Файл: Исследование системного реестра ос windows.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 08.11.2023

Просмотров: 27

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Министерство образования и науки Украины

Харьковский национальный университет радиоэлектроники

Кафедра ТКС

Лабораторная работа №3

по дисциплине: Основы построения и защиты современных ОС

на тему: Исследование системного реестра ОС Windows

Выполнил: Проверил:

Студент Добрынин И. С.

группы УИБ-12-1

Глевский А. А.

Харьков

2014

Тема: Исследование системного реестра ОС Windows.

Цель: Ознакомиться с назначением и организацией системного реестра ОС Windows, изучить средства для архивирования, просмотра и корректировки реестра.

Ход работы

  1. Реестр.

Реестр – это системная база данных Windows . Она является хранилищем множества параметров и установок, необходимых для нормального функционирования Windows на данном конкретном компьютере. Реестр – это не статическая база данных настроек, он работает постоянно и постоянно обновляется. Не существует двух одинаковых реестров.

  1. Registry Editor.

Фирма Microsoft предусмотрела множество элементов интерфейса пользователя, предназначенных для изменения конфигурации системы , т.е. реестра – это и Панель Управления, и диалоговые окна свойств, и многое другое. При этом изменения параметров отражаются на функционировании системы немедленно. Вместе с тем в некоторых случаях этого оказывается недостаточно. Однако, изменять системный реестр, используя редактор реестра, следует только в том случае, когда это действительно необходимо.

Для запуска редактора реестра следует выполнить команду «Пуск» > «Выполнить» > «RegEdit.exe». Файл запуска реестра RegEdit.exe всегда находится в папке \WINDOWS.

Функция поиска в реестре находиться по следующему адресу: «Правка» > «Найти», в строку ввода открывшегося диалогового окна вводится то, что необходимо найти. Поиск содержит следующие параметры просмотра при поиске:

  • Имена разделов;

  • имена параметров;

  • значения параметров;

Перед работой было выполнено резервное копирование файлов системного реестра. Для этого
ив редакторе реестра были выбраны следующие команды: «Файл» > «Экспорт», и выбрать диапазон экспорта: весь реестр и экспортировали реестр в файл backup.reg.

    1. Изучение функции редактора реестра Registry Editor:

  1. Был создан раздел «Hkey_Current_config_new», и установлен для него параметр строкового типа " UIB " и задано его значение –" UIB ". Параметру “По умолчанию” значение не присвоено не было. После выполнения этих пунктов созданный раздел был удалён.



Рисунок 2.1.1 – Создание нового раздела.

  1. Был произведён поиск ключей с полным именем "Setup" . Для этого были выполнены следующие команды: «Правка» > «Найти», в строку ввода открывшегося диалогового окна было введено "Setup", и были установлены параметры просматриваемые при поиске: имена разделов, искать только строку целиком. В итоге были найдены:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Setup

Далее были выполнены следующие команды: «Правка» > «Найти далее».

HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Setup

  1. Была произведена проверка, суть которой была в том, имеет ли реестр ключ со значением любого его параметра 35. Для этого были предприняты следующие действия: «Правка» > «Найти», в строку ввода открывшегося диалогового окна было введено "35", и были установлены параметры просматриваемые при поиске: значения параметров, искать только строку целиком. В итоге находим:



Рисунок 2.1.2 – Значение параметра “По умолчанию” равно 35.

    1. Исследование раздела HKEY_CLASSES_ROOT.

Корневой ключ реестра HKEY_CLASSES_ROOT содержит информацию обо всех ассоциациях (связях) расширений имен файлов, с приложениями, поддерживающими эти типы файлов, и о данных, ассоциированных с объектами СОМ. Эти данные совпадают с информацией, которая содержится в ключе classes, расположенной в иерархии ниже ключа HKEY_LOCAL_MACHINE\SOFTWARE.

В этой части работы был исследован подключ для файлов с расширением DOC:

  1. Был найден подключ HKEY_CLASSES_ROOT/.doc, у которого значение параметра "По умолчанию" - Word.Document.8 .

  2. Был найден подключ, на который указывает предыдущая ссылка: HKEY_CLASSES_ROOT \Word.Document.8.

  3. Далее было отредактировано значение параметра "По умолчанию" ключа HKEY_CLASSES_ROOT\Word.Document.8\DefaultIcon таким образом (было установлено значение “C:\Program Files\CCleaner\ CCleaner64.exe”), что изменился графический значок Word на значок CCleaner.




Рисунок 2.2.1 – Изменение графического значка Word на значок CCleaner.

    1. Исследование раздела HKEY_LOCAL_MACHINE.

HKEY_LOCAL_MACHINE содержит спецификации рабочей станции, драйверов и др. системные настроцки, включая информацию о типах установленного оборудования, настройках портов конфигурации программного обеспечения. Эта информация специфична для компьютера, а не для пользователя.

Информация, сохраненная здесь, используется приложениями, устройствами и системой, и не зависит от того, кто был заявлен в качестве пользователя. Устройства могут помещать информацию в системный реестр с помощью Р1ug&Рlау-интерфейса, программные средства — посредством стандартного API.

