Из чего состоит реестр. Реестр Windows: что это такое, как создавать разделы и параметры
Сегодня мы попробуем залезть в реестр Windows с черного хода, без использования штатных WinAPI-функций, для этого предназначенных. Что нам это даст в итоге? Возможность писать и читать из реестра напрямую, в обход ограничений, установленных разработчиками антивирусных решений!
Забегая вперед, отмечу: тема эта интересна, но тут целый набор серьезных проблем. Хотя кто сказал, что нам это не по плечу? 🙂
Что такое реестр, или немного лирики
С точки зрения операционной системы Windows, реестр - это уникальная кладовка. В этой своеобразно выстроенной иерархической базе данных хранятся настройки, данные, регистрационная информация и прочая хрень почти обо всем в системе, начиная с программ и заканчивая настройками конкретного пользователя. В реестре хранится практически все. Несмотря на то что некоторые программы предпочитают хранить свои настройки в ini-конфигах (особенно программы, написанные для Win 3.11. – Прим. ред.), сама Windows всю нужную информацию о самой себе считывает из реестра. Справедливости ради отметим, что в *nix-like операционных системах до сих пор господствует система хранения настроек во всевозможных конфигах.
Новичков - системных администраторов при начале работы с реестром старшие товарищи пугают, что неправильная настройка и изменение параметров реестра могут напрочь завалить систему с последующей ее переустановкой. И это действительно так.
К примеру, так называемые точки восстановления - это копии реестра. Они широко применяются пользователями при возникновении различных проблем как с операционной системой, так и с программным и аппаратным обеспечением.
Надо сказать, что 99% информации о реестре Windows - это описание основных ключей плюс советы, как с ними работать. Но как работает с реестром сама операционная система? И сможем ли мы эмулировать ее действия? Давай немного порассуждаем.
Ну и что?
Реестр - одновременно и сильная и слабая сторона Windows. Сильная сторона реестра в том, что для разработчиков программного обеспечения отпадает необходимость манипулировать туевой хучей конфигов, как это, например, реализовано в никсах. Удобен реестр и для создателей COM-компонентов - система автоматом регистрирует такой компонент в реестре и облегчает задачу по его дальнейшему использованию.
Слабость реестра в том, что доступ к модификации чувствительных областей реестра позволяет управлять Windows любой программе, написанной каким-нибудь новоявленным малварщиком. Вспомни хотя бы самую знаменитую ветку реестра Windows, позволяющую запускать программы на старте ОС:).
Если в Windows 98 реестр могли починять все, кому это взбредет в голову, то начиная с Windows XP доступ к реестру имеют только пользователи с учетной записью администратора. В Vista+ доступ к реестру находится под защитой UAC. Оно и понятно.
Надо признать, что с выходом Win7 концепции безопасности при работе с реестром были пересмотрены в лучшую сторону. Например, под защитой находится ключевая ветвь реестра HKEY_LOCAL_MACHINE. В общем случае попытка что-то записать в нее будет перенаправлена в соответствующую ветку HKEY_CURRENT_USER для текущего пользователя.
Интерфейс
Для работы с реестром напрямую Windows предлагает программисту целый набор WinAPI, которые должны быть знакомы любому системному разработчику, - это Reg*-функции, такие как RegOpenKey, RegQueryValue и так далее. В ядре Win это NtOpenKey, NtQueryValueKey и целый ряд других. Описывать их особого смысла нет - всю документацию по надлежащему использованию этих функций можно найти в MSDN.
Здесь стоит отметить вот что. Антивирусы и проактивки для контроля за пользовательскими действиями устанавливали перехваты на упомянутые функции, как в ядре, так и в юзермоде.
С выходом Win7 x64 ситуация изменилась, и я уже об этом как-то писал. Разработчики Windows решили отказаться от возможности перехватывать потенциально опасные функции в ядре Win. Теперь переменная KeServiceDescriptorTable в x64 больше экспортируется, да и переписать нужный участок кода не выйдет - PatchGuard не даст. Есть, конечно, садомазохистские решения по обходу этих ограничений - но там гемора будет больше, чем профита. Тем более что Microsoft предлагает удобные колбеки ObRegisterCallbacks для контроля за реестром.
INFO
Информации в Сети о структурах, описывающих основные файлы реестра, очень мало. И почти все они на английском. Начальные знания можно найти . Кроме этого, хорошо про реестр написано в библии системщика «Внутреннее устройство Windows» от товарищей М. Руссиновича и Д. Соломона.
А теперь - о самом интересом
Но что же такое реестр на самом деле? Если заглянуть в папку WINDOWSsystem32config, то можно увидеть там несколько файлов: system, software, security, SAM и несколько других.
Это файлы реестра.
Однако несправедливо будет говорить о реестре просто как о некоем сочетании файлов, загруженных в память. Многое из того, что содержит реестр, носит динамический характер, то есть ряд значений высчитывается на этапе загрузки самой системы, в первую очередь это касается определенных параметров железа. Например, таков подраздел реестра HKEY_DYN_DATA, данные которого при загрузке операционной системы размещаются в оперативной памяти и находятся там вплоть до завершения работы операционной системы. То же, кстати, можно сказать и о ключевом подразделе HKEY_LOCAL_MACHINE, который не имеет своего соответствующего файла на диске, но фактически формируется из других файлов реестра, таких как software, system и прочие.
Таким образом, реестр изнутри можно весьма приблизительно назвать «виртуальным сочетанием файлов реестра». После старта системы эти файлы находятся как в файле подкачки (paged pool), так и в невыгружаемой памяти (nonpaged).
Структура реестра
Для того чтобы научиться работать с реестром напрямую, без знаний его внутренней структуры не обойтись никак. В целом Microsoft никогда не раскрывала тайны внутренней структуры файлов, составляющих реестр, поскольку это угрожает безопасности. По моим наблюдениям, все имеющиеся описания файлов реестра и его структуры (а их, кстати совсем чуть-чуть) - результаты изысканий пионэров-исследователей. Наиболее законченное, на мой взгляд, такое «исследование» можно , принадлежит оно товарищу Питеру Норрису.
Не будем вдаваться сейчас в подробности организации и структуры реестра, дело это долгое, нудное и в рамки статьи точно не вписывается. Здесь важно уяснить, что реестр - иерархическая древоподобная структура, иногда также говорят, что она похожа на пчелиные соты.
И что со всем этим теперь делать?
Сразу огорчу: запросто пошаманить напрямую с реестром в юзермоде не получится, система не даст этого сделать, как это обычно бывает с файлами, занятыми другими процессами. Если попытаться извернуться, то можно только прочесть такой «занятый» файл, и то если угадать с флагами, с которыми он был открыт. К сожалению, записать в интересующий нас «файл реестра» информацию не выйдет. Кстати, фича с записью нужной информации в реестр может прокатить, если писать в реестровские *.BAK-файлы, они точно доступны под запись.
Итак, следи за рукой:).
Первое, что может прийти в твою светлую голову, - открыть файл реестра напрямую и что-то туда записать.
Теоретически так сделать можно, для этого нужно, во-первых, уметь работать с «занятыми» файлами (способы ищи в Сети) и, во-вторых, как я уже говорил выше, надо знать внутреннюю структуру файлов реестра. Метод этот довольно топорный, но, несмотря на свою бредовость, он вполне жизнеспособен, хотя его и трудно реализовать на практике (попробуй поэкспериментировать с ним самостоятельно).
Здесь же я предложу два способа, которые помогут тебе распилить реестр на мелкие кусочки.
Первый способ заключается в том, что для конфигурационного менеджера (Configuration Manager, часть операционной системы, если ты не в курсе) реестр есть не более чем набор строго определенных структур в операционной памяти, с которыми, как оказывается, очень даже легко работать. Какие это структуры, спросишь ты? HBASE_BLOCK, HHIVE, HBIN, HCELL, HMAP_ENTRY, HMAP_DIRECTORY, куча CM_* структур, используемых конфиг-менеджером для управления реестром. С точки зрения операционной системы, реестр - это просто набор регламентированных структур в оперативной памяти. К примеру, сигнатура «regf», определяющая «файл реестра», есть заранее определенная константа:
Define HBASE_BLOCK_SIGNATURE 0x66676572 typedef struct _HBASE_BLOCK { ULONG Signature; //0x66676572 ULONG Sequence1; ULONG Sequence2; LARGE_INTEGER TimeStamp; .... } А вот и сигнатура «regf»…
То есть смысл всего этого моего монолога в том, что существует шикарная возможность манипуляции с реестром на уровне операционной системы, но при этом не используя ее штатные средства. Как это возможно? Мы просто сэмулируем действия самой операционной системы, точно так, как она сама работает с реестром! Важно, как я уже говорил, понять, что для самой ОС реестр не более чем набор соответствующих структур в памяти.
Если у нас будет доступ к файлам реестра на уровне ядра, то чем мы хуже самой ОС, чтобы установить свой порядок?
И тут на сцене появляется наиболее интересный вопрос - как найти эти самые структуры в памяти? Верно, штатных средств системы для решения этого вопроса нет, поэтому придется выкручиваться по-хитрому.
Зная, как выглядят структуры, нужно вспомнить, что каждый файл, улей реестра, имеет свою константную сигнатуру. Например, «regf» - это 0x66676572. Для улья сигнатура будет равна 0xBEE0BEE0. Имея доступ к памяти из ядра, мы можем довольно легко найти эти сигнатуры в памяти, просто просканив ее. Еще можно просканить память в поисках сигнатуры «CM10» - именно она присваивается конфиг-менеджером блоку подкачиваемой памяти, который выделяется под структуру CMHIVE. Полагаю, найдя в памяти интересующий нас элемент, ты придумаешь, что делать с ним дальше:).
Как, к примеру, изменить значение ячейки реестра? Значение хранится в поле CM_KEY_VALUE->Data, поэтому, если у тебя возникнет задача изменить какое-либо поле в конкретном ключе реестра, ищи значение именно там:
Typedef struct _CM_KEY_VALUE { WORD Signature; // #define CM_KEY_VALUE_SIGNATURE 0x6B76 WORD NameLength; ULONG DataLength; ULONG Data; //<---------- данные ячейки будут здесь ULONG Type; WORD Flags; WORD Spare; WCHAR Name; } CM_KEY_VALUE, *PCM_KEY_VALUE;
Второй вариант является своеобразной модификацией первого. Если знаешь, существует одна особенность при работе с реестром - все изменения, то есть «создание новых ключей / запись / удаление ключей», как правило, вступают в силу после перезагрузки системы (ну или после перезагрузки эксплорера, это такой хак-метод). До этого все изменения находятся словно в подвешенном, «dirty»-состоянии. Мало того, система при обращении с реестром общается с ним через кеш файловой системы. Это понятно - обращений к реестру может быть сотни в секунду, соответственно, полагаться при этом на быстродействие файловой системы неразумно, тут никакое быстродействие не спасет. Поэтому система и работает с реестром, что называется, виртуально, через кеш файловой системы. И тут, чтобы вытащить кишки реестра на свет, надо залезть в кеш! Как это делается, уже описывалось в тырнетах, в том числе и в .
Pro & Cons, или вместо заключения
Что сказать в итоге? Предложенная читателю в статье вариация на тему прямого контроля за реестром носит исключительно экспериментальный характер. Не спорю, она тяжеловата для практической реализации, и многие скажут, что уж лучше использовать нормальные WinAPI-функции, предназначенные для работы с реестром, - и будут в чем-то правы. Однако реализованная die_hard на деле либа, основанная на приведенных в статье принципах, будет обладать поистине термоядерной силой, неподвластной ни аверам, ни самой операционной системе.
Засим закончу. Удачного компилирования и да пребудет с тобой Сила!
WWW
Обязательна к прочтению статья Марка Руссиновича о реестре «Inside the Registry», нашелся даже русский перевод . Замечательная тулза для сбора информации о реестре: http://goo.gl/iSSVy .
Доброго времени суток, дорогие читатели. В сегодняшней статье речь пойдет о такой штуке как реестр Windows .
Для большинства пользователей, реестр ассоциируется с чем-то совершенно неизвестным, носит какой-то прямо таки мифический характер и вызывает чуть ли не трепет.
Надо сказать, что всё это не зря, ибо шутить с реестром достаточно опасно и даже маленькое неверное движение приводит зачастую к самым тяжким последствиям. Однако при корректном обращении он становится незаменимым инструментом по настройке Windows .
