- •Ход работы
- •Реестр.
- •Изучение функции редактора реестра Registry Editor:
- •Исследование раздела hkey_classes_root.
- •Исследование раздела hkey_local_machine.
- •Исследование раздела hkey_local_ config.
- •Исследование раздела hkey_current_user.
- •Импорт/Экспорт Реестра.
- •Перехват событий, изменения параметров, производимой другой программой при помощи утилиты Regmon.
- •Перехват событий при помощи утилиты RegShot .
- •Дефрагментация реестра
-
Исследование раздела hkey_local_machine.
HKEY_LOCAL_MACHINE содержит спецификации рабочей станции, драйверов и др. системные настроцки, включая информацию о типах установленного оборудования, настройках портов конфигурации программного обеспечения. Эта информация специфична для компьютера, а не для пользователя.
Информация, сохраненная здесь, используется приложениями, устройствами и системой, и не зависит от того, кто был заявлен в качестве пользователя. Устройства могут помещать информацию в системный реестр с помощью Р1ug&Рlау-интерфейса, программные средства — посредством стандартного API.
HKEY_LOCAL_MACHINE состоит из следующих подразделов:
-
BCD00000000:
Данный раздел реестра обрабатывается диспетчером загрузки bootmgr и в редакторе реестра имеет разрешение только на чтение . Разрешение на запись можно установить через контекстное меню редактора, вызываемое правой кнопкой мышки.
-
HARDWARE:
База данных, описывающая аппаратные средства компьютера, способ взаимодействия драйверов устройств с аппаратными средствами, а также данные, которые связывают драйверы режима ядра с кодом режима пользователя. Все данные этого ключа воссоздаются при каждом запуске системы.
-
SAM:
База данных сервиса каталога, которая содержит информацию подсистемы безопасности об учетных записях пользователей и групп, а также о доменах сети Windows. (SAM — это диспетчер бюджетов безопасности, Security Account Manager.) По умолчанию этот ключ является нечитаемым с помощью редакторов реестра даже для пользователей, которые зарегистрировались в системе от имени администратора. Данные, хранящиеся в составе ключа HKLM\SAM, нигде официально не документированы, а пароли пользователей зашифрованы.
-
SECURITY:
База данных, которая содержит локальную политику безопасности, включая права конкретных пользователей. Этот ключ используется только подсистемой безопасности Windows. В качестве примера информации, содержащейся в составе этого ключа, можно привести сведения о наличии у конкретного пользователя права перезагружать локальный компьютер, загружать драйверы устройств, выполнять резервное копирование файлов или получать доступ к локальной системе через сеть. Информация ключа SECURITY также зашифрована. Ключ HKLM\SAM представляет собой ссылку на содержимое ключа HKLM\SECURITY\SAM.
-
SOFTWARE:
База данных программного обеспечения, установленного на компьютере. Этот ключ содержит информацию о программном обеспечении, установленном на локальном компьютере, а также всевозможные конфигурационные данные
-
SYSTEM:
База данных, управляющая запуском системы, загрузкой драйверов устройств, сервисами Windows NT/2000/XP и поведением операционной системы.
-
Исследование раздела hkey_local_ config.
HKEY_LOCAL_CONFIG содержит информацию о текущей конфигурации аппаратуры компьютера, используется в основном на компьютерах с несколькими аппаратными конфигурациями, например, при подключении портативного ПК к стыковочной станции и отключении от нее. Информация , содержащаяся в этом ключе, копируется из ключа [HKEY_LOCAL_MACHINE].
Используя HKEY_CURRENT_CONFIG были произведены следующие действия:
Был найден раздел, отвечающий за настройки дисплея. HKEY_CURRENT_CONFIG\System\CurrentControlSet\Control\VIDEO\{2D5BA881-99A8-4757-A06E-CB5493B97A39}\0000. Через него была изменена текущая разрешающая способность монитора на значение "640x480" при помощи правки двух ключей: DefaultSettings.Xresolution (значение 1366 было изменено на 768) и DefaultSettings.Yresolution (значение 1024 было изменено на 480);
Рисунок 2.4.1 – Изменение разрешающей способности монитора.
Для проверки была выполнена перегрузка операционной системы.