Сокращения¶
Для удобства ввода применяются сокращения названий веток реестра. Все сокращения представлены в таблице ниже:
Структура реестра¶
Рис. 3 – Редактор реестра
Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.
Данный раздел является корневым для данных конфигурации пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура .
Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Наиболее интересным является подраздел , который включает в себя настройки всех установленных в системе приложений. Вместо полного имени раздела иногда используется аббревиатура .
Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.
Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле:
HKEY_LOCAL_MACHINE
Здесь хранятся все общесистемные настройки, и обычно он обозначается аббревиатурой HKLM. В основном вы будете использовать ключ HKLMSoftware для проверки общесистемных настроек.
HKEY_LOCAL_MACHINE, часто сокращённо пишется как HKLM, является одним из нескольких кустов реестра, составляющих реестр Windows. Этот конкретный куст содержит большую часть информации о конфигурации установленного вами программного обеспечения, а также самой операционной системы Windows.
Помимо данных о конфигурации программного обеспечения, куст HKEY_LOCAL_MACHINE также содержит много ценной информации об обнаруженном оборудовании и драйверах устройств.
В Windows 10, Windows 8, Windows 7 и Windows Vista информация о конфигурации загрузки вашего компьютера также включена в этот куст.
Подразделы реестра в HKEY_LOCAL_MACHINE
Следующие разделы реестра находятся в кусте HKEY_LOCAL_MACHINE:
- HKEY_LOCAL_MACHINEBCD00000000
- HKEY_LOCAL_MACHINECOMPONENTS
- HKEY_LOCAL_MACHINEDRIVERS
- HKEY_LOCAL_MACHINEHARDWARE
- HKEY_LOCAL_MACHINESAM
- HKEY_LOCAL_MACHINESchema
- HKEY_LOCAL_MACHINESECURITY
- HKEY_LOCAL_MACHINESOFTWARE
- HKEY_LOCAL_MACHINESYSTEM
Ключи, расположенные в разделе HKEY_LOCAL_MACHINE на вашем компьютере, могут несколько отличаться в зависимости от вашей версии Windows и конкретной конфигурации вашего компьютера. Например, более новые версии Windows не включают ключ HKEY_LOCAL_MACHINECOMPONENTS.
Раздел SOFTWARE является наиболее часто используемым из кустов HKLM. Он организован в алфавитном порядке по поставщикам программного обеспечения, и именно здесь каждая программа записывает данные в реестр, чтобы при следующем открытии приложения его конкретные настройки можно было применить автоматически, чтобы вам не приходилось перенастраивать программу каждый раз, когда она используется. Это также полезно при поиске SID пользователя.
Подраздел SOFTWARE также содержит подраздел Windows, который описывает различные детали пользовательского интерфейса операционной системы, подраздел Classes, детализирующий, какие программы связаны с какими расширениями файлов, и другие.
HKLMSOFTWAREWow6432Node встречается в 64-битных версиях Windows, но используется 32-битными приложениями. Это эквивалент HKLMSOFTWARE, но не совсем то же самое, поскольку он выделен с единственной целью предоставления информации 32-битным приложениям в 64-битной ОС. WoW64 показывает этот ключ 32-битным приложениям как «HKLMSOFTWARE».
Скрытые подразделы в HKLM
В большинстве конфигураций следующие подразделы являются скрытыми ключами, поэтому их нельзя просматривать, как другие разделы куста реестра HKLM:
- HKEY_LOCAL_MACHINESAM
- HKEY_LOCAL_MACHINESECURITY
В большинстве случаев эти ключи выглядят пустыми, когда вы их открываете, и/или содержат пустые подключи.
Подраздел SAM относится к информации о базах данных Security Accounts Manager (SAM) для доменов. В каждой базе данных есть псевдонимы групп, пользователи, гостевые учётные записи и учётные записи администраторов, а также имя, используемое для входа в домен, криптографические хэши пароля каждого пользователя и многое другое.
Подраздел SECURITY используется для хранения политики безопасности текущего пользователя. Он связан с базой данных безопасности домена, в котором пользователь вошёл в систему, или с кустом реестра на локальном компьютере, если пользователь вошёл в домен локальной системы.
