Где хранится реестр: Файл реестра Windows или где находится реестр Windows

Знакомство с реестром Windows

Реестр Windows (Windows Registry) – это центральная база данных настроек и параметров во всех операционных системах семейства Windows (начиная с Windows 3.1). В нем хранится вся информация об аппаратных средствах, операционной системе и установленных в ней приложениях, а также пользовательские данные и настройки. По аналогии с человеческой анатомией я бы назвал реестр центральной нервной системой компьютера, ведь от настроек реестра напрямую зависит поведение системы в той или иной ситуации.

Реестр не является единым целым, а представляет из себя составную структуру, динамически формирующуюся из различных данных следующим образом:

  • Сначала, при установке ОС, создаются файлы, хранящие данные о начальной конфигурации системы.
  • Затем, в процессе загрузки и входа пользователя в систему формируется некий виртуальный объект Registry. Данные для формирования он берет частично из тех самых файлов, частично из информации, собранной при загрузке Windows.

Этот объект и является тем самым реестром, с которым взаимодействует операционная система и который видим мы.

Основные файлы, отвечающие за формирование реестра

  • system
  • software
  • sam
  • security
  • default
  • components
  • bcd-template

Хранятся они в папке %SystemRoot%\System32\Config\ (обычно это C:\Windows\System32\Config\) и в зависимости от версии ОС их состав может несколько различаться.

 

Также файлы, отвечающие за пользовательские настройки, могут храниться в C:\Documents and Settings\%Username%\ (Ntuser.dat) и в C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\Windows\ (UsrClass.dat).

Еще есть резервные копии файлов реестра, созданные системой, в зависимости от ОС они хранятся в:

C:\Windows\repair — для XP и Server 2003;
C:\Windows\System32\config\RegBack — для  Windows 7 \Server 2008 и более новых.

По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.

Взаимодействие реестра с операционной системой

• При запуске компьютера распознаватель аппаратных средств (hardware recognizer) помещает в реестр список обнаруженных им устройств. Обычно распознавание аппаратных средств осуществляется программой Ntdetect.com и ядром операционной системы Ntoskrnl.exe

• При старте системы ядро системы  извлекает из реестра сведения о загружаемых драйверах устройств и порядке их загрузки. Кроме того, программа Ntoskrnl.exe передает в реестр информацию о себе (напр. номер версии).

• В процессе загрузки системы драйверы устройств обмениваются с реестром параметрами загрузки и конфигурационными данными. Драйвер устройства сообщает об используемых им системных ресурсах, включая аппаратные прерывания (IRQ) и каналы доступа к памяти (DMA), чтобы система могла включить эти данные в реестр. Кстати, реестр позволяет создавать несколько аппаратных профилей. Аппаратный профиль (hardware profile) представляет собой набор инструкций, с помощью которого можно указать операционной системе, драйверы каких устройств должны загружаться при запуске компьютера. По умолчанию системой создается стандартный аппаратный профиль, который содержит информацию обо всех аппаратных средствах, обнаруженных на компьютере.

• При входе пользователя в систему загружаются пользовательские профили (user profiles). Вся информация, относящаяся к конкретному имени пользователя и связанными с ним правами хранится в реестре. Пользовательский профиль определяет индивидуальные параметры настройки системы (разрешение дисплея, параметры сетевых соединений, подключенные устройства и многое другое). Информация о пользовательских профилях также хранится в реестре.

• При установке приложений. Каждый раз при запуске программы установки происходит добавление в реестр новых конфигурационных данных. Начиная свою работу, все программы установки должны считывать информацию из реестра, чтобы определить, присутствуют ли в системе необходимые им компоненты. Кроме того, системный реестр позволяет приложениям совместно использовать конфигурационную информацию, что предоставляет им больше возможностей для взаимодействия. Приложение должно активно и правильно использовать реестр, а также иметь возможность корректного удаления, не затрагивая при этом компонентов, которые могут использоваться другими программами (библиотеки, программные модули и т. п.). Эта информация тоже хранится в реестре.

• При администрировании системы. Когда пользователь вносит изменения в конфигурацию системы с помощью средств администрирования системы (напр. утилиты Панели управления или оснастки MMC), все изменения сразу отражаются в системном реестре. По сути средства администрирования представляют собой наиболее удобные и безопасные средства модификации реестра. Кстати, к средствам администрирования можно отнести и редактор реестра (regedit. exe), ведь все изменения в систему можно вносить непосредственно правкой реестра.

Структура реестра

Реестр имеет древовидную структуру и состоит из 5 основных разделов, их еще называют ветвями реестра (Registry hives):

HKEY_LOCAL_MACHINE (HKLM) — самый большой раздел реестра. В нем сосредоточены все основные настройки операционной системы, а также аппаратного и программного обеспечения компьютера. Информация, содержащаяся в этом разделе, применяется ко всем пользователям, регистрирующимся в системе.

 

HKEY_ CLASSES_ ROOT (HKCR) — содержит ассоциации между приложениями и типами файлов (по расширениям файлов). Кроме того, в этом разделе находится информация о зарегистрированных типах файлов и объектах COM и ActiveX. Кроме HKEY_ CLASSES_ ROOT эти сведения хранятся также в разделах HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes, переопределяют принятые по умолчанию и относятся только к текущему пользователю. Раздел HKEY_CLASSES_ROOT включает в себя данные из обоих источников.

 

HKEY_USERS( HKU) — содержит настройки среды для каждого из загруженных пользовательских профилей, а также для профиля по умолчанию. В HKEY_USERS находится вложенный раздел \Default, а также другие подразделы, определяемые идентификатором безопасности (Security ID, SID) каждого пользователя

 

HKEY_CURRENT USER (HKCU) — cодержит настройки среды для пользователя, на данный момент зарегистрировавшегося в системе (переменные окружения, настройки рабочего стола, параметры сети, приложений и подключенных устройств).
Этот раздел дублирует информацию в HKEY_USERS\user SID, где user SID — идентификатор безопасности пользователя, зарегистрировавшегося в системе на текущий момент (узнать SID текущего пользователя можно, набрав в командной строке whoami /user) .

 

HKEY_CURRENT_ CONFIG (HKCC) — cодержит настройки для текущего аппаратного профиля. Текущий аппаратный профиль включает в себя наборы изменений, внесенных в стандартную конфигурацию устройств, заданную в подразделах Software и System корневого раздела HKEY LOCAL_MACHINE. В HKEY_CURRENT_CONFIG отражаются только изменения. Кроме того, информация этого раздела находится в HKEY_LOCAL_MACHINE\System \CurrentControlSet\HardwareProfiles\Current

 

Данные в реестре хранятся в виде параметров, расположенных в ключах реестра. Каждый параметр характеризуется именем, типом данных и значением.

Основные типы данных, применяемые в реестре

REG_DWORD —  32-х разрядное число. Этот тип данных используют многие параметры драйверов устройств и сервисов. Редакторы реестра могут отображать эти данные в двоичном, шестнадцатеричном и десятичном формате

 

REG_SZ — Текстовая строка в формате, удобном для восприятия человеком. Значениям, представляющим собой описания компонентов, обычно присваивается именно этот тип данных

 

REG_EXPAND_SZ — Расширяемая строка данных. Эта строка представляет собой текст, содержащий переменную, которая может быть заменена при вызове со стороны приложения, например, используется для записи переменных окружения

 

REGJMULTI_SZ — Многострочное поле. Значения, которые фактически представляют собой списки текстовых строк в формате, удобном для восприятия человеком, обычно имеют этот тип данных. Строки разделены символом NULL

 

REG_BINARY — Двоичные данные. Большинство аппаратных компонентов используют информацию, которая хранится в виде двоичных данных. Редакторы реестра отображают эту информацию в шестнадцатеричном формате

 

REG_RESOURCE_LIST — Список аппаратных ресурсов. Применяется только в ветви HKEY_LOCAL_MACHINE\HARDWARE

 

Также иногда можно встретить такие типы данных реестра:

REG_RESOUECE_ REQUIREMENTS_LIST — Список необходимых аппаратных ресурсов. Применяется только в ветви HKEY_LOCAL_MACHINE\HARDWARE

REG_FULL_RESOURCE_ DESCRIPTOR — Дескриптор (описатель) аппаратного ресурса. Применяется только в ветви HKEY_LOCAL_MACHINE\HARDWARE

REG_LINK — Символическая ссылка Unicode. Этот тип данных интересен тем, что позволяет одному элементу реестра ссылаться на другой ключ или параметр.

REG_QWORD — 64-х разрядное число.

REG_DWORD_ LITTLE_ENDIAN — 32-разрядное число в формате «остроконечников» (little-endian), эквивалент REG_DWORD

REG_DWORD_BIG_ ENDIAN — 32-разрядное число в формате «тупоконечников» (big-endian)

REG_QWORD_LITTLE_ ENDIAN — 64-разрядное число в формате «остроконечников». Эквивалент REG_QWORD

REG_NONE — Параметр не имеет определенного типа данных

Что такое реестр Windows и как получить к нему доступ?

Главная » Винда







Автор Milena Anderson На чтение 4 мин. Просмотров 6 Опубликовано



Краткий ответ

  1. Реестр Windows — это база данных, в которой хранится информация о конфигурации операционной системы Windows.
  2. Вы можете получить доступ к реестру, открыв приложение “Редактор реестра” из меню “Пуск” или нажав сочетание клавиш “Windows + R”, чтобы открыть диалоговое окно “Выполнить”, и введя ” regedit”.
  3. Редактор реестра отображает все файлы и подкаталоги в реестре.

Что такое реестр? (Учебное пособие по основам реестра Windows)

Реестр Windows как можно быстрее

Как получить доступ к реестру Windows?

Реестр Windows — это база данных, в которой хранятся конфигурация и параметры Windows. Чтобы получить доступ к реестру, вы можете использовать утилиту regedit.

Что такое реестр Windows и как он работает?

Реестр Windows — это база данных, в которой хранится информация о конфигурации операционной системы и приложений. Он содержит пары ключ/значение, а также другие типы данных, такие как файлы и папки. Доступ к реестру можно получить с помощью приложения “Редактор реестра”, которое устанавливается вместе с операционной системой Windows.

Где находится папка реестра Windows?

Реестр Windows находится по адресу:
C:WindowsSystem32configregistry
Если вы используете 64-разрядную операционную систему, расположение реестра Windows может быть другим .

Что такое ключ реестра Windows?

Реестр Windows — это иерархическая база данных, в которой хранится информация о системе и установленных в ней приложениях. Он используется для хранения параметров конфигурации, предпочтений, пользовательских данных и другой информации.

Как получить доступ к моему реестру с другого компьютера?

Есть несколько способов получить доступ к реестру с другого компьютера. Один из способов — использовать редактор реестра, встроенный в Windows. Другой способ — использовать программу очистки реестра, которую можно найти в Интернете или в магазинах программного обеспечения.

Как читать файлы реестра?

Для чтения файлов реестра можно использовать такие программы, как RegEdit.exe или Regedit.exe.

Как получить доступ к кусту реестра?

Куст реестра — это скрытая папка на вашем компьютере, в которой хранятся важные системные настройки и информация. Вы можете получить доступ к кусту реестра, выполнив следующие действия:
Откройте меню “Пуск” и введите “regedit”.
Когда откроется окно Regedit, щелкните вкладку “HKEY_LOCAL_MACHINE”.
Дважды. -щелкните ключ “Программное обеспечение”, чтобы открыть его подразделы.

Как открыть файл REG от имени администратора?

Не существует специального способа открыть REG-файл от имени администратора. Однако вы можете открыть REG-файл с помощью утилиты regedit.exe, которая находится в операционной системе Windows..

Как открыть редактор реестра от имени администратора?