Нижеописанные советы прояснят некоторые вещи для Вас и проложат некий путь, идя по которому Вы научитесь основам обращения с реестром, чтобы, при необходимости, Вы смогли без особой боязни вносить изменения в его параметры.
Реестр Windows - вводная и термины
Можно сказать, что системный реестр Windows представляет собой базу данных, в которой хранятся различные значения параметров ОС (операционной системы) и установленных Вами приложений.
Преимуществом использования реестра является возможность изменять такие параметры, к которым Вы не доберётесь с помощью окон Windows .
Однако, с другой стороны, изменение этих опций не подкреплено подсказками, визуальным оформлением и всякими предостережениями от неправильных действий, которые зачастую даются при использовании панели управления или других опций системы\программ.
Таким образом, работа с ними представляет собой, так сказать, ходьбу по минному полю для неосведомлённых пользователей и, особенно в силу отсутствия визуальной наглядности, многие даже близко не подходят к этому инструменту.
Что делает реестр Windows?
Вообще механизм его работы достаточно прост. При установке программы (или изменении какого-либо параметра Windows в любом из меню настроек) система сама разыскивает нужные параметры и вносит коррективы в одно из значений реестра.
Например, сие происходит при удалении приложений с помощью инструмента «Установка и удаление программ » («Панель управления »).
Кстати, когда Вы по безалаберности удаляете папку с установленной программой посредством простого нажатия Удалить в Мой компьютер , а не через соответствующие инструменты в системе, пункты реестра, отвечающие (а именно содержащие настройки программы, информацию о расположении и тд и тп) за эту программу, не исчезают, а остаются в системе и таким образом захламляют её.
Вот почему так важно грамотно удалять приложения, своевременно очищать и ухаживать за системой, о чем я неоднократно писал в своих статьях - " " или, скажем, " ".
Хотите знать и уметь, больше и сами?
Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!
Как выглядит реестр? Это некая таблица, содержащая в себе все записи реестра, которая хранится на жёстком диске в виде нескольких файлов, но заныкана она так, что единственный путь работы с ней – использование встроенных инструментов Windows или сторонних программ.
regedit - смотрим на реестр Windows своими глазами
Чтобы войти в Windows -средство для правки реестра откройте , затем в появившемся окне напишите и нажмите Enter .
Перед Вам появится штука (она и есть встроенный Windows -редактор реестра), в которой Вы сможете посмотреть, что же представляет собой сие чудо, о котором я веду речь в этой статье.
Хранящиеся значения разделены на категории и размещены в папках, наподобие тех, которые Вы так привыкли видеть в "Мой компьютер ". Чтобы раскрыть папку нажмите по ней пару раз мышкой или воспользуйтесь небольшим плюсиком рядом с её названием.
Папки раздела называются ключами, а содержимое папок, которое отобразится справа, – значениями.
Зачем может быть нужен реестр Windows
Перед тем, как начать мучить и ковырять систему, предупреждаю: информация, сохранённая в реестре, очень важна для корректной работы Windows , её изменение или удаление может привести к сбою в работе компьютера.
Также стоит отметить, что изменения вступают в силу тогда, когда вы их сделали. Реестр Windows – это не документ Word , в котором вы подтверждаете или отменяете внесение поправок в настройки, поэтому ни в коем случае не изменяйте неизвестные вам параметры.
Самый лёгкий способ обезопасить систему – перед совершением каких либо действий, создать точку восстановления (об этом читайте ниже), которая автоматически сделает копию реестра и к ней Вы, скорее всего (но не всегда), сможете вернуться в случае возникновения проблем.
Иногда стоит записывать внесённые изменения на бумагу, что значительно упростит поиск неисправности, если что-либо пойдёт не так, как планировалось (в голове все не удержишь).
Насколько важен реестр Windows , можно судить по тому, что система самостоятельно создаёт резервные копии всех его значений при каждой загрузке, а поэтому в системе есть такой вариант, как «Загрузка последней удачной конфигурации » (обитает там же где и безопасный режим, а именно при нажатии перед загрузочным экраном (там ползет полосочка)).
Чем и как редактировать реестр
Существует множество программ, предоставляющих большой набор функций для работы с реестром, однако при выборе таких средств надо быть внимательными, поскольку непрофессиональные реализации программ могут негативно сказаться на работе системы.
Поэтому, стоит использовать лишь проверенные приложения или инструменты системы. Я предпочитаю встроенный в Windows инструмент речь о котором уже шла чуть выше (и будет идти чуть ниже:)).
Вообще управлять реестром не так сложно как кажется, прежде всего Вы должны знать какие из значений изменять и на что их изменять. А там уж дело техники.
Главное окно управления программы практически не отличается по внешнему виду от привычного пользователю Windows проводника.
Кроме этого, она, как и , обладает меню «Избранное », которое можно использовать для быстрого доступа к параметрам различных ключей.
Для этого выделите нужное значение, нажмите Избранное - Добавить в избранное , введите название и нажмите кнопку «ОК ». Эта функция очень пригодится, если вам нужно регулярно вносить изменения в одну или несколько опций.
За что отвечают категории реестра и что можно в нём делать
Каждая из пяти основных категорий отвечает за хранение своего набора параметров. Например, HKCU – она же HKEY_CURRENT_USER – содержит в себе ключи, управляющие настройками конкретного пользователя, а HKEY_LOCAL_MACHINE – операционной системы в целом.
Я приведу несколько простейших примеров по работе с реестром дабы Вам были понятны основы:
Очищаем историю
- Несмотря на то, что список сайтов, которые Вы посетили c помощью Internet Explorer можно удалить вручную, они все таки всплывут, когда Вы будете вводить в адресную строку схожие варианты;
- Избавиться от этой истории можно с помощью сторонних программ или по средством правки реестра. Открываем и проходим по пути «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs »;
- Зайдя туда, в правой части редактора Вы увидите список адресов, которые Вы можете удалить путём выделения и нажатия на кнопку "Удалить " (предварительно тыкнув правой кнопкой мышки на том, что мы хотим удалить).
Ну или например.
