Драйверы и службы для безопасного режима. Пароли приложений в реестре. Ассоциации расширений файлов и приложений. Ограничение доступа пользователя к ресурсам системы. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собираемая в процессе загрузки. В описании файлов реестра на английском языке используется термин "Hive". В некоторых работах его переводят на русский язык как "Улей". В документации от Microsoft этот термин переводится как "Куст". Для операционных систем Windows это файлы с именами default sam security software system. Файл с данными этого раздела имеет имя bcd и находится в скрытой папке Boot активного раздела раздела, с которого выполняется загрузка системы. Обычно, при стандартной установке Windows 7, создается активный раздел небольшого размера около мегабайт , который скрыт от пользователя и содержит только служебные данные для загрузки системы — загрузочные записи, менеджер загрузки bootmgr , хранилище конфигурации загрузки BCD, файлы локализации и программы тестирования памяти. Расположение куста bcd зависит от того, как сконфигурирован загрузчик системы при ее установке, и может находиться на том же разделе, где и каталог Windows. Место расположения файлов реестра в любой версии Windows можно просмотреть с помощью редактора реестра. Для работы с содержимым системного реестра используется специальное программное обеспечение - редакторы реестра REGEDIT. EXE , являющиеся стандартными компонентами операционной системы. Для запуска редактора реестра можно использовать меню кнопки "Пуск"- "Выполнить" - regedit. Каждый корневой раздел может включать в себя вложенные разделы subkeys и параметры value entries или ключи реестра. Основное назначение корневых разделов: SID - это уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при создании каждого нового пользователя системы. Внутренние процессы Windows обращаются к учетным записям по их кодам SID, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же самым именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID. Код агента идентификатора определяет агент, выдавший SID, и обычно таким агентом является локальная операционная система или домен под управлением Windows. Коды субагентов идентифицируют попечителей, уполномоченных агентом, который выдал SID, а RID - дополнительный код для создания уникальных SID на основе общего базового SID. В Windows NT и старше, при установке системы, создается один фиксированный код 21 и три генерируемых случайным образом числа после "S" кода субагентов. Также в процессе установки создаются некоторые одинаковые для всех систем учетные записи, как например, учетная запись администратора, которая всегда имеет RID равный Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID. Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры операционной системы, оборудования, программного обеспечения. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием "Панель управления" - "Система" - "Оборудование"- "Профили оборудования". Допустимые типы данных реестра: Большинство сведений об аппаратных компонентах хранится в виде двоичных данных и выводится в редакторе реестра в шестнадцатеричном формате. Данные представлены в виде значения, длина которого составляет 4 байта разрядное целое. Этот тип данных используется для хранения параметров драйверов устройств и служб. Значение отображается в окне редактора реестра в двоичном, шестнадцатеричном или десятичном формате. Начиная с Windows , такие данные отображаются в окне редактора реестра в виде двоичного параметра. Этот тип, как правило, имеют списки и другие записи в формате, удобном для чтения. Записи разделяются пробелами, запятыми или другими символами. Служит для хранения списка ресурсов, которые используются драйвером устройства или управляемым им физическим устройством. В окне редактора реестра эти данные отображаются в виде двоичного параметра в шестнадцатеричном формате. Служит для хранения списка драйверов аппаратных ресурсов, которые могут быть использованы определенным драйвером устройства или управляемым им физическим устройством. В окне редактора реестра они отображаются в виде двоичного параметра в шестнадцатеричном формате. Служит для хранения списка ресурсов, которые используются физическим устройством. Такие данные записываются в реестр системой или приложением. В окне редактора реестра отображаются в виде двоичного параметра в шестнадцатеричном формате. При добавлении новых параметров в реестр, необходимо задавать не только имя и значение, а также правильный тип данных. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы. Обычно, учетные записи пользователей и даже администраторов, таких прав не имеют, и редактор реестра, запущенный от их имени, не отображает содержимое разделов SAM и SECURITY. Для доступа к ним нужно, чтобы regedit был запущен от имени учетной записи с правами Local System, для чего можно воспользоваться утилитой PSExec psexec. С помощью команды at создаем задание на запуск regedit. В Windows 7 разделы реестра SAM и SECURITY отображаются , однако не отображается их содержимое, для просмотра которого можно воспользоваться аналогичным приемом. Файлы реестра постоянно изменяются, поскольку не только система, но и отдельные приложения могут использовать реестр для хранения собственных данных, параметров и настроек. Другими словами, обращение к реестру - это одна из наиболее распространенных операций. Даже если пользователь не работает за компьютером, обращения к реестру все равно выполняются системными службами, драйверами и приложениями. Нарушение целостности файлов реестра нарушение структуры данных или неверное значение отдельных критических параметров может привести к краху системы. Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления. Этот раздел содержит объекты и элементы конфигурации, используемые новым диспетчером загрузки BOOTMGR пришедшим на смену традиционному загрузчику NTLDR. При стандартной установке Windows 7 на новый жесткий диск, в качестве активного раздела создается небольшой размером около Мб раздел, который содержит файлы и каталоги, необходимые для работы диспетчера загрузки. Обычно, этот раздел скрыт от пользователя, поскольку ему не присваивается буква логического диска и к его содержимому невозможно получить доступ стандартными средствами, такими, как например "Проводник" Windows Explorer. При просмотре с использованием Диспетчера логических дисков, данный раздел отображается под названием "Зарезервировано системой" и имеет признак "Активный". Загрузочный сектор данного раздела Partition Boot Sector или PBR выполняет загрузку файла диспетчера bootmgr , который должен находиться в его корне. В свою очередь, диспетчер загрузки bootmgr для своих целей использует системное хранилище конфигурации, которое должно находиться в папке с именем BOOT. Разрешение можно изменить с использованием контекстного меню, вызываемого правой кнопкой мыши, однако нужно учитывать то, что неквалифицированное изменение отдельных параметров данной ветви реестра может нарушить конфигурацию и системная загрузка станет невозможной. Для работы с данными конфигурации загрузки используется специальная утилита командной строки BCDEDIT. EXE , позволяющая сохранять конфигурацию, восстанавливать из ранее сохраненной копии, просматривать содержимое хранилища, редактировать отдельные объекты конфигурации и их элементы. Новый механизм загрузки операционных систем семейства Windows довольно сложен для понимания и не имеет прямого отношения к работе с реестром, поэтому привожу ссылки на дополнительные материалы: Кроме того, имеется возможность в любое время создать точку восстановления принудительно, с помощью "Панель управления" — "Система" — "Дополнительные параметры" — "Защита системы" — "Создать" Точки восстановления представляют собой набор файлов операционной системы и реестра, скомпонованный по определенным правилам и сохраняемый в виде подкаталога в скрытой системной папке System Volume Information. Сохраненные в точке восстановления данные позволяют, практически гарантировано, вернуть операционную систему к состоянию на момент их создания. При изучении реестра и отсутствии практического опыта работы с ним принудительное создание точки восстановления перед началом работы позволит восстановить работоспособность Windows даже в случае краха системы. Стандартное средство восстановления системы работает только в среде самой Windows, однако существуют способы, которые позволяют вернуть систему к жизни даже при возникновении "синего экрана смерти" по причине неудачного редактирования реестра. Об этом чуть позже. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи Local System , или, другими словами, не пользователям, а "Службе восстановления системы". Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки "Безопасность" в свойствах каталога "System Volume Information". Внутри папок RPn имеется каталог с именем snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Соответственно, например, если крах системы вызван установкой нового драйвера, то после отката на точку восстановления, даже при наличии в каталоге Windows исполняемого файла драйвера, записи в реестре, обеспечивающие его загрузку, исчезнут, и система вернется в рабочее состояние. Подобным же образом можно избавиться от вирусного заражения, когда выполняется откат системы на тот момент, когда в реестре еще не было записей, обеспечивающих запуск вредоносного ПО. Структура данных точек восстановления для Windows 7 отличается от той, что используется в Windows XP. Начиная с ОС Windows Vista, используется не только копирование файлов реестра и важнейших системных файлов, но и создаются снимки файловой системы snapshot службой теневого копирования томов. Снимки файловой системы также хранятся в каталоге System Volume Information и представляют собой сжатые файлы, в имени которых содержится глобальный идентификатор: Однако порядок отката системы на состояние сохраненной точки восстановления такой же, как и для Windows XP. Именно поэтому многие вредоносные программы пытаются уничтожить данные точек восстановления и отключить средства восстановления системы. В подавляющем большинстве случаев, запуск внедрившегося вируса обеспечивается определенными записями в реестре, а после отката эти записи исчезнут, и вирус не сможет получить управление, и тем самым, будет нейтрализован даже без использования антивирусного программного обеспечения. Как видно, механизм точек восстановления довольно эффективен, но воспользоваться им можно только в среде самой Windows - для выполнения отката неработоспособной системы, стандартно, нужно в ней же и загрузиться. А если система повреждена настолько, что загрузка невозможна, задача становится невыполнимой. Тем не менее, выход из данной ситуации и даже не один - есть. Можно, например, воспользоваться загрузочным диском Microsoft Diagnostic and Recovery Toolset MS DaRT , он же Winternals ERD СOMMANDER ERDC , - инструментом на базе специальной версии Windows PE, загружаемой с компакт диска или другого внешнего носителя. ERD Commander умеет работать с точками восстановления той ОС Windows, которая была подключена к нему при загрузке, и позволяет легко выполнить откат на ее работоспособное состояние через меню "Start - System Tools - System Restore" С помощью System Restore Wizard восстановление выполняется так же, как это можно было бы выполнить в среде рухнувшей системы. Если же ERDC нет под рукой, или полный откат системы не нужен, можно воспользоваться ручным восстановлением отдельных файлов реестра, копии которых можно взять из данных точки восстановления для Windows XP, или из автоматически создаваемых копий файлов реестра в Windows 7. Для этого достаточно получить доступ к файловой системе жесткого диска с поврежденной Windows. Внутри папки RPx открываем каталог SNAPSHOT , содержащий копии файлов реестра, на момент создания контрольной точки. Запорченный файл system можно, на всякий случай, переименовать в system. Обычно, для восстановления работоспособности поврежденной операционной системы, достаточно копирования только файла SYSTEM, поскольку именно в нем хранятся наиболее важные параметры, необходимые для загрузки и функционирования ОС. Копирование файла SOFTWARE влияет на изменение состава установленного программного обеспечения для всех пользователей. Чтобы этого не случилось, лучше в процессе загрузки не подключаться к проблемной операционной системе и выбрать None: Восстановление файлов реестра для Windows 7 и более поздних ОС Windows Для восстановления работоспособности Windows 7 и более поздних версий, удобнее всего воспользоваться средством Microsoft Diagnostic and Recovery Tools MS DaRT , версии соответствующей версии и разрядности операционной системы. Для разрядных и разрядных ОС используются свои загрузочные диски. Наборы инструментов и их функциональные возможности, практически не отличаются от использовавшихся в ERD Commander, однако немного изменился их внешний вид и добавилась официальная поддержка русского языка. Описание работы с ERDC и MS DaRT 7. В тех случаях, когда невозможно выполнить загрузку Windows, и запустить средство восстановления системы, инструменты MS DaRT позволяют выполнить ее откат на работоспособное состояние, практически так же, как и в случае с применением классического ERD Commander для Windows XP. Однако, описанный выше способ с частичной или полной заменой файлов реестра из данных точек восстановления применить не получится, поскольку возникает проблема извлечения их них отдельных кустов реестра. Тем не менее, в современных ОС семейства Windows существует более простая методика восстановления реестра, основанная