HKEY_LOCAL_MACHINE состоит из следующих подразделов:

  • BCD00000000:

Данный раздел реестра обрабатывается диспетчером загрузки bootmgr и в редакторе реестра имеет разрешение только на чтение . Разрешение на запись можно установить через контекстное меню редактора, вызываемое правой кнопкой мышки.

  • HARDWARE:

База данных, описывающая аппаратные средства компьютера, способ взаимодействия драйверов устройств с аппаратными средствами, а также данные, которые связывают драйверы режима ядра с кодом режима пользователя. Все данные этого ключа воссоздаются при каждом запуске системы.

  • SAM:

База данных сервиса каталога, которая содержит информацию подсистемы безопасности об учетных записях пользователей и групп, а также о доменах сети Windows. (SAM — это диспетчер бюджетов безопасности, Security Account Manager.) По умолчанию этот ключ является нечитаемым с помощью редакторов реестра даже для пользователей, которые зарегистрировались в системе от имени администратора. Данные, хранящиеся в составе ключа HKLM\SAM, нигде официально не документированы, а пароли пользователей зашифрованы.

  • SECURITY:

База данных, которая содержит локальную политику безопасности, включая права конкретных пользователей. Этот ключ используется только подсистемой безопасности Windows. В качестве примера информации, содержащейся в составе этого ключа, можно привести сведения о наличии у конкретного пользователя права перезагружать локальный компьютер, загружать драйверы устройств, выполнять резервное копирование файлов или получать доступ к локальной системе через сеть. Информация ключа SECURITY также зашифрована. Ключ HKLM\SAM представляет собой ссылку на содержимое ключа HKLM\SECURITY\SAM.


  • SOFTWARE:

База данных программного обеспечения, установленного на компьютере. Этот ключ содержит информацию о программном обеспечении, установленном на локальном компьютере, а также всевозможные конфигурационные данные

  • SYSTEM:

База данных, управляющая запуском системы, загрузкой драйверов устройств, сервисами Windows NT/2000/XP и поведением операционной системы.

    1. Исследование раздела HKEY_LOCAL_ CONFIG.

HKEY_LOCAL_CONFIG содержит информацию о текущей конфигурации аппаратуры компьютера, используется в основном на компьютерах с несколькими аппаратными конфигурациями, например, при подключении портативного ПК к стыковочной станции и отключении от нее. Информация , содержащаяся в этом ключе, копируется из ключа [HKEY_LOCAL_MACHINE].

Используя HKEY_CURRENT_CONFIG были произведены следующие действия:

Был найден раздел, отвечающий за настройки дисплея. HKEY_CURRENT_CONFIG\System\CurrentControlSet\Control\VIDEO\{2D5BA881-99A8-4757-A06E-CB5493B97A39}\0000. Через него была изменена текущая разрешающая способность монитора на значение "640x480" при помощи правки двух ключей: DefaultSettings.Xresolution (значение 1366 было изменено на 768) и DefaultSettings.Yresolution (значение 1024 было изменено на 480);



Рисунок 2.4.1 – Изменение разрешающей способности монитора.

Для проверки была выполнена перегрузка операционной системы.

    1. Исследование раздела HKEY_CURRENT_USER.

HKEY_CURRENT_USER содержит настройки системы и программ, относящиеся к текущему пользователю. Он создается при регистрации пользователя в системе на основе информации из соответствующего ключа [HKEY_USERS]. HKEY_USERS содержит информацию обо всех пользователях данной рабочей станции. Здесь хранятся данные о каждом пользователе, а также типовые настройки, служащие шаблоном для новых ключей, создаваемых пользователем. Типовые настройки включают различные значения по умолчанию для программ, событий, конфигураций рабочего стола и т.д.


Именно здесь хранится информация о том, как данный пользователь сконфигурировал рабочую станцию.

В разделе HKEY_CURRENT_USER были произведены следующие действия:

  1. Был найден раздел, отвечающий за настойки рабочего стола: HKEY_CURRENT_USER\Control Panel\Desktop.



Рисунок 2.5.1 – Раздел, отвечающий за настойки рабочего стола.

  1. Для изменения ширины полосы прокрутки значение параметров ScrollWidth и MenuWidth раздела HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics было изменено с -255 и -285 на 100 и 100 соответственно.



Рисунок 2.5.2 – Изменение ширины полосы прокрутки.

    1. Импорт/Экспорт Реестра.

Перед работой с реестром был экспортирован в новый файл. Для этого был выделен раздел HKEY_CURRENT_USER\AppEvents и экспортирован в файл UIB.reg («Файл» > « Экспорт…»).Файлы импорта-экспорта реестра имеют расширение REG.

Экспорт реестра удобен в резервировании параметров некоторых ключей, самих ключей или реестра. При необходимости экспортированные параметры могут быть восстановлены при помощи импорта реестра из файла.

После завершения работы с реестром было восстановлено начальное состояние системного реестра из резервной копии UIB.reg.

  1. Перехват событий, изменения параметров, производимой другой программой при помощи утилиты Regmon.

Программа Regmon предназначена для слежения за реестром. Она показывает, какие приложения обращаются к реестру и в какие разделы, какую информацию они читают или пишут. И все это в реальном масштабе времени.

Regmon была заменена одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программа Regmon была оставлена для поддержки устаревших операционных систем, включая и Windows 9x.