Чтобы открыть редактор реестра от имени администратора, вы можете использовать следующую команду: regedit.exe.

Когда пользователь входит в Windows Какой раздел реестра создается?

Раздел реестра, создаваемый при входе пользователя в Windows, — HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

Почему важен реестр Windows?

Реестр Windows — это системный реестр, в котором хранятся настройки и настройки операционной системы Windows. Это центральное место, где пользователи могут хранить свои личные настройки и предпочтения. Реестр Windows также может использоваться программами для доступа или изменения системных настроек.

Что такое журнал просмотра событий?

Журналы просмотра событий — это журнал системных событий, в котором хранится информация о системных событиях, произошедших на компьютере. Информация в журналах событий может помочь вам устранить неполадки и диагностировать проблемы с вашим компьютером.

Как получить доступ к реестру в Windows 7?

Чтобы получить доступ к реестру в Windows 7, откройте меню “Пуск” и введите “regedit” в поле поиска. Когда откроется окно редактора реестра, перейдите в следующую папку:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
В этом месте вы увидите ряд ключевых значений, связанных с Винлогон. Одно из этих ключевых значений — “UserShell”.

Как просмотреть старый реестр?

Есть несколько способов просмотреть старый реестр. Один из способов — использовать редактор реестра Windows 10. Чтобы открыть редактор реестра, нажмите “Пуск”, введите regedit в поле поиска и нажмите “Ввод”. В редакторе реестра перейдите в следующую папку: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Щелкните правой кнопкой мыши Winlogon и выберите “Создать” > “Ключ”.

Как мне это сделать? импортировать в реестр в Windows 10?

В Windows 10 вы можете импортировать содержимое с USB-накопителя или другого места хранения с помощью Проводника. Для этого откройте проводник и перейдите в место, куда вы хотите импортировать содержимое. Затем выберите файлы или папки, которые вы хотите импортировать, и нажмите кнопку “Импорт”.














записей реестра Windows | Forensics Wiki

Реестр Windows — это база данных, в которой хранятся записи конфигурации для последних операционных систем Microsoft, включая Windows Mobile. Эта страница предназначена для сбора записей реестра, представляющих интерес с точки зрения цифровой криминалистики. Существует ряд инструментов реестра, которые помогают редактировать, отслеживать и просматривать реестр.

Содержание

  • 1 Места регистрации
    • 1.1 Windows NT, 2000, XP и Server 2003
    • 1.2 Windows 95, 98 и Me
    • 1.3 Окна 3.11
  • 2 места резервного копирования реестра
    • 2.1 Windows NT, 2000, XP и Server 2003
    • 2.2 Windows 95, 98 и Me
    • 2.3 Окна 3.11
  • 3 Журналы транзакций
    • 3.1 Windows NT, 2000, XP и Server 2003
  • 4 Просмотр записей реестра
  • 5 Полезные записи
  • 6 Коммунальные услуги

Места регистрации[]

Windows NT, 2000, XP и Server 2003[]

nСледующие файлы реестра хранятся в %SystemRoot%\System32\Config\:

  • Сэм — HKEY_LOCAL_MACHINE\SAM
  • Безопасность — HKEY_LOCAL_MACHINE\БЕЗОПАСНОСТЬ
  • Программное обеспечение — HKEY_LOCAL_MACHINE\SOFTWARE
  • Система — HKEY_LOCAL_MACHINE\SYSTEM
  • По умолчанию — HKEY_USERS\. DEFAULT
  • Userdiff

В папке профиля каждого пользователя хранится следующий файл:

  • NTUSER.DAT

Windows 95, 98 и Me[]

Файлы реестра называются User.dat и System.dat и хранятся в каталоге C:\WINDOWS\. В Windows Me добавлен Classes.dat.

Windows 3.11[]

Файл реестра называется Reg.dat и хранится в каталоге C:\WINDOWS\.

