Опубликован: 01.02.2012 | Доступ: свободный | Студентов: 7355 / 3432 | Оценка: 4.43 / 4.27 | Длительность: 19:35:00
Самостоятельная работа 5:

Работа с реестром

Цель работы: научиться выявлять вредоносные программы с помощью реестра Windows.

Внимание! Данная лабораторная работа предназначена для опытных пользователей, имеющих навыки работы в реестре. В случае ошибочной правки ключей реестра можно серьезно повредить систему. Рекомендуется выполнять данную лабораторную работу на виртуальной машине под управлением Windows XP.

Реестр операционной системы Windows - это иерархически построенная база данных, где хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра.

Реестр формируется из различных данных. Чтобы получилось то, что видит пользователь, редактируя реестр, происходит следующее.

Вначале, в процессе установки и настройки Windows, на диске формируются файлы, в которых хранится часть данных относительно конфигурации системы.

Затем, в процессе каждой загрузки системы, а также в процессе каждого входа и выхода каждого из пользователей, формируется некая виртуальная сущность, называемая "реестром" — объект REGISTRY\. Данные для формирования "реестра" частично берутся из тех самых файлов (Software, System …), частично из информации, собранной ntdetect при загрузке (HKLM\Hardware\Description).

То есть часть данных реестра хранится в файлах, а часть данных формируется в процессе загрузки Windows.

Характеристики основных разделов реестра представлены в таблице 1.

Таблица 23.1.
HKEY_LOCAL_MACHINE\SAM Содержит информацию SAM (Security Access Manager), хранящуюся в файлах SAM, SAM.LOG, SAM.SAV в папке \%System-root%\System32\Confiq
HKEY_LOCAL_MACHINE\SECURITY Содержит информацию безопасности в файлах SECURITY.SECURITY.LOG, SECURITY.SAV в папке \%Systemroot%\System32\Confiq
HKEY_LOCAL_MACHINE\SYSTEM Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлахSYSTEM.SYSTEM.LOG, SYSTEM.SAV в папке \%Systemroot%\System32\Config
HKEY_CURRENT_CONFIG Содержит информацию о подразделе System этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке \%Systemroot%\System32\Config
HKEY_USERS\DEFAULT Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе. Информация хранится в файлах DEFAULT, DEFAULT.LOG, DEFAULT.SAV в папке \%Systemroot%\System32\Confiq
HKEY_CURRENT_USER Содержит информацию о пользователе, зарегистрированном в системе на текущий момент. Эта информация хранится в файлах NTUSER.DAT и - NTUSER.DAT.LOG, расположенных в каталоге \%Systemroot%\Profiles\User name, где User name — имя пользователя, зарегистрированного в системе на данный момент

Основным средством для просмотра и редактирования записей реестра служит специализированная утилита "Редактор реестра".

Для того чтобы открыть редактор реестра откройте Пуск->Выполнить. В окне введите regedit.


Рис. 23.1.

Откроется окно редактора реестра.


Рис. 23.2.

В левой части окна находится дерево ключей реестра, ключи изображены в виде папок. В правой части окна отображаются записи, относящиеся к выбранному ключу. В ключе могут находиться и записи — параметры настройки, и другие ключи — группы параметров настройки.

Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов