать и применить политику безопасности, применимую к текущему пользователю и всем приложениям или операциям, выполняемым этим пользователем.Он также содержит подраздел «SAM», который динамически связан с базой данных SAM домена, в котором зарегистрирован текущий пользователь.
Ключ HKLMSYSTEM
Этот ключ обычно доступен для записи только пользователям с правами администратора в локальной системе. Он содержит информацию о настройке системы Windows, данные для безопасного генератора случайных чисел (RNG), список подключенных в настоящее время устройств, содержащих файловую систему, несколько пронумерованных «HKLMSYSTEMControl Sets», содержащих альтернативные конфигурации для драйверов системного оборудования и служб, работающих на локальном компьютере. system (включая используемый в настоящее время и резервную копию), подраздел «HKLMSYSTEMSelect», содержащий состояние этих наборов элементов управления, и «HKLMSYSTEMCurrentControlSet», который динамически связан во время загрузки с набором элементов управления, который в настоящее время используется в локальной системе.Каждый сконфигурированный набор управления содержит:
- Подраздел «Enum», в котором перечисляются все известные устройства Plug-and-Play и связываются их с установленными системными драйверами (и хранятся конфигурации этих драйверов для конкретных устройств).
- Подраздел «Службы», в котором перечислены все установленные системные драйверы (с конфигурацией, не зависящей от устройства, и перечислением устройств, для которых они созданы), а также все программы, работающие как службы (как и когда они могут быть запущены автоматически).
- Подраздел «Управление», объединяющий различные драйверы оборудования и программы, работающие как службы, и все другие общесистемные конфигурации.
- Подраздел «Профили оборудования», в котором перечислены различные настроенные профили (каждый с настройками «Система» или «Программное обеспечение», используемый для изменения профиля по умолчанию в системных драйверах и службах или в приложениях), а также « Hardware ProfilesCurrent », который динамически связан с одним из этих профилей.
HKLMSOFTWARE Подраздел
Этот ключ содержит настройки программного обеспечения и Windows (в профиле оборудования по умолчанию).В основном он изменяется установщиками приложений и систем. Он организован поставщиком программного обеспечения (с подключом для каждого), но также содержит подраздел «Windows» для некоторых настроек пользовательского интерфейса Windows, подраздел «Классы», содержащий все зарегистрированные ассоциации из расширений файлов, типов MIME, идентификаторов классов объектов. идентификаторы интерфейсов (для OLE, COM / DCOM и ActiveX) с установленными приложениями или библиотеками DLL, которые могут обрабатывать эти типы на локальном компьютере (однако эти связи настраиваются для каждого пользователя, см. ниже), а также подраздел «Политики» (также организовано поставщиком) для обеспечения соблюдения общих политик использования приложений и системных служб (включая центральное хранилище сертификатов, используемое для аутентификации, авторизации или запрета удаленных систем или служб, работающих за пределами домена локальной сети).
HKEY_CURRENT_CONFIG (HKCC)
Этот ключ содержит информацию, собранную во время выполнения; информация, хранящаяся в этом ключе, не сохраняется на диске постоянно, а регенерируется во время загрузки. Это дескриптор ключа «HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent», который изначально пуст, но заполняется во время загрузки путем загрузки одного из других подключей, хранящихся в «HKEY_LOCAL_MACHINESystemCurrentControlSetHardware Profiles».
HKEY_CLASSES_ROOT (HKCR)
Этот ключ содержит информацию о зарегистрированных приложениях, такую как ассоциации файлов и идентификаторы классов объектов OLE, связывая их с приложениями, используемыми для обработки этих элементов.В Windows 2000 и более поздних версиях HKCR представляет собой компиляцию пользовательских классов HKCUSoftwareClasses и машинных классов HKLMSoftwareClasses. Если заданное значение существует в обоих приведенных выше подключах, то значение в HKCUSoftwareClasses имеет приоритет. Конструкция допускает регистрацию COM-объектов как для компьютера, так и для конкретного пользователя. Специфичный для пользователя куст классов, в отличие от куста HKCU, не является частью перемещаемого профиля пользователя.
HKEY_USERS (HKU)
Содержит подключи, соответствующие ключам HKEY_CURRENT_USER для каждого профиля пользователя, активно загруженного на машину, хотя пользовательские кусты обычно загружаются только для пользователей, вошедших в систему в данный момент.
HKEY_CURRENT_USER (HKCU)
В этом ключе хранятся параметры, специфичные для текущего пользователя, вошедшего в систему. Ключ HKCU — это ссылка на подраздел HKEY_USERS, который соответствует пользователю; одинаковая информация доступна в обоих местах. В системах на базе Windows NT настройки каждого пользователя хранятся в их собственных файлах под названием NTUSER.DAT и USRCLASS.DAT внутри их собственной подпапки Documents and Settings (или их собственной подпапки Users в Windows Vista и Windows 7). Настройки в этом улье следуют за пользователями с перемещаемым профилем от машины к машине.
HKEY_PERFORMANCE_DATA
Этот ключ предоставляет информацию о времени выполнения в данные о производительности, предоставляемые либо самим ядром NT, либо запущенными драйверами системы, программами и службами, которые предоставляют данные о производительности. Этот ключ не хранится ни в одном кусте и не отображается в редакторе реестра, но его можно увидеть с помощью функций реестра в Windows API или в упрощенном виде на вкладке «Производительность» диспетчера задач (только для некоторых данных о производительности на в локальной системе) или с помощью более продвинутых панелей управления (таких как Performance Monitor или Performance Analyzer, который позволяет собирать и регистрировать эти данные, в том числе из удаленных систем).
HKEY_DYN_DATA
Этот ключ используется только в Windows 95, Windows 98 и Windows Me. Он содержит информацию об аппаратных устройствах, включая Plug and Play и статистику производительности сети. Информация в этом улье также не хранится на жестком диске. Информация Plug and Play собирается и настраивается при запуске и сохраняется в памяти.
Значения
Значения реестра — это пары имя / данные, хранящиеся в ключах. На значения реестра ссылаются отдельно от ключей реестра.Каждое значение реестра, хранящееся в разделе реестра, имеет уникальное имя, регистр букв которого не имеет значения. Функции Windows API, которые запрашивают значения реестра и управляют ими, принимают имена значений отдельно от пути к ключу и / или дескриптора, который идентифицирует родительский ключ. Значения реестра могут содержать обратную косую черту в своем имени, но из-за этого их трудно отличить от их ключевых путей при использовании некоторых устаревших функций Windows Registry API (использование которых не рекомендуется в Win32).
Терминология несколько вводит в заблуждение, поскольку каждый раздел реестра аналогичен ассоциативному массиву, где стандартная терминология будет относиться к части имени каждого значения реестра как к «ключу».Эти термины заимствованы из 16-разрядного реестра в Windows 3, в котором ключи реестра не могут содержать произвольные пары имя / данные, а содержат только одно безымянное значение (которое должно быть строкой). В этом смысле весь реестр был подобен единому ассоциативному массиву, где ключи реестра (как в смысле реестра, так и в смысле словаря) образовывали иерархию, а все значения реестра были строками. Когда был создан 32-битный реестр, появилась дополнительная возможность создания нескольких именованных значений для каждого ключа, и значения имен были несколько искажены.Для совместимости с предыдущим поведением каждый раздел реестра может иметь значение «по умолчанию», имя которого — пустая строка.
Каждое значение может хранить произвольные данные с переменной длиной и кодировкой, но которые связаны с символьным типом (определенным как числовая константа), определяющим, как анализировать эти данные. Стандартные типы:
Идентификатор типа | Символическое имя типа | Значение и кодировка данных, хранящихся в значении реестра | |||
0 | REG_NONE | 0 | REG_NONE | Без типа (сохраненное значение, если есть) | |
1 | REG_SZ | Строковое значение, обычно хранящееся и предоставляемое в UTF-16LE (при использовании Unicode-версии функций Win32 API), обычно заканчивается нулем символ | |||
2 | REG_EXPAND_SZ | «Расширяемое» строковое значение, которое может содержать переменные среды, обычно хранящиеся и представляемые в UTF-16LE, обычно оканчивающиеся нулевым символом | |||
3 | REG_BINARY | Двоичные данные (любые произвольные данные) | |||
4 | REG_DWORD / REG_DWORD_LITTLE_ENDIAN | Значение DWORD, 32-битное значение unsig ned integer (числа от 0 до 4 294 967 295 [232 — 1]) (с прямым порядком байтов) | |||
5 | REG_DWORD_BIG_ENDIAN | Значение DWORD, 32-битовое целое число без знака (числа от 0 до 4 294 967 295 [232 — 1] ) (big-endian) | |||
6 | REG_LINK | Символьная ссылка (UNICODE) на другой ключ реестра, указывающая корневой ключ и путь к целевому ключу | |||
7 | REG_MULTI_SZ | A multi -string value, который представляет собой упорядоченный список непустых строк, обычно хранящихся и представляемых в UTF-16LE, каждая из которых заканчивается нулевым символом, а список обычно заканчивается вторым нулевым символом. | |||
8 | REG_RESOURCE_LIST | Список ресурсов (используется при перечислении и настройке оборудования Plug-n-Play) | |||
9 | REG_FULL_RESOURCE_DESCRIPTOR | Дескриптор ресурса (используется оборудованием Plug-n-Play перечисление и конфигурация) | |||
10 | REG_RESOURCE_REQUIREMENTS_LIST | Список требований к ресурсам (используется при перечислении и настройке оборудования Plug-n-Play) | |||
11 | REG_QWORD / REG_QWORD_LITTLE_ENDIAN | значение -битовое целое число (либо с прямым порядком байтов, либо с прямым порядком байтов, либо без указания) (введено в Windows 2000)
Ульи
Реестр состоит из нескольких логических разделов, или «кустов» (слово «куст» представляет собой входящий шутить).Ульи обычно называются по определениям Windows API, которые начинаются с «HKEY». Их часто сокращают до трех- или четырехбуквенного названия, начинающегося с «HK» (например, HKCU и HKLM). Технически они представляют собой предопределенные дескрипторы (с известными постоянными значениями) определенных ключей, которые либо хранятся в памяти, либо хранятся в файлах куста, хранящихся в локальной файловой системе и загружаемых ядром системы во время загрузки, а затем совместно используемых (с различными правами доступа. ) между всеми процессами, запущенными в локальной системе, или загруженными и отображенными во всех процессах, запущенных в пользовательском сеансе, когда пользователь входит в систему.
Узлы HKEY_LOCAL_MACHINE (данные конфигурации для локального компьютера) и HKEY_CURRENT_USER (данные конфигурации для конкретного пользователя) имеют аналогичную структуру друг другу; пользовательские приложения обычно ищут свои настройки, сначала проверяя их в «HKEY_CURRENT_USERSoftwareVendor’s nameApplication’s nameVersionSetting name», и если параметр не найден, ищите вместо этого в том же месте под ключом HKEY_LOCAL_MACHINE. Однако обратное может применяться к параметрам политики, установленным администратором, где HKLM может иметь приоритет над HKCU.Программа с логотипом Windows предъявляет особые требования к тому, где могут храниться различные типы пользовательских данных, а также к соблюдению концепции минимальных прав, так что доступ на уровне администратора не требуется для использования приложения.
Статьи по теме
Обзор
Ведение реестра
|
О реестре Windows
О реестре WindowsОткрыть тему с навигацией
InstallShield 2015 »Microsoft App-V Assistant
Edition: Microsoft App-V Assistant включен в пакет виртуализации.
Реестр Windows — это общесистемная база данных, которая содержит информацию о конфигурации, используемую приложениями и операционной системой.В реестре хранится вся информация, в том числе следующая:
• | Информация о приложении, такая как название компании, название продукта и номер версии |
• | Информация о пути, по которому ваше приложение запускается. |
• | Информация об удалении, позволяющая конечным пользователям легко удалить приложение, не мешая другим приложениям в системе |
• | Общесистемные ассоциации файлов для документов, созданных приложением |
• | Настройки по умолчанию для опций приложения, таких как положение окон |
Ключи, имена значений и значения
Реестр состоит из набора ключей, иерархически упорядоченных в проводнике «Мой компьютер».Сразу под «Мой компьютер» есть несколько корневых ключей. Программа установки может добавлять ключи и значения в любой корневой раздел реестра. Корневые ключи, на которые обычно влияет установка:
Ключ — это указанное место в реестре. Ключ может содержать подраздел, имя значения и пару значений и значение по умолчанию (безымянное). Имя значения и пара значения — это двухчастная структура данных под ключом. Имя значения идентифицирует значение для хранения под ключом, а значение — это фактические данные, связанные с именем значения.Когда имя значения не указано для значения, это значение является значением по умолчанию для этого ключа. Каждый ключ может иметь только одно значение по умолчанию (безымянное).
Обратите внимание, что термины «ключ» и «подключ» являются относительными. В реестре ключ, расположенный ниже другого ключа, может называться подразделом или ключом, в зависимости от того, как вы хотите ссылаться на него относительно другого ключа в иерархии реестра.
Window Registry — обзор
Восстановление реестра Windows
Восстановление реестра Windows (WRR) от MiTeC — это инструмент, который мне нравится использовать, если я просто хочу просмотреть содержимое файла куста реестра.Что мне нравится в WRR, так это то, что интерфейс очень похож на интерфейс RegEdit, и поэтому приятно работать в знакомой среде.
Когда вы впервые запустите WRR и откроете файл куста, вам будет представлен интерфейс, аналогичный показанному на рис. 2.3.
Рисунок 2.3. Частичный пользовательский интерфейс WRR.
В левой части рис. 2.3 вы заметите, что доступно несколько «Задач проводника», которые могут быть очень полезны для сбора и анализа определенных данных из определенных файлов улья.При нажатии на любую из доступных кнопок представление будет заполнено данными, полученными из улья. Следует помнить, что кнопки не относятся к действиям, которые работают для всех ульев. Например, при загруженном кусте программного обеспечения нажатие кнопки «Установка Windows» приведет к появлению вида, аналогичного тому, который показан на рис. 2.4, поскольку информация доступна в этом улье. Однако при нажатии кнопки «Оборудование» откроется представление, в котором просто указано «<информация не найдена>», поскольку необходимая информация находится в кусте «Система», а не в кусте «Программное обеспечение».
Рисунок 2.4. Информация об установке Windows доступна через WRR.
Функции задач Explorer действуют как парсеры (обсуждаемые далее в этой главе), хотя и без каких-либо конкретных индикаторов ульев, к которым они применяются. Даже в этом случае эти функции могут быть очень полезными для аналитика, обеспечивая понимание компонентов и информации, доступной из различных файлов улья. Информация, которую могут получить эти функции, не обширна, но может быть информативной.
WRR также имеет довольно хорошие возможности поиска или функцию «Найти», которая может быть очень полезна при поиске указаний на определенные артефакты или индикаторы в файле куста.Открыв куст в WRR и открыв представление «Необработанные данные», нажмите кнопку со значком лупы, чтобы открыть диалоговое окно «Найти», как показано на рис. 2.5.
Рисунок 2.5. Диалог «Найти» в WRR.
В открывшемся диалоговом окне введите критерий поиска, выберите структуры, которые вы хотите искать (ключи, значения, данные), и нажмите «Найти далее». В зависимости от размера файла куста поиск может занять несколько минут. Когда поиск завершен, все совпадения будут отображаться в самой нижней панели пользовательского интерфейса WRR, а двойной щелчок по любому из совпадений приведет к открытию этого места для просмотра.Я использовал эту функцию поиска для поиска глобальных уникальных идентификаторов (GUID), имен ключей и значений, а также частей текста, которые могут встречаться в данных значений.
Еще кое-что, что очень полезно в WRR, заключается в том, что в открытом представлении «Необработанные данные» вы можете щелкнуть правой кнопкой мыши по ключу, выбрать «Свойства» и просмотреть информацию о ключе, такую как индекс, относительное смещение структура ключей в файле куста и время LastWrite (или «Дата изменения»).
Пожалуй, наиболее часто я использую WRR в сочетании с другими процессами анализа, например, для просмотра значений и данных в пределах определенного ключа, представляющего интерес, во время анализа временной шкалы (более подробная информация об анализе временной шкалы будет представлена позже в этой главе. ).Очень полезно знать, что ключ был изменен в определенное время, но может быть еще полезнее понять, какие значения и данные находятся под этим ключом, или что было фактически изменено. Я также использовал WRR для просмотра файла куста после завершения других процессов анализа в поисках данных, которые могут быть полезны. Обычно это менее конкретный подход, но он часто приводит к интересным выводам, которые я могу включить в другой, будущий анализ. Например, в одном случае я обнаружил, что конкретная информация о конкретной модели сотового телефона содержала данные, хранящиеся в улье программного обеспечения системы, к которой он был подключен, и эта информация, помимо прочего, включала электронный серийный номер.Также были случаи, когда я обнаруживал информацию о других ключах и значениях реестра, которые не имели отношения к рассматриваемому делу, но могут быть полезны во время будущего анализа.
Как уже упоминалось, недостатком WRR является то, что нет ничего, что могло бы определить, к каким ульям применяется конкретное извлечение данных. Я имею в виду, что если вы откроете куст программного обеспечения в WRR и нажмете кнопку «Службы и драйверы», вам будут представлены вкладки «Службы» и «Драйверы», которые будут пустыми.Некоторые кнопки будут отображать «информация не найдена», если файл куста не содержит информации, которую функция пытается получить. Эта функция может быть очень полезной, если вы знаете, какие данные извлекаются и из какого файла куста.
Еще одним недостатком WRR является то, что он вообще не обрабатывает «большие данные». Под «большими данными» я подразумеваю типы данных с двоичными значениями, размер которых превышает 2 или 3 КБ. Сейчас не так много значений имеют «большие данные»; есть тот, на который многие криминалисты обращаются (данные ShimCache или «AppCompatCache», которые мы обсудим более подробно в главе «Анализ системных кустов») в поисках подсказок, и ясно, что WRR не обрабатывает эти данные.Он не только не анализирует и не отображает их в более удобочитаемом виде, но и не считывает данные в улье должным образом, чтобы их можно было экспортировать из улья и проанализировать с помощью другого инструмента.
Реестр Windows | Computerworld
Упомяните пользователям ПК «реестр», и они, вероятно, подумают о очереди за номерными знаками, а не о наборе файлов конфигурации, встроенных в операционные системы Microsoft Corp.
И Microsoft считает, что так и должно быть.В реестре Windows хранится важная информация о конфигурации компьютера. По словам Майка Коулмана, менеджера по продукту Microsoft, пользователи, которые вносят неправильные изменения в реестр, могут привести к нестабильности или даже невозможности использования операционной системы.
Подробнее
Computerworld
QuickStudies
С другой стороны, обученные ИТ-администраторы могут извлечь выгоду из редактирования реестра для управления и настройки рабочего стола пользователя. Например, они могут заблокировать операционную систему, скрыв определенные пункты меню или настроив параметры безопасности, чтобы гарантировать соблюдение пользователями политик компании.
В начале
Microsoft представила реестр Windows в 1995 году. До Windows 95 операционная система использовала текстовые файлы для отслеживания информации о конфигурации, но у этих файлов не было общей структуры, и они были ограничены в типах информации, которую они могли хранить.
По словам Коулмана, если пользователь удалил один из файлов инициализации, решить эту проблему было нелегко. «Мы хотели иметь систему, менее подверженную ошибкам», — говорит он.
По словам Коулмана, реестр может создавать резервные копии и восстанавливать параметры конфигурации как автоматически, так и вручную, и Microsoft работает над тем, чтобы сделать реестр более стабильным, самоподдерживающимся и самовосстанавливающимся. Он отмечает, что для большей гибкости в выборе типов данных, которые могут храниться, Microsoft перешла с текстовых файлов конфигурации на двоичную архитектуру.
Пользователи могут вносить некоторые изменения в реестр Windows косвенно, через панель управления. По словам Коулмана, опытный пользователь может выбрать TweakUI, инструмент, который можно бесплатно загрузить с Windows 98, чтобы настроить параметры пользовательского интерфейса.
Пользователь также может вносить изменения в реестр косвенно через программные приложения. Например, Microsoft Office поддерживает список недавно использованных документов, и пользователь, который не хочет сохранять этот список, может изменить параметр конфигурации в приложении, чтобы отключить эту функцию, говорит Коулман.
Каким бы важным это ни было, реестр Windows также может редактироваться непосредственно пользователем или программными приложениями и программами установки. Чтобы редактировать реестр напрямую, пользователь может использовать инструменты Regedit или Regedt32, которые поставляются с Windows.
Различные штрихи
При просмотре через инструмент редактирования реестр в операционной системе Windows 9x выглядит идентично реестру систем на базе Windows NT, 2000 и XP. Но Коулман говорит, что на диске они представлены по-другому.
Реестр Windows 9x состоит из двух файлов: system.dat и user.dat. Windows Me добавляет файл classes.dat. И system.dat, и user.dat хранятся в каталоге \ windows, если система не настроена для индивидуальных профилей пользователей; затем пользователь.По словам Коулмана, файл dat хранится в \ windows \ profiles \ username.
Реестр для семейства Windows NT, 2000 и XP хранится в нескольких файлах в нескольких подкаталогах, а файл user.dat имеет физически другую структуру, чем файл user.dat в Windows 9x.
Коулман отмечает, что ИТ-администраторы могут применять разрешения к записям реестра в системах Windows NT, 2000 и XP, чтобы предотвратить случайную или непреднамеренную перезапись ключевыми данными реестра пользователями.
В Windows 98 и Me есть инструменты сканирования реестра, которые могут найти и исправить проблемы.По словам Коулмана, сканирование можно запустить вручную, чтобы проверить систему, найти проблемы, а также сжать и очистить базу данных.