на использовании автоматически создаваемых копий кустов файлов реестра , создаваемых периодически специальной, задачей "Планировщика заданий". Задача RegIdleBackup создается в библиотеке планировщика заданий и выполняется скрытно, вне зависимости от регистрации пользователя, по умолчанию, один раз в 10 дней. Параметры задачи и сведения о ее выполнении можно посмотреть с помощью оснастки "Панель управления"- "Администрирование" - "Планировщик заданий". Открыть дерево "Библиотека планировщика" — Microsoft — Windows — Registry. Хотя задано время выполнения Кроме того, как уже упоминалось выше, в операционных системах Windows Vista и старше, при создании точки восстановления системы, создается и теневая копия тома, представляющая собой полный снимок файловой системы snapshot, снапшот , который тоже может помочь в восстановлении не только файлов реестра, но и любых других, существовавших на момент создания снимка. Для получения информации о существующих теневых копиях файловой системы можно воспользоваться командой: После выполнения команды, на диске C: Более подробно о теневом копировании и использовании снимков файловой системы — в статье Восстановление данных с использованием теневых копий томов Для доступа к файлам и папкам из снимка файловой системы, можно использовать и сторонние программы, умеющие работать с томами теневых копий, как, например, популярная программа восстановления данных Recuva. Более подробно об использовании данных теневых копий рассказывается в отдельной статье по применению Recuva для эффективного восстановления файлов. Использование утилиты для работы с реестром из командной строки REG. На практике, можно для Windows использовать REG. Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию: Программа редактирования системного реестра из командной строки, версия 3. Для резервного копирования реестра используется REG. EXE SAVE, для восстановления - REG. EXE RESTORE Для получения справки REG. REG SAVE Полный путь к разделу реестра в виде: Полный путь к разделу реестра в выбранном корневом разделе. Имя сохраняемого файла на диске. Если путь не указан, файл создается вызывающим процессом в текущей папке. Есть, правда некоторые моменты. В версии утилиты из ОС Windows нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения REG SAVE вполне можно использовать для сохранения любых разделов реестра, в т. Для сохранения куста SYSTEM: EXE выдаст ошибку и завершится. В Windows 7, при наличии существующего файла, выдается стандартный запрос на разрешение его перезаписи. Ручное копирование файлов реестра. Как уже упоминалось выше, если загрузиться в другой ОС с возможностью доступа к файловой системе проблемной Windows, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью команды REG SAVE файлом system. Использование режима экспорта-импорта реестра. Данный способ не является в полном смысле слова способом полного восстановления реестра и более подходит для случаев, когда нужно сохранить и затем восстановить определенную его часть. Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла, позволяет восстановить реестр. Импорт также можно выполнить двойным щелчком по ярлыку reg-файла. Вполне понятно, что наличие резервных копий реестра делает систему почти "не убиваемой", однако, нередко случается так, что при возникновении необходимости восстановления реестра актуальной копии просто нет. Например, вирус отключил систему восстановления и удалил контрольные точки, а резервное копирование вручную просто не выполнялось. И если в Windows 7 существует задание планировщика для копирования файлов реестра, созданное при установке системы, то в Windows XP, такого задания нет, и, при нарушении целостности реестра, шансов на восстановление становится меньше. Что бы исключить подобную ситуацию, было бы неплохо, позаботиться об автоматическом резервирования файлов реестра без участия человека. Например, с помощью командного файла, выполняемого планировщиком или в процессе регистрации пользователя. Для создания полной копии реестра Windows XP в командной строке удобно использовать бесплатную консольную утилиту regsaver. Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки: После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим: Важным преимуществом консольной версии является то, что можно создать командный файл и выполнять его с помощью планировщика заданий для автоматического создания резервных копий файлов реестра. Я неоднократно использовал regsaver в сценариях регистрации пользователей при входе в домен для периодического например, 1 раз в неделю копирования файлов реестра, и наличие резервной копии нередко выручало в критической ситуации. Для периодического создания резервных копий файлов реестра можно воспользоваться запуском утилиты от имени администратора с сохранением полномочий. При первом запуске runas , будет выдан запрос на ввод пароля указанного пользователя, который будет запомнен и не будет запрашиваться при последующих запусках. Утилита regsaver выполняется без ошибок в среде Windows 7, однако, копии файлов реестра будут не полными, и использовать их в полной мере невозможно, да и нет необходимости, поскольку автоматическое резервирование файлов реестра выполняется заданием RegIdleBackup, автоматически выполняемым "Планировщиком заданий" Windows. Восстановление реестра, при отсутствии резервных копий в Windows XP. Windows XP could not start because the following file is missing or corrupt: Я, конечно, не рассматриваю здесь случай, когда некондиционность файла реестра вызвана сбоями оборудования компьютера. Если же, резервирование данных реестра никогда не выполнялось, был отключен механизм создания контрольных точек восстановления, или вы использовали Win2K, где этого механизма просто отсутствует, то все равно, некоторые шансы оживить систему, есть. Возможно, поможет восстановить систему: Поврежденный файл system переименуйте или сохраните в каком-либо ином месте. Найденный файл- копию system. Такой вариант, не самый оптимальный, на крайний случай. После завершения установки Windows, копии файлов реестра сохраняются в упомянутом каталоге и файл system будет соответствовать состоянию ОС сразу после завершения установки. Редактор реестра позволяет открывать файлы не только "своего" реестра, но и файлы, являющиеся реестром другой операционной системы. И имеется возможность восстановления поврежденного куста при загрузке в редакторе реестра. Для этого - Загрузитесь в другой операционной системе Windows с возможностью загрузки проблемного куста реестра. После нажатия OK появится сообщение: В левом окне редактора реестра выберите подключенный куст BadSystem и выполните команду "Выгрузить куст". Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows Даже если содержимое восстановленного таким образом файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы. Как определить, какие программы обращаются к реестру. Страница Process Monitor на Microsoft Sysinternals Программа Process Monitor является усовершенствованным инструментом отслеживания активности приложений и системных служб , который в режиме реального времени отображает активность файловой системы, реестра, сети, процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ. Недостатком программы можно считать вероятность зависания при большом количестве отслеживаемых событий. Методике использования утилиты Process Monitor для анализа активности процессов в Windows посвящена отдельная статья: Подробное описание утилиты Process Monitor. Не смотря на появление Process Monitor , в среде Windows XP удобнее использовать хотя и устаревшую, но по прежнему эффективную, утилиту Regmon , поддержка которой прекращена автором. Фактически, Regmon , является частью утилиты Process Monitor , и выполняет только мониторинг обращений к реестру. Параметры программы, панель инструментов, принципы фильтрации и выделения отслеживаемых событий, а также результатов мониторинга в обеих программах практически одинаковы. Информация выдается в удобном виде, который можно настроить под свои нужды - исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей: Имена процессов разделяются символом ";". Exclude - какие процессы исключить из результатов мониторинга. Highlight - какие процессы выделить выбранным цветом по умолчанию - красным. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию - фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса - Include process - включить данный процесс в мониторинг - Exclude process - исключить данный процесс из мониторинга. Формат времени можно изменить с помощью вкладки Options Process - имя процесса: OpenKey - открытие ключа подраздела реестра, CloseKey - закрытие, CreateKey - создание, QueryKey - проверка наличия ключа и получение количества вложенных ключей подразделов, subkeys , EnumerateKey - получить список имен подразделов указанного раздела, QueryValue - прочитать значение параметра, SetValue - записать значение. Path - путь в реестре. Result - результат выполнения операции. SUCCESS - успешно, NOT FOUND - ключ параметр не найден. ACCESS DENIED - доступ запрещен недостаточно прав. Иногда бывает BUFFER OVERFLOW - переполнение буфера - результат операции не помещается в буфере программы. Other - дополнительная информация, результат выполненного запроса. После старта, лучше выбрать фильтр по умолчанию, то есть фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню - Exclude process - информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы. Небольшим недостатком программы является ограниченное количество возможных фильтров. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время. Для этого выбираете меню Options-Log Boot. Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в ходе следующей перезагрузки ОС: Режим записи в журнал будет продолжаться до запуска Regmon. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч. Подробное описание утилиты Regmon и ее использования для мониторинга реестра. Поскольку утилита Regmon больше не поддерживается Microsoft, скачать ее с официального сайта невозможно. В операционных системах семейства Windows предусмотрена возможность автоматического запуска программ для создания определенной пользовательской среды. Простейшим способом автоматического запуска является размещение ярлыков приложений или файлов сценариев в специальной папке Автозагрузка. Автоматический запуск по ссылкам в данной папке возможен как для отдельного пользователя, так и для всех пользователей, регистрирующихся в системе. Кроме папки "Автозагрузка", для запуска программ могут использоваться и разделы реестра: Once отличаются тем, что программы, прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются. Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU: При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр - программа не запустится. В связи с тем, что автозапуск программ через реестр используется очень многими программными продуктами, причем, как правило, не в интересах пользователя, большинство автоматически запускаемых программ для работы не нужны, и их запуск можно отключить, удалив соответствующие записи из данного раздела реестра. В случае необходимости можно вернуть автозапуск, изменив расширение исполняемого файла. Для просмотра и отключения автоматически запускаемых программ можно воспользоваться системной утилитой настройки системы от Microsoft - msconfig. Кроме полезных а иногда и бесполезных программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах здесь. Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы - мониторы автозапуска, наиболее популярной из которых, является Autoruns. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns. Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку. Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт "Jump to" контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск. Cтраница с подробным описанием и практическими примерами использования утилиты Autoruns Драйверы и службы. Например, "atapi" - для драйвера стандартного IDE контроллера жестких дисков, "DNScache" - для службы "DNS клиент". DisplayName - выводимое имя - то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления. ErrorControl - режим обработки ошибок. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1. Используется для обеспечения загрузки последней удачной конфигурации LastKnownGood. Процесс загрузки останавливается, и выводится сообщение о сбое. Group - название группы, к которой относится драйвер, например - "Видеоадаптеры" ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение. Файлы сервисов - обычно. Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение параметра Start равным 4. Отключение драйверов и служб через редактирование этого ключа реестра - довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без запуска которых невозможна загрузка или функционирование операционной системы, то получите ее аварийное завершение чаще всего - синий экран смерти Blue Screen Of Death или сокращенно - BSOD. Во многих случаях, раздел драйвера содержит параметр типа DWORD с именем Tag. Основное его назначение - определение порядка загрузки драйвера или службы внутри группы. Если поле тега отсутствует, то загрузка драйвера выполняется только после того, как будут загружены драйверы с установленными значениями Tag. Неверный порядок загрузки драйверов и служб может быть вызван ошибками их установки, недоработками разработчиков и, в редких случаях, - приводить к проблемам функционирования системы захват ресурсов, необходимых другим драйверам, загрузка раньше другого драйвера, который необходим для работы, и т. Чем меньше значение Tag , тем выше приоритет загрузки