Расположение резервных копий реестра[]

Windows NT, 2000, XP и Server 2003[]

При успешной установке создается резервная копия реестра. Следующие резервные файлы реестра хранятся в папке %SystemRoot%\System32\Config\:

  • Сам.сохран.
  • Security.sav
  • Программное обеспечение.sav
  • System.sav
  • Default.sav

Реестр также резервируется как точки восстановления. Следующие резервные файлы реестра хранятся в каталогах, подобных следующим:

 C:\System Volume Information\_restore{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\RPXXX\Snapshot

Вы можете получить сообщение об отказе в доступе при попытке поиска в каталоге System Volume Information. Доступны инструкции по получению необходимого доступа.

Файлы, сохраненные в этом каталоге:

  • _REGISTRY_USER_.DEFAULT
  • _REGISTRY_MACHINE_SECURITY
  • _REGISTRY_MACHINE_SOFTWARE
  • _REGISTRY_MACHINE_SYSTEM
  • _REGISTRY_MACHINE_SAM

Существуют также файлы для каждого пользователя на машине на основе их идентификатора безопасности (SID):

  • _REGISTRY_USER_NTUSER_S-1-5-19
  • _REGISTRY_USER_USRCLASS_S-1-5-19

Windows 95, 98 и Me[]

Windows 3.11[]

Журналы транзакций[]

Windows NT, 2000, XP и Server 2003[]

система встала. Изменения, внесенные в реестр, сначала записываются в файлы журнала. Файл журнала сбрасывается при записи изменений в реестр. Если системный сбой происходит до записи информации из журнала, журнал применяется к реестру при следующей загрузке.

Следующие файлы журнала транзакций хранятся в папке %SystemRoot%\System32\Config\:

  • Сэм. лог
  • Security.log
  • Software.log
  • Системный журнал
  • Default.log
  • Userdiff.log
  • TempKey.log

В папке профиля каждого пользователя хранится следующий файл:

  • NTUSER.DAT.log

Просмотр записей реестра[]

Из командной строки:

 reg.exe ЗАПРОС HKLM\System\CurrentControlSet\Control\FileSystem

Полезные записи[]

  • HKLM\System\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate

Утилиты[]

  • Инструменты реестра, полезные в цифровой криминалистике
    • Регмон; часть инструментов Sysinternals — инструмент для подробного мониторинга приложений, которые обращаются к элементам реестра

      • .

    • Монитор процесса; часть инструментов Sysinternals — объединяет RegMon и FileMon и является единственным инструментом Sysinternals для мониторинга реестра в Windows Vista 9.0012
    • jv16 PowerTools — Набор утилит, содержащий очиститель реестра, монитор реестра и средство сжатия реестра.
    • Chntpw  — автономный редактор реестра Windows/SAM с открытым исходным кодом, работающий под Linux

      • .

    • ERD Commander — загрузочный компакт-диск с автономным редактором реестра для восстановления установок Windows.
    • Win32Registry — модуль реестра Perl, обеспечивающий доступ из операционных систем, отличных от Windows
На этой странице используется контент из англоязычной версии Википедии . Исходная статья находилась по адресу реестра Windows . Список авторов можно увидеть на странице истории . Как и в случае с этой Forensics Wiki, текст Википедии доступен по лицензии GNU Free Documentation License.

Что такое реестр? | 6. Важность реестра, которую вы должны знать

База данных, в которой хранятся все настройки Windows, называется реестром. Он организован в иерархическом порядке для извлечения данных, когда это необходимо и используется в системе. В основном основные настройки хранятся в реестре для удобства доступа и использования. Это может быть информация о приложениях, данные об окнах и установленном в системе программном обеспечении. Реестры работают в системе Windows и разрабатываются Microsoft. Это помогает людям легко получать данные и использовать их для дальнейшей обработки. Все системы имеют реестр, так как данные хранятся там.

Важность реестра

1. Он действует как база данных для системы, поэтому вся важная информация, связанная с аппаратным и программным обеспечением, хранится в реестре. Параметры конфигурации, информация о приложениях, пользователях, использующих программное обеспечение, и связанные данные хранятся в реестре.