Чтобы увидеть содержимое ключа SAM или SECURITY, редактор реестра должен быть открыт с использованием системной учётной записи, которая имеет более широкие права, чем любой другой пользователь, даже пользователь с правами администратора. Как это сделать, будет показано ниже.
После открытия редактора реестра с соответствующими разрешениями ключи HKEY_LOCAL_MACHINESAM и HKEY_LOCAL_MACHINESECURITY могут быть исследованы, как и любой другой ключ в кусте.
Некоторые бесплатные служебные программы, такие как PsExec от Microsoft, могут открывать редактор реестра с соответствующими разрешениями для просмотра этих скрытых ключей.
Подробнее о HKEY_LOCAL_MACHINE
Может быть интересно узнать, что HKEY_LOCAL_MACHINE на самом деле нигде на компьютере не существует, а вместо этого является просто контейнером для отображения фактических данных реестра, загружаемых через подключи, расположенные в кустах, перечисленных выше.
Другими словами, HKEY_LOCAL_MACHINE действует как ярлык для ряда других источников данных о вашем компьютере.
Из-за того, что HKEY_LOCAL_MACHINE не существует, ни вы, ни какая-либо установленная вами программа не может создавать дополнительные ключи в HKEY_LOCAL_MACHINE.
Хотя HKEY_LOCAL_MACHINE часто пишется как HKLM, это не совсем «официальная» аббревиатура. Это важно знать, потому что некоторые программы в некоторых случаях, даже инструменты, доступные непосредственно от Microsoft, не позволяют сокращать имя куста в путях реестра таким образом. Если вы получаете сообщение об ошибке при использовании «HKLM», используйте вместо него полный путь и посмотрите, исправит ли это вашу проблему.
Создание резервной копии реестра (Экспорт)¶
Прежде чем вносить изменения в реестр, рекомендуется выполнить экспорт и создать его резервную копию. Можно сделать резервную копию как всего реестра в целом, так и отдельных разделов и подразделов. Позже эту резервную копию можно импортировать, чтобы отменить внесенные изменения.
Перед внесением каких-либо изменений в реестр всегда создавайте его резервную копию!
Чтобы создать полную копию реестра необходимо:
- Запустить редактор реестра, как это описано выше;
- Выбрать место, где будет сохранена резервная копия, и указать «Имя файла»;
- Нажать на кнопку «Сохранить».
Рис. 5 – Экспорт веток реестра. Создание резервной копии.
Экспортированный файл будет иметь расширение .
Экспортированные из реестра файлы с расширением являются простыми текстовыми файлами, их можно открыть любым простым текстовым редактором (Notepad++, Блокнот).
Экспорт файлов реестра
Вы можете экспортировать разделы реестра и все значения, содержащиеся под ними, щёлкнув правой кнопкой мыши раздел и выбрав «Экспортировать». Это действительно важно, если вы собираетесь вносить изменения в свою систему.
После того, как вы получили экспортированный файл реестра, вы можете дважды щёлкнуть по нему, чтобы ввести информацию обратно в реестр, или вы можете выбрать «Изменить», чтобы просмотреть содержимое в Блокноте.
Формат файла для реестра довольно прост — слева имена значений, а справа фактические значения.
Добавление и удаление элементов¶
Рис. 22 – Создание разделов, подразделов и параметров
Оглавление
1. Что такое реестр Windows?
2. Иерархическая структура реестра
3. Что такое куст или улей реестра (hive)?
9. Где реестр хранится на диске?
10. Создание новых ключей и значений
12. Экспорт файлов реестра
14. Загрузка кустов реестра
15. Как получить доступ к закрытым частям реестра SAM и SECURITY
17. Программы для извлечения информации из реестра Windows
17.8 Утилиты NirSoft для работы с реестром
17.9 Извлечение кустов реестра Windows из виртуальных машин
Программы для извлечения информации из реестра Windows
Программа mimikatz имеет много функций, связанных с безопасностью Windows и хранимыми паролями. Среди прочего, программа умеет извлекать пароли, секреты и хеши как из системы, на которой запущена, так и из сохранённых файлов кустов реестра.
Из полученных хешей может быть взломан пароль пользователя.
RegRippy (regrip. py)
RegRippy — это платформа для чтения и извлечения полезных данных для судебной экспертизы из кустов реестра Windows.
Установка в Kali Linux
sudo apt install python3-pip
sudo pip3 install regrippy
Установка в BlackArch
sudo pacman -R regrippy python-enum-compat python-python-registry python-unicodecsv
sudo pip3 install regrippy
Данная программа также может быть установлена в Windows, подробности здесь.
RegRipper
RegRipper — это инструмент с открытым исходным кодом, написанный на Perl, для извлечения/анализа информации (ключей, значений, данных) из реестра и представления её для анализа.
RegRipper состоит из двух основных инструментов, каждый из которых обеспечивает схожие возможности. Графический интерфейс RegRipper позволяет аналитику выбрать куст реестра для анализа, выходной файл для результатов и профиль (список подключаемых модулей) для работы с кустом. Когда аналитик запускает инструмент в отношении куста реестра, результаты попадают в файл, указанный аналитиком. Если аналитик решит проанализировать куст System, он также может отправить результаты в system.txt. Инструмент с графическим интерфейсом пользователя также создаст журнал своей активности в том же каталоге, что и выходной файл, используя то же имя файла, но с расширением .log (то есть, если выходные данные записываются в system.txt, журнал будет записан в system.log).
RegRipper также включает инструмент командной строки (CLI) под названием rip. Rip может быть направлен для анализа куста и может запускать либо профиль (список плагинов), либо отдельный плагин для этого куста, с отправкой результатов в STDOUT. Rip можно включать в пакетные файлы, используя операторы перенаправления для отправки вывода в файл. Rip не ведёт журнал своей деятельности.
Установка и запуск в Linux
git clone https://github.com/keydet89/RegRipper3.0
cd RegRipper3.0
Запускать проще всего с Wine, поэтому начните с его установки по Полному руководство по Wine: от установки до примеров использования.
Установка в Windows
Чтобы открыть графический интерфейс, дважды кликните файл rr.exe.
Если вы хотите воспользоваться утилитой с интерфейсом командной строки, то откройте PowerShell или CMD, перейдите в папку с распакованным архивом и запустите файл
Запуск программы с графическим интерфейсом в Linux:
Выберите ветвь реестра для анализа и имя файла для сохранения отчёта.
Затем нажмите кнопку «Rip!».
Дождитесь завершения работы.
Откройте файл с отчётом.
Registry Explorer
Registry Explorer — это инструмент на основе графического интерфейса, используемый для просмотра содержимого автономных кустов реестра. Он может загружать несколько кустов сразу, выполнять поиск по всем загруженным кустам с использованием строк или регулярных выражений, выполняет экспорт данных, вы можете установить закладки на выбранные фрагменты, сохранить сделанные изменения в проект и многое другое.
Установка Registry Explorer в Windows
Для запуска графического интерфейса дважды кликните файл RegistryExplorer.exe.
Creddump
creddump — это инструмент Python для извлечения различных учётных данных и секретов из кустов реестра Windows. В настоящее время он извлекает:
- LM и NT хеши (защищены SYSKEY)
- Кешированные пароли домена
- Секреты LSA
Программа предустановлена в Kali Linux.
Установка в BlackArch:
sudo pacman -S creddump
Regipy
Regipy — это библиотека Python для анализа автономных кустов реестра.
- Выгрузить весь куст реестра в json
- Завершить транзакций в кусте реестра в соответствии с журналами
- Сравнить кусты реестра
- Выполнить извлечение информации с помощью плагинов
sudo apt install python3-pip
sudo pip3 install regipy
sudo pacman -S regipy
Запуск плагинов для извлечения информации из куста SYSTEM и сохранение результатов в файл plugins_output.json:
registry-plugins-run ~/Documents/TestEvidence/Registry/SYSTEM -o /tmp/plugins_output.json
Тип куста будет определён автоматически, и будут запущены соответствующие плагины.