драйвера в группе. Для получения информации о порядке загрузки драйверов, можно воспользоваться специальной утилитой от Sysinternals LoadOrder Информация, выдаваемая программой не полностью отсортирована в соответствии с реальным порядком загрузки драйверов и служб, но собрана в компактном виде и значение поля Tag присутствует. Иногда этой информации вполне достаточно для анализа ситуации, связанной с проблемой функционирования конкретного устройства. При нажатии кнопки Copy выходные данные LoadOrder копируются в буфер обмена, после чего их можно сохранить в текстовый файл. Текст можно открыть в Excel, что позволит сортировать, фильтровать и отбирать результаты. Из приведенного снимка экрана видно, что в самом начале загрузки Windows, загружаются драйверы группы Boot Bus Extender. Утилита LoadOrd входит в стандартный пакет утилит Sysinternals Suite , не требует установки и работает во всех версиях Windows. Для загрузки системы в безопасном режиме Safe Mode используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом: Minimal - список драйверов и служб, запускаемых в безопасном режиме Safe Mode Network - то же, но с поддержкой сети. Возможные варианты загрузки управляющих наборов определяются содержимым раздела: Default - управляющий набор, который будет использоваться при следующей загрузке. LastKnownGood - управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации Last Known Good Configuration. Failed - сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации Last Known Good Configuration. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet, - на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться, поэтому в реестре некоторых ОС имеются разделы ControlSet, ControlSet и т. Использование загрузки с параметрами последней удачной конфигурации позволяют восстановить работоспособное состояние системы в тех случаях, когда ошибка не позволяет войти пользователю в систему и загрузка завершается синим экраном смерти или зависанием до момента регистрации. Список установленных приложений в реестре Windows. Каждый подраздел содержит информацию об отдельном установленном в системе программном продукте: DisplayName - имя программы. InstallDate - дата установки. InstallLocation - каталог, в который установлена программа. UninstallString - строка для запуска процесса удаления программы. VersionMajor - старшая часть версии. VersionMinor - младшая часть версии. Для получения текстового файла со списком установленных программ и некоторых их характеристик, можно использовать сценарий. WriteLine outline end if next fout. При выполнении сценария, в текущем каталоге будет создан текстовый файл, содержащий список установленных программ с датой установки и номером версии. Имя текстового файла с результатами выполнения сценария - Имя компьютера. Сразу добавлю, практически нет никаких шансов получить какой-либо пароль с помощью простого просмотра данных реестра. Пароли, в подавляющем большинстве случаев, хранятся в зашифрованном виде, и для их дешифрации потребуется специальное программное обеспечение. Для доступа к некоторым разделам реестра, где хранятся данные о паролях, потребуется запуск редактора реестра с правами локальной системной учетной записи Local System. В качестве места хранения паролей обозревателя Internet Explorer до версии 7. Информацию о паролях в открытом виде найти не удастся. Есть очень редко встречающиеся приложения, хранящие пароли доступа в ключах реестра в открытом виде, но это не правило, а исключение из правила, поэтому, если вам нужно восстановить забытый пароль, редактор реестра вам не поможет. Другими словами, содержимое данного раздела, определяет, какие приложения, и каким образом, обрабатывают файлы с определенными расширениями. Например, при установленном пакете Microsoft Office, файлы с расширением. Для просмотра и изменения ассоциаций файлов и приложений можно воспользоваться меню Панель управления - Свойства папки - Типы файлов При создании ассоциаций выполняется запись определенных данных в раздел HKCR, что позволяет сопоставить определенному типу файла нужное для его обработки приложение и соответствующую ему иконку. В качестве примера я взял записи в HKCR, относящиеся к файлам с расширением. Остальные параметры не обязательны, и описывают тип содержимого для файлов. В данном случае, раздел реестра для ассоциации приложения с типом файлов. В данном примере для открытия файлов с расширением. Значение строкового параметра "C: Одно и то же приложение может быть ассоциировано с несколькими типами файлов, и иметь несколько разных вариантов отображаемых иконок. Shell - раздел определяет набор возможных действий над файлом данного типа. Подраздел Open раздела Shell определяет действие при открытии файла. Параметры, задаваемые в данном разделе определяют действия, выполняемые по отношению ко всем расширениям файлов, в том числе и не зарегитрированным. Ограничение доступа пользователя к ресурсам. В большинстве случаев, для того, чтобы изменения, внесенные в реестр, возымели действие, нужна перезагрузка или выход и повторный вход в систему. Скрываем логические диски Открываем раздел: Значение параметра определяет скрываемые диски A-Z. Наличие "1" начиная с младшего бита двойного слова означает отсутствие логического диска в "Мой компьютер" - нет диска A, - нет диска B, - нет диска C, F - нет дисков A-F Добавлю, что скрытые таким образом диски не видны только для Explorerа и в других программах могут быть доступны в FAR например. Чтобы включить обратно, надо 01 заменить на Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда - запрет на запуск редактора реестра DisableRegistryTools. Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением: Администратор компьютера получает сообщение Редактирование реестра запрещено администратором системы. Иногда вирусное заражение сопровождается еще и блокировкой запуска менеджера программ, блокировкой некоторых пунктов контекстного меню проводника или невозможностью его запуска вообще. Для управления разрешениями, на практике используются редакторы групповых политик, предоставляющие более удобный пользовательский интерфейс при выполнении задач по разграничению прав пользователей. Практические примеры и советы Настройка автозапуска сменных носителей. Таким образом, запрещен автозапуск с устройств, тип которых задан 7,4,2,0 разрядами - с дисков неопределенного типа, сетевых, съемных и нераспознанных. Для разрешения автозапуска с любых дисков все биты маски NoDriveTypeAutoRun нужно установить в ноль 0x0 , для разрешения - в единицу 0xFF. С появлением вирусов, распространяющихся через съемные USB диски флешки , автозапуск программ с внешних носителей стал серьезной угрозой безопасности компьютера и практически, как способ запуска программ, не используется. Обновления безопасности Майкрософт полностью блокируют данную возможность не только для маски NoDriveTypeAutoRun, но и настройками запрета обработки самого файла autorun. DoesNotExist" Для полного исключения автозапуска программ с любых носителей можно выполнить импорт в реестр reg-файла следующего содержания: Windows Registry Editor Version 5. Исправить ситуацию можно отредактировав раздел: Проблемы с русским шрифтом на некоторых программах Обычно, это характерно для нелокализованных ОС. Даже если вы установили русифицированные шрифты и в региональных установках указали Россию, проблемы с кириллическими шрифтами все же, могут возникнуть при использовании некоторых приложений. System,0 на значение System, Courier,0 на значение Courier, Arial,0 на значение Arial, Courier New,0 на значение Courier New, Times New Roman,0 на значение Times New Roman, Скорее всего, эти параметры там уже есть, но вместо стоит Так, ключ WaitToKillAppTimeout определяет время ожидания принудительного завершения приложения в миллисекундах стандартное значение - или 20 секунд. Использование экранной заставки определяется значением параметра ScreenSaveActive 1 - заставка используется 0 - заставка не используется Параметр ScreenSaveTimeOut определяет время ожидания в секундах для активации заставки. EXE указывает на файл с расширением. Для снятия пароля с заставки для рабочего стола нужно установить значение ключа ScreenSaverIsSecure равным нулю. В разделе имеется два строковых параметра - "1" и "2".
Dexp hc m инструкция
Уголовное право журнал скачать
Восстановление реестра Windows 7 и Windows 8
Планы двухэтажных бань
Инструкцией по эксплуатации огнетушителей
Сонник толкование снов кольцона пальце
Образец письма просьбы о финансовой помощи
Трамвай в балашиху последние новости 2017
Пантеизм николая кузанского и джордано бруно
Изменяем голос программой
Каталог магазина ситилинкв спб
Инструкция дыхательного тренажера самоздрав
Работа с реестром Windows
Игры про историю героев
Болит слизистая носа внутри причины
Новости в шоу бизнесе иркутск
Водяной насос rs 25 6 180 характеристики
Марата 5 визовый центр финляндии на карте
Устранение неполадок
Расписание поездов 31 мая
Декор в морском стиле своими руками фото
Кошачий глаз камень магические свойства знак зодиака
Колпаков история средних веков