2. Когда программисту нужны какие-либо данные, он может проверить реестр и наверняка получит нужную информацию. Реестр действует как хранилище данных для людей, которым нужны быстрые данные.

3. Иногда реестр будет заполняться релевантными и нерелевантными данными, когда возникает необходимость очистить реестр от ненужных файлов. Реестр помогает сэкономить время пользователям, которые остро нуждаются в данных и не могут просмотреть все файлы в системе.

4. Данные служб хранятся в реестре и, следовательно, помогают менеджеру по безопасности проверять детали при необходимости. Системам может быть предоставлена ​​надлежащая аутентификация пользователя для использования реестра во избежание утечки.

5. Когда данные потребуются, Windows зарегистрируется в реестре и получит информацию. Следовательно, чтобы получить данные быстрее, реестр не должен быть загроможден большим количеством данных. Реестр должен быть сжат и проверен между ними, чтобы предоставить данные в Windows.

6. Чтобы сделать реестр более эффективным, его следует периодически очищать и проверять на наличие неправильных записей. Нежелательные данные должны быть удалены, а система должна быть правильно введена.

Как пользоваться реестром?

Реестр — это душа компьютера. Он показывает системе, как работать, и описывает все с данными в системе. Внутри реестра есть уровни, на которых хранятся данные. Высшим уровнем является Hives, обозначаемый HKEY, который хранит информацию о пользователях, программах в системе, конфигурации системы и данные о ПК и его ресурсах. Следовательно, эта информация должна храниться в кустах, в которых находятся папки и подпапки. Папки имеют значения или пути, по которым данные хранятся в системе. Это помогает пользователю проверить местоположение данных и получить к ним доступ при необходимости.

Когда реестр необходимо отредактировать или проверить на наличие данных, необходимо использовать программу редактирования реестра. Это помогает изменить реестр и проверить, хранятся ли данные в папке или папка пуста с какими-либо значениями по умолчанию. Данные внутри реестра не следует удалять, а не проверять на наличие информации, и их следует отключать, если они не нужны. Это заставляет систему не проверять конкретную папку на наличие данных. Значения хранятся внутри ключей в виде файлов, хранящихся внутри папок. Это помогает пользователю определить иерархию и при необходимости изменить ее.

При открытии реестра слева отображается иерархия, а справа — значения. Пользовательский интерфейс реестра является базовым и очень простым для понимания. Значения внутри папок отображаются в правой части системы. Кроме того, путь к каждой папке отображается в нижней части панели. Это помогает понять структуру файлов и просматривать их. Иногда папка не отображает никаких файлов, но будет связана с папками следующего уровня.

Зачем нам реестр?

  • Реестр Windows служит фактическим реестром в реальной жизни, где вся информация хранится для использования в будущем или для справок в прошлом. Здесь хранятся данные и настройки, чтобы их можно было проверить между ними и изменить при необходимости. Это позволяет системе эффективно работать со всеми данными.
  • Если в системе установлено новое программное обеспечение, в реестре создается новая папка или раздел. Всякий раз, когда мы используем программное обеспечение, все данные сохраняются в реестре, чтобы их можно было получить в случае необходимости. Параметры конфигурации, данные для входа в систему и весь архив программного обеспечения хранятся в реестре. Поскольку реестр легко доступен, программное обеспечение запускается быстрее с имеющимися данными. Даже когда пользователь входит в систему, данные сохраняются в реестре.
  • Реестр сохраняется в папке конфигурации Windows, и система должна внести изменения в реестр на основе параметров конфигурации приложений. По сути, есть пять корневых ключей, под которыми хранятся данные, и их нужно модифицировать, а также проводить рутинные проверки, чтобы нежелательные файлы не занимали место в реестре.
  • Файлы реестра просматриваются с помощью командной кнопки Windows, а затем с помощью regedit, что позволяет просматривать и проверять файлы. Права администратора необходимы в реестре для редактирования и изменения в зависимости от потребностей пользователя.

Читайте также: