ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 24
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Министерство образования и науки Украины
Харьковский национальный университет радиоэлектроники
Кафедра ТКС
Лабораторная работа №3
по дисциплине: Основы построения и защиты современных ОС
на тему: Исследование системного реестра ОС Windows
Выполнил: Проверил:
Студент Добрынин И. С.
группы УИБ-12-1
Глевский А. А.
Харьков
2014
Тема: Исследование системного реестра ОС Windows.
Цель: Ознакомиться с назначением и организацией системного реестра ОС Windows, изучить средства для архивирования, просмотра и корректировки реестра.
Ход работы
-
Реестр.
Реестр – это системная база данных Windows . Она является хранилищем множества параметров и установок, необходимых для нормального функционирования Windows на данном конкретном компьютере. Реестр – это не статическая база данных настроек, он работает постоянно и постоянно обновляется. Не существует двух одинаковых реестров.
-
Registry Editor.
Фирма Microsoft предусмотрела множество элементов интерфейса пользователя, предназначенных для изменения конфигурации системы , т.е. реестра – это и Панель Управления, и диалоговые окна свойств, и многое другое. При этом изменения параметров отражаются на функционировании системы немедленно. Вместе с тем в некоторых случаях этого оказывается недостаточно. Однако, изменять системный реестр, используя редактор реестра, следует только в том случае, когда это действительно необходимо.
Для запуска редактора реестра следует выполнить команду «Пуск» > «Выполнить» > «RegEdit.exe». Файл запуска реестра RegEdit.exe всегда находится в папке \WINDOWS.
Функция поиска в реестре находиться по следующему адресу: «Правка» > «Найти», в строку ввода открывшегося диалогового окна вводится то, что необходимо найти. Поиск содержит следующие параметры просмотра при поиске:
-
Имена разделов; -
имена параметров; -
значения параметров;
Перед работой было выполнено резервное копирование файлов системного реестра. Для этого
ив редакторе реестра были выбраны следующие команды: «Файл» > «Экспорт», и выбрать диапазон экспорта: весь реестр и экспортировали реестр в файл backup.reg.
-
Изучение функции редактора реестра Registry Editor:
-
Был создан раздел «Hkey_Current_config_new», и установлен для него параметр строкового типа " UIB " и задано его значение –" UIB ". Параметру “По умолчанию” значение не присвоено не было. После выполнения этих пунктов созданный раздел был удалён.
Рисунок 2.1.1 – Создание нового раздела.
-
Был произведён поиск ключей с полным именем "Setup" . Для этого были выполнены следующие команды: «Правка» > «Найти», в строку ввода открывшегося диалогового окна было введено "Setup", и были установлены параметры просматриваемые при поиске: имена разделов, искать только строку целиком. В итоге были найдены:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Setup
Далее были выполнены следующие команды: «Правка» > «Найти далее».
HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Setup
-
Была произведена проверка, суть которой была в том, имеет ли реестр ключ со значением любого его параметра 35. Для этого были предприняты следующие действия: «Правка» > «Найти», в строку ввода открывшегося диалогового окна было введено "35", и были установлены параметры просматриваемые при поиске: значения параметров, искать только строку целиком. В итоге находим:
Рисунок 2.1.2 – Значение параметра “По умолчанию” равно 35.
-
Исследование раздела HKEY_CLASSES_ROOT.
Корневой ключ реестра HKEY_CLASSES_ROOT содержит информацию обо всех ассоциациях (связях) расширений имен файлов, с приложениями, поддерживающими эти типы файлов, и о данных, ассоциированных с объектами СОМ. Эти данные совпадают с информацией, которая содержится в ключе classes, расположенной в иерархии ниже ключа HKEY_LOCAL_MACHINE\SOFTWARE.
В этой части работы был исследован подключ для файлов с расширением DOC:
-
Был найден подключ HKEY_CLASSES_ROOT/.doc, у которого значение параметра "По умолчанию" - Word.Document.8 . -
Был найден подключ, на который указывает предыдущая ссылка: HKEY_CLASSES_ROOT \Word.Document.8. -
Далее было отредактировано значение параметра "По умолчанию" ключа HKEY_CLASSES_ROOT\Word.Document.8\DefaultIcon таким образом (было установлено значение “C:\Program Files\CCleaner\ CCleaner64.exe”), что изменился графический значок Word на значок CCleaner.
Рисунок 2.2.1 – Изменение графического значка Word на значок CCleaner.
-
Исследование раздела HKEY_LOCAL_MACHINE.
HKEY_LOCAL_MACHINE содержит спецификации рабочей станции, драйверов и др. системные настроцки, включая информацию о типах установленного оборудования, настройках портов конфигурации программного обеспечения. Эта информация специфична для компьютера, а не для пользователя.
Информация, сохраненная здесь, используется приложениями, устройствами и системой, и не зависит от того, кто был заявлен в качестве пользователя. Устройства могут помещать информацию в системный реестр с помощью Р1ug&Рlау-интерфейса, программные средства — посредством стандартного API.
HKEY_LOCAL_MACHINE состоит из следующих подразделов:
-
BCD00000000:
Данный раздел реестра обрабатывается диспетчером загрузки bootmgr и в редакторе реестра имеет разрешение только на чтение . Разрешение на запись можно установить через контекстное меню редактора, вызываемое правой кнопкой мышки.
-
HARDWARE:
База данных, описывающая аппаратные средства компьютера, способ взаимодействия драйверов устройств с аппаратными средствами, а также данные, которые связывают драйверы режима ядра с кодом режима пользователя. Все данные этого ключа воссоздаются при каждом запуске системы.
-
SAM:
База данных сервиса каталога, которая содержит информацию подсистемы безопасности об учетных записях пользователей и групп, а также о доменах сети Windows. (SAM — это диспетчер бюджетов безопасности, Security Account Manager.) По умолчанию этот ключ является нечитаемым с помощью редакторов реестра даже для пользователей, которые зарегистрировались в системе от имени администратора. Данные, хранящиеся в составе ключа HKLM\SAM, нигде официально не документированы, а пароли пользователей зашифрованы.
-
SECURITY:
База данных, которая содержит локальную политику безопасности, включая права конкретных пользователей. Этот ключ используется только подсистемой безопасности Windows. В качестве примера информации, содержащейся в составе этого ключа, можно привести сведения о наличии у конкретного пользователя права перезагружать локальный компьютер, загружать драйверы устройств, выполнять резервное копирование файлов или получать доступ к локальной системе через сеть. Информация ключа SECURITY также зашифрована. Ключ HKLM\SAM представляет собой ссылку на содержимое ключа HKLM\SECURITY\SAM.
-
SOFTWARE:
База данных программного обеспечения, установленного на компьютере. Этот ключ содержит информацию о программном обеспечении, установленном на локальном компьютере, а также всевозможные конфигурационные данные
-
SYSTEM:
База данных, управляющая запуском системы, загрузкой драйверов устройств, сервисами Windows NT/2000/XP и поведением операционной системы.
-
Исследование раздела HKEY_LOCAL_ CONFIG.
HKEY_LOCAL_CONFIG содержит информацию о текущей конфигурации аппаратуры компьютера, используется в основном на компьютерах с несколькими аппаратными конфигурациями, например, при подключении портативного ПК к стыковочной станции и отключении от нее. Информация , содержащаяся в этом ключе, копируется из ключа [HKEY_LOCAL_MACHINE].
Используя HKEY_CURRENT_CONFIG были произведены следующие действия:
Был найден раздел, отвечающий за настройки дисплея. HKEY_CURRENT_CONFIG\System\CurrentControlSet\Control\VIDEO\{2D5BA881-99A8-4757-A06E-CB5493B97A39}\0000. Через него была изменена текущая разрешающая способность монитора на значение "640x480" при помощи правки двух ключей: DefaultSettings.Xresolution (значение 1366 было изменено на 768) и DefaultSettings.Yresolution (значение 1024 было изменено на 480);
Рисунок 2.4.1 – Изменение разрешающей способности монитора.
Для проверки была выполнена перегрузка операционной системы.
-
Исследование раздела HKEY_CURRENT_USER.
HKEY_CURRENT_USER содержит настройки системы и программ, относящиеся к текущему пользователю. Он создается при регистрации пользователя в системе на основе информации из соответствующего ключа [HKEY_USERS]. HKEY_USERS содержит информацию обо всех пользователях данной рабочей станции. Здесь хранятся данные о каждом пользователе, а также типовые настройки, служащие шаблоном для новых ключей, создаваемых пользователем. Типовые настройки включают различные значения по умолчанию для программ, событий, конфигураций рабочего стола и т.д.
Именно здесь хранится информация о том, как данный пользователь сконфигурировал рабочую станцию.
В разделе HKEY_CURRENT_USER были произведены следующие действия:
-
Был найден раздел, отвечающий за настойки рабочего стола: HKEY_CURRENT_USER\Control Panel\Desktop.
Рисунок 2.5.1 – Раздел, отвечающий за настойки рабочего стола.
-
Для изменения ширины полосы прокрутки значение параметров ScrollWidth и MenuWidth раздела HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics было изменено с -255 и -285 на 100 и 100 соответственно.
Рисунок 2.5.2 – Изменение ширины полосы прокрутки.
-
Импорт/Экспорт Реестра.
Перед работой с реестром был экспортирован в новый файл. Для этого был выделен раздел HKEY_CURRENT_USER\AppEvents и экспортирован в файл UIB.reg («Файл» > « Экспорт…»).Файлы импорта-экспорта реестра имеют расширение REG.
Экспорт реестра удобен в резервировании параметров некоторых ключей, самих ключей или реестра. При необходимости экспортированные параметры могут быть восстановлены при помощи импорта реестра из файла.
После завершения работы с реестром было восстановлено начальное состояние системного реестра из резервной копии UIB.reg.
-
Перехват событий, изменения параметров, производимой другой программой при помощи утилиты Regmon.
Программа Regmon предназначена для слежения за реестром. Она показывает, какие приложения обращаются к реестру и в какие разделы, какую информацию они читают или пишут. И все это в реальном масштабе времени.
Regmon была заменена одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программа Regmon была оставлена для поддержки устаревших операционных систем, включая и Windows 9x.