3. Исследование раздела hkey_local_machine.

HKEY_LOCAL_MACHINE содержит спецификации рабочей станции, драйверов и др. системные настроцки, включая информацию о типах установленного оборудования, настройках портов конфигурации программного обеспечения. Эта информация специфична для компьютера, а не для пользователя.

Информация, сохраненная здесь, используется приложениями, устройствами и системой, и не зависит от того, кто был заявлен в качестве пользователя. Устройства могут помещать информацию в системный реестр с помощью Р1ug&Рlау-интерфейса, программные средства — посредством стандартного API.

HKEY_LOCAL_MACHINE состоит из следующих подразделов:

• BCD00000000:

Данный раздел реестра обрабатывается диспетчером загрузки bootmgr и в редакторе реестра имеет разрешение только на чтение . Разрешение на запись можно установить через контекстное меню редактора, вызываемое правой кнопкой мышки.

• HARDWARE:

База данных, описывающая аппаратные средства компьютера, способ взаимодействия драйверов устройств с аппаратными средствами, а также данные, которые связывают драйверы режима ядра с кодом режима пользователя. Все данные этого ключа воссоздаются при каждом запуске системы.

• SAM:

База данных сервиса каталога, которая содержит информацию подсистемы безопасности об учетных записях пользователей и групп, а также о доменах сети Windows. (SAM — это диспетчер бюджетов безопасности, Security Account Manager.) По умолчанию этот ключ является нечитаемым с помощью редакторов реестра даже для пользователей, которые зарегистрировались в системе от имени администратора. Данные, хранящиеся в составе ключа HKLM\SAM, нигде официально не документированы, а пароли пользователей зашифрованы.

• SECURITY:

База данных, которая содержит локальную политику безопасности, включая права конкретных пользователей. Этот ключ используется только подсистемой безопасности Windows. В качестве примера информации, содержащейся в составе этого ключа, можно привести сведения о наличии у конкретного пользователя права перезагружать локальный компьютер, загружать драйверы устройств, выполнять резервное копирование файлов или получать доступ к локальной системе через сеть. Информация ключа SECURITY также зашифрована. Ключ HKLM\SAM представляет собой ссылку на содержимое ключа HKLM\SECURITY\SAM.

• SOFTWARE:

База данных программного обеспечения, установленного на компьютере. Этот ключ содержит информацию о программном обеспечении, установленном на локальном компьютере, а также всевозможные конфигурационные данные

• SYSTEM:

База данных, управляющая запуском системы, загрузкой драйверов устройств, сервисами Windows NT/2000/XP и поведением операционной системы.

4. Исследование раздела hkey_local_ config.

HKEY_LOCAL_CONFIG содержит информацию о текущей конфигурации аппаратуры компьютера, используется в основном на компьютерах с несколькими аппаратными конфигурациями, например, при подключении портативного ПК к стыковочной станции и отключении от нее. Информация , содержащаяся в этом ключе, копируется из ключа [HKEY_LOCAL_MACHINE].

Используя HKEY_CURRENT_CONFIG были произведены следующие действия:

Был найден раздел, отвечающий за настройки дисплея. HKEY_CURRENT_CONFIG\System\CurrentControlSet\Control\VIDEO\{2D5BA881-99A8-4757-A06E-CB5493B97A39}\0000. Через него была изменена текущая разрешающая способность монитора на значение "640x480" при помощи правки двух ключей: DefaultSettings.Xresolution (значение 1366 было изменено на 768) и DefaultSettings.Yresolution (значение 1024 было изменено на 480);

Рисунок 2.4.1 – Изменение разрешающей способности монитора.

Для проверки была выполнена перегрузка операционной системы.