Блокируем диспетчер задач
С помощью реестра можно разблокировать или заблокировать диспетчер задач:
- Откройте и перейдите к «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ »;
- Если в левой части, ниже «Policies », Вы не обнаружите директорию «System » щелкните правой кнопкой мыши по «Policies » и выберите пункт «Создать », а потом «Раздел »;
- Чуть ниже появится новая папка, которую вам надо переименовать в «System »;
- Далее, в окне с параметрами (это справа), тыкните правой кнопкой мышки, выберите Создать -> Параметр DWORD и задайте ему имя DisableTaskMgr ;
- Тыкните по нему правой кнопкой мыши и выберите пункт «Изменить »;
- В строке ввода значения поставьте 1 для выключения (или 0 для включения) диспетчера задач, а затем установите переключатель «Система исчисления » на «Десятичная »;
- После этого, при попытке вызова диспетчера задач будет появляться « » (или наоборот это сообщение исчезнет, если он был заблокирован).
Осторожность при применении
Хотелось бы ещё раз предостеречь вас от изменений неизвестных значений. Каждый раз, погружаясь в настройки, создавайте контрольные точки для восстановления, а также производите резервное копирование важных файлов. Это защитит Вас от случайных сбоев и потери информации.
Дабы создать точку восстановления, нажмите "Пуск - Выполнить - msconfig - Восстановление системы ". В открывшемся окне вам необходимо выбрать «Создать точку восстановления », после чего, следуя подсказкам, Вы без проблем сохраните нынешнее состояние ОС. Восстановить прежнее состояние можно также с помощью этого меню, воспользовавшись соседним пунктом.
Дабы сделать резервную копию ветки реестра\реестра целиком, запустите , выделите нужный раздел\ветку\папку, нажмите "Файл - Экспорт ", а затем выберите куда сохранить файл .reg .
Дабы потом воспользоваться этой резервной копией либо нажмите Файл - Импорт , либо просто надавите мышкой на файл и подтвердите кнопочкой "Да " добавление данных в реестр Windows .
Если Вы сохраняете какую-то ветку, то она сохраняется (и импортируется, соответственно, тоже) с подпапками и со всеми значениями в ней.
Послесловие
Вот такие пироги. Кстати говоря, на просторах всемирной паутины есть очень много веб-сайтов, которые повествуют о различных параметрах и изменениях в реестре. Будьте внимательны, не стоит использовать первый попавшийся совет, не зная результата.
Опять же я не могу не упомянуть о
Реестр представляет из себя важнейший компонент операционных систем семейства Windows. Он достаточно сложен для понимания обычному пользователю. Что же представляет из себя реестр Windows? Реестр — это централизованная база данных, хранящая все настройки операционный системы и работающих в ней приложений. Реестр содержит информацию обо всех аппаратных устройствах, сведения о расширениях имен файлов, всех системных компонентов и работающих в системе приложениях, сетевые параметры, информацию безопасности и т.д.
Таким образом, если на компьютере под управлением Windows имеется программный или аппаратный компонент, влияющий на его работы, то вся информация об этом компоненте хранится в реестре Windows. На схеме ниже показана упрощенная модель, демонстрирующая системные компоненты и их взаимодействие с реестром.
Рассмотрим более подробно, каким образом компоненты Windows 7 взаимодействуют с системным реестром:
- Программа Windows Setup (программа установки) — при первом запуске собирает информацию о системе и создает реестр на основе полученных данных. При установке драйверов или приложений, программа-установщик читает из реестра информацию и добавляют туда свои конфигурационные данные. Наличие реестра позволяет всем программа получать доступ к централизованной базе данных и взаимодействовать друг с другом. Помимо этого, хранимая в реестре информация позволяет корректно удалить приложение, при этом не затрагивая такие важные компоненты как, например, библиотеки DLL.
- Среда восстановления Windows (WinRE) — набор средств, предназначенных для диагностики поврежденной системы и восстановления ее после серьезных ошибок. WinRE активно работает с реестром, и одна из выполняемых задач — это восстановление поврежденного реестра.
- Менеджер загрузки Windows (Windows Boot Manager) — Диспетчер загрузки получает доступ к базе данных BCD (Boot Configuration Data), которая хранится в реестре. После чтения конфигурационных данных менеджер загрузки передает управление Загрузчику Windows — файлу winload.exe, который, в первую очередь, читает необходимые данные из реестра, а затем загружает в память ядро операционной системы (%system32%\ntoskrnl.exe) и уровень аппаратных абстракций (%system%\hall.dll), а также все драйверы начальной загрузки и DLL режима ядра. Вот почему в случае отсутствия или повреждения файлов реестр операционная система просто не загрузится.
- Диспетчер PnP — отвечает за обнаружение устройство по двум параметрам: идентификатору поставщика (vendor ID, VID) и идентификатору устройства (device ID, DID). Когда диспетчер PnP определяет уникальную комбинацию VID и DID, он запрашивает информацию о шине, на которой обнаружено устройство и проверяет установлен ли драйвер для этого устройства. В случае, если драйвер не установлен подсистема PnP должна найти подходящий INF-файл для инсталяции драйвера и начать его установку.
- Диспетчер питания (Power Manager) — тесно взаимодействует с диспетчером PnP, приложениями, поддерживает разнообразные схемы управления электропитанием и управляется групповыми политиками, а вся эта информация хранится в реестре.
- Драйверы устройств — обмениваются с реестром параметрами загрузки и конфигурационными данными. Драйвер должен сообщить об используемых им системных ресурсах. Сами приложения и драйверы устройств могут считывать эту информацию из реестра, предоставляя пользователям удобные средства для установки и конфигурирования.
- Административные средства — административные средства Windows, в том числе утилиты из Панели управления и программы из группы Администрирование представляет собой наиболее удобные и безопасные средства модификации реестра.
- Пользовательские профили (user profiles) — вся информация, относящаяся к конкретной учетной записи пользователя и ассоциированными с ней правами, хранится в реестре. Групповые политики также хранятся в реестре.
- Аппаратные профили (hardware profiles) — представляет собой набор инструкций, с помощью которых можно указать операционной системе, драйверы каких устройств должны загружаться при запуске компьютера.
- Файловые системы — начиная с Windows Vista как файловые системы, так и реестр основаны на транзакциях. На практике это означает, что если набор операций над файлами и реестром помечен как транзакция, то в случае неудачи хоть одной из этих операций всю транзакцию можно «откатить» в исходное положение.
- Подсистема безопасности Windows 7 — подсистема безопасности со всеми ее функциональными возможностями, включая контроль учетных записей (User Account Control, UAC), также реализована на базе реестра и используется для его же защиты. Принцип действия UAC заключается в ограничении привилегий, предоставляемых запускаемым приложениям, уровнем привилегий обычного пользователя. Иными словами, даже если пользователь, запускающий приложение, и обладает административными правами, запускаемые им приложения таких привилегий не имеют, если только пользователь явно не запускает их от имени администратора. Таким образом, с повышенным уровнем привилегий запускаются лишь приложения, которым пользователь доверяет.
- Сетевые компоненты Windows — включают драйверы сетевых адаптеров, параметры настройки сетевых протоколов и сервисов, а также параметры сетевой безопасности и средства защиты сети от атак. Все это также хранится в реестре. Например, база данных Брандмауэра Windows (Windows Firewall) находится в реестре. Многие брандмауэры сторонних производителей также создают в реестре свои ключи, и, следовательно, успешная атака на реестр открывает путь к вторжению извне.
Файловая система на жестком диске имеет много чего общего с логической структурой реестра. Реестр содержит ключи (keys) и параметры (values), которые соответствуют каталогам и файлам на жестком диске. Ключи реестра могут содержать в себе вложенные ключи (подкаталоги). Параметры реестра (также как и файлы) хранят данные. Ключи, находящиеся на самом верхнем уровне иерархии, называются корневыми ключами (root keys). Схема именования ключей и параметров реестра похожа на пути в файловой системе. Типичный путь к вложенному ключу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet. Реестр Windows 7 содержит пять корневых ключей: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.
Чтобы зайти в реестр Windows 7 , нажмите сочетание клавиш win + R (появится окно «Выполнить»), после чего введите и нажмите Enter .
Появиться окно редактора реестра.
Все имена корневых ключей начинаются со строки HKEY_, что указывает разработчикам программного обеспечения на то, что это дескриптор, который может использоваться программой.
Дескриптор (handle) — это значение, применяемое для уникального описания ресурса, к которому программа может получить доступ.
Описание корневых ключей показано в таблице ниже.
| Имя корневого ключа | Описание |
| HKEY_LOCAL_MACHINE | Содержит глобальную информацию об аппаратных средствах и операционной системе, в том числе: тип шины, системная память, драйверы устройств и управляющие данные, используемые при запуске системы. Информация, содержащаяся в составе этого ключа, действует применительно ко всем пользователям, регистрирующимся в системе. На верхнем уровне иерархии реестра для этого ключа имеются три псевдонима: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG и HKEY_DYN_DATA. |
| HKEY_CLASSES_ROOT | Содержит ассоциации между приложениями и типами файлов (по расширению имени файла). Кроме того, этот ключ хранит информацию OLE , ассоциированную с объектами COM, а также данные по ассоциациям файлов и классов. |
| HKEY_CURRENT_CONFIG | Содержит конфигурационные данные для текущего аппаратного профиля. Аппаратные профили (Hardware profiles) представляют собой наборы изменений, внесенных в стандартную конфигурацию сервисов и устройств, установленную данными ключей Software и System коревого ключа HKEY_LOCAL_MACHINE. В ключе HKEY_CURRENT_CONFIG отображаются только изменения. |
| HKEY_CURRENT_USER | Содержит профиль пользователя, в данный момент зарегистрированного в системе, включая переменные окружения, настройку рабочего стола, параметры настройки сети, принтеров и приложений. Этот ключи представляет собой ссылку на ключ HKEY_USERS\user_SID, где user_SID — идентификатор безопасности (Security ID) пользователя, зарегистрированного в системе на текущий момент. |
| HKEY_USERS | Содержит все активно загруженные пользовательские профили, включая HKEY_CURRENT_USER, а также пользовательский профиль по умолчанию (.DEFAULT). Пользователи, получающие удаленный доступ к серверу, не имеют профилей, содержащихся под этим ключом, — их профили загружаются в реестры на собственных компьютерах. |
Данные реестра поддерживаются в виде параметров, расположенных под ключами реестра. Каждый параметр характеризуется именем, типом данных и собственно значением. Три части параметра реестра всегда располагаются в порядке, показанной на рисунке ниже:
В таблице ниже перечислены основные типы данных, определенные и используемые в Windows 7.
| Имя корневого ключа | Описание |
| REG_BINARY | Двоичные данные. Большинство аппаратных компонентов используют информацию, которая хранится в виде двоичных данных. Редакторы реестра отображают эту информацию в шестнадцатеричном виде. |
| REG_DWORD | Данные представлены в виде значения, длина которого составляет 4 байта. Этот тип данных используют многие параметры драйверов устройств и сервисов. Редакторы реестра могут отображать такие данные в двоичном, шестнадцатиричном и десятичном формате. |
| REG_EXPAND_SZ | Расширяемая строка данных, представляет из себя текст, содержащий переменную, которая может быть заменена при вызове со стороны приложения. |
| REG_MULTI_SZ | Многострочное поле. Значения, которые фактически представляют собой списки текстовых строк, обычно имеют этот тип данных. |
| REG_SZ | Текстовая строка в формате, удобном для восприятия человеком. Данный тип присваивается значениям, представляющим собой описания компонентов. |
| REG_DWORD_ | 32-разрядное число, представляет из себя эквивалент REG_DWORD. Самый младший байт хранится в памяти первым в числе. |
| REG_DWORD_ | 32-разрядное число, представляет из себя эквивалент REG_DWORD. Самый старший байт хранится в памяти первым в числе. |
| REG_LINK | Символическая ссылка UNICODE. Этот тип данных предназначен для внутреннего использования. Типа данных REG_LINK позволяет одному элементу реестра ссылаться на другой ключ или параметр. |
| REG_NONE | Не имеет определенного типа данных. |
| REG_QWORD | 64-разрядное значение |
| REG_QWORD_ LITTLE_ENDIAN |
64-разрядное число, представляет из себя эквивалент REG_QWORD. Самый младший байт хранится в памяти первым в числе. |
| REG_QWORD_ BIG_ENDIAN |
64-разрядное число, представляет из себя эквивалент REG_QWORD. Самый старший байт хранится в памяти первым в числе. |
| REG_RESOURCE_LIST | Список аппаратных ресурсов, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE |
| REG_FULL_RESOURCE_ | Дескриптор (описатель) аппаратного ресурса, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE |
| REG__RESOURCE_ | Список необходимых аппаратных ресурсов, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE |
Реестр подразделяется на составные части, которые разработчики назвали ульями (hives), по аналогии с ячеистой структурой пчелиного улья. Улей представляет собой дискретную структуру ключей, вложенных ключей и параметров, берущую начало в вершине иерархии реестра. Отличие ульев от других групп ключей состоит в том, то они являются постоянными компонентами реестра. Ульи не создаются динамически при запуске системы и не удаляются при ее остановке.
Данные ульев реестра, определяющие общесистемные параметры конфигурации, хранятся в файлах, которые размещаются в каталогах %SystemDrive%\Boot\BCD и %SystemRoot%\System32\Config. Ульи реестра, задающие пользовательскую конфигурационную информацию хранятся в %SystemRoot%\Users\Username.
Если операционная система была установлена на компьютер довольно давно и за все это время ни разу не переустанавливалась, то пользователи, как правило, отмечают снижение быстроты ее работы и возникновения периодических сбоев. Это может проявляться в медленной загрузке, длительном открытии каких-то программ, в появлении диалоговых окон о возникших ошибках. И чем дольше человек работает за компьютером, тем больше сбоев и неполадок он замечает, а со временем, работа на таком компьютере, может превратиться в сущий кошмар.
Виновником всех этих перечисленных проблем может стать системный реестр - очень важная составляющая операционной системы. Поэтому, даже начинающим пользователям не помешало бы знать его назначение, влияние на общую работу ОС, а также о средствах его мониторинга и ухода за ним.
Так что рано или поздно, перед пользователем встает вопрос - либо переустанавливать операционную систему со всеми программами и заново настраивать ее пользовательский интерфейс, либо попытаться «почистить» систему и вернуть ей былое быстродействие.
ОПИСАНИЕ И НАЗНАЧЕНИЕ
Реестр Windows - это по сути, древовидная база данных, которая содержит в себе информацию обо всех параметрах, которые требуются для правильной и бесперебойной работы операционной системы. В нем содержатся настройки для установленного аппаратного и программного обеспечения, личных профилей пользователей, имеющих доступ к компьютеру, типы файлов, которые программами могут быть созданы, а также информация о свойствах папок.
Значение, которое имеет реестр ОС Windows, переоценить сложно. От того, насколько корректна его информация, зависит то, насколько эффективно будут работать все узлы ПК, как программные, так и аппаратные. Если пользователь начинает замечать в работе своего компьютера какие-то неполадки, то это явный признак того, что в реестре произошел сбой и какие-то из его настроек сбились. Если сбой в системном реестре произошел серьезный, то загрузить Windows пользователю не удастся и операционную систему придется переустанавливать.
Хранится системный реестр по адресу X:\Windows\System32\сonfig, где X- буква системного диска.
КОРНЕВЫЕ РАЗДЕЛЫ СИСТЕМНОГО РЕЕСТРА
Реестр ОС Windows состоит из нескольких основных разделов:
- - HKEY_CURRENT_CONFIG (HKCC) - в разделе находится вся информация об аппаратном профиле, который используется на локальной машине во время запуска системы;
- - HKEY_CURRENT_USER (HKCU) - в разделе хранится информация о конкретном пользователе, который вошел в систему и работает в ней в настоящий момент времени. В этой ветви сохраняются его папки, настройки экрана, установленные параметры для панели управления;
- - HKEY_CLASSES_ROOT (HKCR) - в разделе содержатся данные о расширениях типов файлов и приложениях, которые при их запуске будут открываться;
- - HKEY_USERS (HKU) - в этой ветви хранится информация обо всех загруженных активных профилях пользователей конкретного ПК;
- - HKEY_LOCAL_MACHINE (HKLM) - ветвь для хранения сведений о загрузке ОС Windows, информации о драйверах устройств и аппаратном обеспечении компьютера;
- - HKEY_USERS (HKU) - ветвь хранит индивидуальные настройки профиля каждого пользователя, который зарегистрирован в системе. Здесь же хранится информация о профиле «по умолчанию» для создаваемых новых пользователей.
Каждый корневой раздел реестра содержит в себе множество подразделов, которые уже в свою очередь могут иметь свои множественные подразделы, в которых хранятся параметры системы. Иерархия реестра очень сложна, а количество разделов в нем просто огромно, поэтому в рамках этого материала, нам достаточно лишь понять сам принцип построения его структуры, что бы в случае необходимости вы смогли найти нужный вам параметр.
ВЛИЯНИЕ РЕЕСТРА НА РАБОТУ WINDOWS
Как уже было отмечено ранее, скорость работы системы и ее стабильность напрямую зависит от состояния реестра. Чаще всего система начинает «тормозить», когда реестр увеличивает свой размер. И чем он больше, тем дольше загружается компьютер, так как при запуске ОС системный реестр всегда проверяется на наличие ошибок, после чего делается его резервная копия. Причем, чем больше стоит на компьютере программного обеспечения, тем объемнее становится реестр.
При этом Windows так устроена, что работа любого программного обеспечения, будь то простенькая утилита или супер игра, всегда потребует взаимодействия с реестром системы для поиска нужных параметров, которые находить становится все сложнее и дольше, чем больше размер реестра и количество в нем веток.
Существует и еще один важный фактор, влияющий на скорость работы Windows, но перед тем, как рассказать о нем, сделаем небольшую ремарку. В компьютерах существует два основных вида памяти - ОЗУ (оперативно запоминающее устройство), она же оперативная память, и ПЗУ (постоянно запоминающее устройство), к которой относятся жесткие диски, флешки и прочие компоненты, хранящие ваши данные. ОЗУ является очень быстрой памятью, позволяющей мгновенно обмениваться информацией с центральным процессором, а вот ПЗУ, работает значительно медленнее.
Теперь, продолжим, замедление открытия программ очень часто вызывается тем, что для быстрого выполнения их загрузки, не хватает оперативной памяти. И часто, чтобы обеспечить необходимое количество объема памяти для какой-то программы, система его добирает из ее общего объема (совокупность ОЗУ и ПЗУ), начиная обращаться к пространству винчестера, т.е. происходит так называемое «свопирование» (часть информации записывается на жесткий диск). В результате, когда при загрузке или работе приложения, ему становится нужна необходимая записанная на диск информация, она считывается намного дольше, чем, если бы система брала их из оперативной памяти.
Чтобы такой ситуации не возникало, нужно исключить попадание всех лишних или редко используемых программ в оперативную память.
Но дело в том, что одним из основных источников замусоривания «оперативки» вашего компьютера, является реестр, данные из которого, система Windows загружает, при запуске, не разбираясь, понадобятся они вам или нет. Среди них, могут оказаться «следы» давно удаленных программ, приложений или их параметров, которые вам уже вряд ли понадобятся. Таким образом, если не уделять должного внимания состоянию реестра системы, весь этот мусор будет загромождать драгоценное место в оперативной памяти.
Очень часто в процессе эксплуатации компьютера перед пользователями начинают возникать диалоговые окна с всевозможными ошибками, возникающими в Windows. Многие из них, являются последствием некорректных изменений, внесенных в реестр, которые вступают в конфликт с настройками системы. Такое может происходить из-за замены стандартных библиотек на более старые версии или после их внезапного удаления, например, после вирусного заражения и последующей чистки компьютера.
СПОСОБЫ РЕДАКТИРОВАНИЯ РЕЕСТРА
Все проблемы с «раздутым» реестром пользователь может решить двумя путями: ручным или при помощи программ, но в любом из этих случаев в системный реестр будут вноситься изменения.
Неопытным пользователю вносить изменения вручную не стоит. В таком случае лучше воспользуется специальными программами, с помощью которых можно безболезненно для работы ОС изменить базу реестра. Благо таких утилит сейчас на рынке существует достаточно, при этом есть как платные программы, так и бесплатные, с вполне приличным функционалом. Основное назначение этих утилит - проводить поиск и удаление битых ключей, которые уже не используются, а только засоряют реестр, а так же производить его дефрагментацию.
И все же если вы решились внести изменения в реестр самостоятельно, то самым оптимальным решением будет воспользоваться встроенной в Windows утилитой Registry Editor. Для того, что бы попасть редактор реестра, существует специальная команда «regedit», которую необходимо ввести в окне Выполнить (вызывается нажатием клавиш Windows+ R).
Запустив утилиту, пользователь увидит окно, разделенное на две части, в одной из которых показываются разделы, подразделы и ветви системного реестра, а в другой - параметры элемента, который выбрал в реестре пользователь.
Так же в редакторе реестра, во вкладке Правка, существует опция поиска (вызываемая нажатием клавиш Ctrl+ F), которая ищет заданные слова в именах разделов, именах параметров и их значениях. Это очень удобная функция, позволяющая, например, очистить реестр от следов ненужной программы по ее названию.
Корректируя реестр вручную, нужно быть очень осторожным. Одно неверное действие и работоспособность системы будет нарушена окончательно, а Windows придется переустанавливать.
Пользователи, только начинающие разбираться в работе с компьютером, часто спрашивают, в каких случаях они могут сами внести изменения в реестр, а когда нужно обращаться к профессионалу за помощью. По возможности, специалиста, если возникают проблемы с реестром, нужно вызывать всегда или как минимум пригласить опытного знакомого. Вносить коррективы в действительные записи непрофессионалу крайне нежелательно. Кроме того, перед корректировкой нужно обязательно сделать резервную копию реестра, тогда в случае неправильных действий, которые приведут к неработоспособности системы, удастся восстановить реестр из бэкапа через ту же утилиту, которая использовалась для внесения изменений. Также необходимо помнить, что ни в коем случае нельзя заменять реестр одной версии Windows системным реестром другой версии.
Самыми распространенными ошибками и их последствиями при корректировке реестра дилетантами, можно назвать удаление или изменение нужных разделов и ключей, после чего могут перестать работать какие-то программы, не загружаться учетная запись пользователя или произойти полный отказ работы системы.
МОНИТОРИНГ РЕЕСТРА
Реестр Windows является отражением работы операционной системы. И чтобы понимать, что все в системе работает без перебоев, необходимо вести его постоянный мониторинг. Идеальный вариант использовать для мониторинга какую-нибудь популярную утилиту, которая создавалась специально с этой целью. Для чего ее нужно установить и пользоваться ею? Для того чтобы анализировать работу программ. Пользователь всегда сможет видеть, какие процессы происходят в системе, какие программы запущены и какие из них чаще всего обращаются к реестру, а если он увидит что-то подозрительное, то сможет принять меры по его устранению проблем.
Утилиты мониторинга довольно просты в применении. Разобраться в них сможет даже человек, который не имеет специального образования. И в этом их большой плюс, так как знать хотя бы приблизительно, что происходит в реестре ОС их компьютера, желательно все пользователям, как опытным, так и начинающим. Например, можно воспользоваться одной из наиболее популярных утилит мониторинга реестра - Registry Monitor (RegMon).
УХОД ЗА РЕЕСТРОМ
Устанавливая, а затем, удаляя различные программы, пользователь ОС Windows не всегда знает, что, как правило, полностью информация о них из реестра не удаляется. Всегда остаются какие-нибудь «хвосты», которые в дальнейшем тормозят работу системы. Чтобы такого не происходило необходимо проводить не только мониторинг реестра, но и обеспечивать уход за ним. Для этого не нужно самому выискивать в реестре оставшиеся записи, сделать это можно при помощи специальных программ, о существовании которых уже упоминалось выше. Хорошо с этой работой справляются программы jv16 PoverTools, CCleaner, Reg Organizer, RegCleaner и другие. С их помощью пользователь сможет не только почистить реестр от «мусора», но и дефрагментировать жесткий диск, отредактировать автозагрузку, очистить историю браузеров, удалить устаревшие файлы по восстановлению системы и пр.
ЗАКЛЮЧЕНИЕ
Умение обращаться с реестром, является огромным плюсом для пользователя любого уровня. В таком случае, не дожидаясь помощи со стороны, вы сможете самостоятельно улучшить или восстановить работоспособность своей операционной системы в случае возникновения серьезных проблем. Правда, еще важнее, не доводить свою рабочую операционную систему до плачевного состояния, осуществляя мониторинг реестра или как минимум его постоянную очистку от «мусора».
Вообще большинство проблем с Windows, возникающих из-за неполадок в реестре, можно решить самостоятельно с помощью советов специалистов, которые те благосклонно размещают в сети интернет. Правда, чтобы воспользоваться ими, вам в любом случае необходимо хотя бы в общих чертах, знать, что представляет собой реестр, и каким способом вносить в него изменения. Ну а если самостоятельно не удалось справиться с возникшими неполадками, ваши базовые знания помогут корректно объяснить суть возникшей проблемы специалисту компьютерной службы, что существенно ускорит процесс ее устранения.
Итак, сегодня разговор пойдёт о теме, казалось бы, не очень важной, но, по сути, очень нужной каждому пользователю Windows (а таких подавляющее большинство) – о том, что такое реестр, из чего состоит, зачем он нужен и как его сохранить в своих закромах. Итак, что же такое вообще реестр? Если говорить по сути – это огромная, иерархически построенная база данных, работающая от запросов пользователя. Эта база данных нужна для систематизации данных о системе, а также оптимизации доступа к ним. Реестр содержит множество разноплановой информации как об обычных настройках операционной системы, так и об различных тонких настройках – в том числе, настройках безопасности и работы с низкоуровневыми программами, а также драйверами.
Реестр не является какой-то внешней программой, он – часть операционной системы. Ntdetect ищет при загрузке системы именно файлы реестра и подгружает оттуда параметры этой самой загрузки. знание ключей реестра и знание их значимости необходимо для эффективно управления системой. А также хотя бы для элементарной диагностики «почему это работает не так». Реестр является древовидной системой каталогов значений/ключей. Которые отвечают за определенные настройки. Причем следует учитывать, что разные ключи могут иметь различный тип – от логического до строкового.
Показательная анатомия.
Итак, стоит рассказать, из чего физически состоит реестр и как он работает. Сразу стоит оговориться. Что в том виде, в каком реестр представляется пользователю он нигде не хранится и для его редактирования необходимы специальные программы – редакторы реестра. Стандартные regedit.exe и regedit32.exe вполне подойдут. В процессе настройки и установки системы формируется некоторая часть данных реестра, а также в процессе работы системы – другая. В результате при загрузке системы формируется виртуальный объект REGISTRY\, который и является реестром. Для редактирования, просмотра и изучения реестра стандартными средствами Windows (программы regedit.exe и regedt32.exe) доступны именно ветки реестра. После редактирования реестра и/или внесения в него изменений эти изменения сразу записываются в файлы, являющиеся составными частями реестра. Таковыми являются, в Windows 95 и Windows 98 user.dat и system.dat; в Windows ME - user.dat, classes.dat и system.dat. В более поздних версиях системы появилось куда большое количество необходимых файлов.
О недостатках и как на этих недостатках зарабатывают мошенники.
На самом деле система достаточно сложна, однако достаточно надежна. Из-за чрезмерной сложности возникают сложности с фрагментацией реестра, следовательно – со скоростью его работы. Также реестр имеет свойство чрезмерно «толстеть» в результате накопления данных за долгое время работы, что также осложняет его функционирование. Эта проблема решается с помощью специальных программ по оптимизации и чистке реестра. Самостоятельно занимаясь этим вопросом следует помнить, что не стоит удалять что-то из реестра, если не знаешь о его назначении – так можно серьезно повредить систему, а то и вообще вывести ее из строя. Кроме того на этих проблемах стараются неслабо навариться мошенники – сеть полна предложениями «скачать программу по оптимизации реестра, после установки которой компьютер будет работать быстрее на 30%». Обычно за таким предложением следует форма по отправке СМС, которое подтверждает предыдущие подозрения. Не стоит обращать внимания на подобные вещи, а тем более верить им – тогда не потеряете ни денег, ни нервов.
Основные ветки реестра, их значение и назначение.
HKEY_CLASSES_ROOT - это ссылка на раздел HKEY_LOCAL_MACHINE\ Software\Classes. Хранящиеся здесь сведения обеспечивают запуск необходимой программы при открытии файла с помощью проводника. Этот раздел содержит связи между приложениями и типами файлов, а также информацию об OLE.
HKEY_USERS - этот раздел содержит настройки для всех пользователей компьютера.
HKEY_CURRENT_USER – данная ветка является ссылкой на конкретный внутренний подраздел HKEY_USERS. Все настройки выставляются в соответсвии с тем, какой из пользователей находится в данный момент в системе (т.е. какая сессия активна).
HKEY_LOCAL_MACHINE – содержит практически настройки и параметры, принадлежащие данному компьютеру, в том числе аппаратные настройки, конфигурация аппаратного обеспечения и профилей пользователей.
HKEY_CURRENT_CONFIG – по сути, всего лишь ссылка на HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\ Hardware Profiles\Current. Там находятся все входящие настройки аппаратной части, необходимой для запуска системы.
Написанные выше основные стандартные разделы нельзя удалить или переименовать. Некоторые разделы реестра являются энергозависимыми (volatile) и не хранятся в каком-либо файле. ОС создает и управляет этими разделами полностью в оперативной памяти, не сохраняя их на жёсткий диск, поэтому они являются временными по своей природе. Система создает энергозависимые разделы каждый раз при начальной загрузке. Например, HKEY_LOCAL_MACHINE \HARDWARE - раздел реестра, который хранит информацию по аппаратным устройствам и назначенным для них ресурсам. Назначение ресурса и аппаратное обнаружение происходят каждый раз при загрузке системы, поэтому логично и естественно, что этим данным не требуется постоянное хранение на жёстком диске.
Как сохранить «уже нажитое».
Иногда бывает полезно сделать бэкап (резервную копию) системного реестра – из-за опасений его повреждения. Это может произойти в результате неудачных экспериментов с реестром, неправильной установки драйверов и еще многих десятков причин. Да и иметь ее «на всякий случай» тоже не помешает. Для того, чтобы не делать это всякий раз вручную, можно использовать одну из многих программ-автобекаперов, например, Comodo Backup.
Загрузка...