Chntpw
chntpw — эта небольшая программа позволяет просматривать информацию и изменять пароли пользователей в файле базы данных пользователей Windows NT/2000. Старые пароли не нужно знать, поскольку они будут перезаписаны. Кроме того, она также содержит простой редактор реестра (запись данных того же размера) и шестнадцатеричный редактор, который позволяет вам возиться с битами и байтами в файле по своему усмотрению.
sudo pacman -S chntpw
Разблокировка пользователя Администратор:
sudo /usr/sbin/chntpw /mnt/windows/Windows/System32/config/SAM -u Администратор
Инструкция: Как сбросить пароль Windows
Утилиты NirSoft для работы с реестром
Подробности о программах данного автора смотрите в статье «Утилиты NirSoft для извлечения информации из Windows», для работы с реестром обратите внимание на такие утилиты как:
- RegScanner
- OfflineRegistryFinder
- OfflineRegistryView
- RegistryChangesView
- RegFromApp
- RegDllView
- ActiveXHelper
- RegFileExport
Извлечение кустов реестра Windows из виртуальных машин
С помощью утилиты virt-win-reg, входящий в пакет libguestfs, можно извлекать кусты реестра Windows напрямую из виртуальных дисков даже не запуская виртуальные машины. Подробности о libguestfs смотрите в разделе «Доступ к содержимому образов виртуальных машин и их изменение».
Программа virt-win-reg позволяет извлекать кусты реестра Windows, в том числе те, которые доступны только для учётной записи System.
Общий вид команды:
virt-win-reg ‘/ПУТЬ/ДО/ВИРТУАЛЬНОГО/ДИСКА’ ‘ИМЯКУСТА’
По умолчанию содержимое будет выведено на экран, поэтому для сохранения данных в файл нужно воспользоваться перенаправлением вывода.
Например, команда для извлечения куста HKEY_LOCAL_MACHINESYSTEM из операционной системы Windows, чей виртуальный диск расположен в /mnt/disk_d/Виртуальные машины/Windows 10 (en).vdi и сохранение полученных данных в файл SYSTEM.reg:
Ещё один пример, извлечение куста реестра HKEY_LOCAL_MACHINESAM из образа диска /mnt/disk_d/Виртуальные машины/Windows Server 2019.vdi и сохранение данных в файл SAM.reg:
Winregfs
Программа winregfs монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.
Также включён инструмент под названием «fsck.winregfs», который выполняет базовую проверку целостности куста реестра.
sudo apt install winregfs
sudo pacman -S winregfs
Чтобы использовать winregfs, создайте каталог для монтирования и укажите его на интересующий куст реестра:
Теперь вы можете увидеть всё, что есть в этом улье, в директории “/tmp/reg”:
Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.
ls -l /tmp/reg/Microsoft/Windows/CurrentVersion/Run
Вы хотите увидеть, что содержат эти значения.
Libregf
Программа libregf аналогична winregfs, то есть она монтирует реестр Windows в файловую систему. Благодаря этому по иерархии ключей можно переходить как по обычным папкам, а значения можно редактировать как обычные текстовые файлы.
sudo apt install libregf-utils
sudo pacman -S git autoconf automake libtool pkg-config
git clone https://github.com/libyal/libregf
cd libregf/
./synclibs.sh
./autogen.sh
./configure
make
sudo make install
Эта команда откроет каталоги и файлы, содержащие элементы, содержащиеся в файле REGF.
ls -l ‘/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/’
Открытие реестра¶
Существует несколько способов открыть редактор реестра.
Способ №1 – Открытие через утилиту «Выполнить»:
- В открывшимся окне ввести команду ;
- Нажать клавишу .
Рис. 1 – Открытие через утилиту «Выполнить»
Способ №2 – Открытие через поиск по меню «Пуск»:
- Открыть меню Пуск;
- Ввести в строке поиска и запустить найденный файл, который отобразится в верхней части Пуска.
Рис. 2 – Открытие через поиск по меню «Пуск»
С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.
Работа с Редактором реестра¶
Редактор реестра – инструмент, предназначенный для просмотра и изменения параметров в системном реестре, в котором содержатся сведения о работе компьютера.
Способы открытия редактора реестра описаны в разделе данного руководства.
Как почистить реестр
Реестр Windows – это хранилище сведений о персональном компьютере, его база данных, где хранятся записи об установленных на ПК программах, о настройках программного и аппаратного обеспечения ОС, и многом другом.
Однако реестр часто становится крайне загроможденной структурой, т.к. вновь устанавливаемые программы создают в нем новые записи о себе, но крайне неэффективно удаляют их при своей деинсталляции. Увеличивающийся в размерах реестр постепенно замедляет работу ОС, что требует его очистки.
Как почистить реестр
- Как почистить реестр
- Нахождение и удаление записей, связанных с удаленными программами
- Поиск и удаление всех записей, связанных с удаленной программой
- Удаление записей об автозагрузке
- Автоматическая очистка реестра
- Устранение ошибок очистки реестра
- Восстановление данных при сбое ОС
Программы, очищающие реестр автоматически, обычно выполняют свою работу, руководствуясь специальным набором инструкций. Однако этот набор может не подойти пользователю в конкретном случае. К счастью, реестр может быть очищен вручную с помощью встроенного в Windows специального редактора.
Шаг 1. Нажать кнопку «Пуск» и найти в меню программу «Выполнить», запустив ее щелчком мыши.
Нажимаем кнопку «Пуск» и находим программу «Выполнить»
Шаг 2. Набрать в запустившемся окне команду «regedit», и нажать «ОК».
Набираем команду «regedit» и нажимаем «ОК»
Запустится «Редактор реестра».
Справка. Перед тем, как производить те или иные модификации реестра, важно создать его резервную копию. Если некоторые из вносимых изменений повредят программному обеспечению ПК, это даст возможность восстановить работоспособность системы.
Шаг 3. Нажать «Файл» («File») и выбрать «Экспорт» («Export»).
Нажимаем «Файл» и выбираем «Экспорт»
Шаг 4. Выбрать «Все» («All») в панели «Экспортировать область».
Выбираем «Все» в панели «Экспортировать область»
Шаг 5. Выбрать папку, куда будет сохранена копия реестра и ввести ее имя.
Выбираем папку, куда будет сохранена копия реестра и вводим ее имя
Шаг 6. Нажать «Сохранить» («Save»).
Программа редактирования реестра разделена на два окна. Левое окно используется для отображения всего древа разделов реестра, а окно справа – для отображения отдельных его записей.
Нахождение и удаление записей, связанных с удаленными программами
Важно! Представленная информация предназначена для квалифицированных владельцев ПК. Если на этом этапе будет допущена ошибка, она может вызвать неисправность операционной системы.
Шаг 2. Открыть щелчком мыши директорию «Software» («Программное обеспечение»).
Открываем директорию «Software»
Шаг 3. Найти в списке имя требуемой программы или название компании – ее производителя.
Находим имя требуемой программы или название компании
Справка! Если название программного обеспечения пользователю известно, можно ввести с клавиатуры его заглавную букву, и система быстро найдет папку с программой.
Шаг 4. Щелкнуть на обнаруженной записи, выделив ее.
Щелкаем на нужной записи и выделяем ее
Шаг 5. Нажать кнопку «Del» на клавиатуре, чтобы удалить запись.
Нажимаем кнопку «Del» на клавиатуре, чтобы удалить запись
Поиск и удаление всех записей, связанных с удаленной программой
Шаг 1. Одновременно нажать «Ctrl» и «F» для открытия меню поиска в реестре.
Для открытия меню поиска в реестре одновременно нажимаем «Ctrl» и «F»
Шаг 2. Ввести «ключевые слова», позволяющие найти программные ветви по ее имени, имени папки или имени ее запускаемого файла.
Находим необходимый файл
Шаг 3. Нажать «Найти следующее» («Find Next») для начала поиска. Необходимо, чтобы в меню поиска были отмечены галочками «Ключи» («Keys»), «Значения» («Values») и «Данные» («Data»).
Нажимаем «Найти следующее»
Шаг 4. Выбрать щелчком мыши запись, сохранившуюся после удаления программы, и нажать «Del», чтобы стереть ее.
Выбираем необходимую запись и нажимаем «Del»
Шаг 5. Нажать клавишу «F3», чтобы найти следующий результат, соответствующий введенным ключевым словам, и повторить процедуру, удалив таким образом всю информацию о программе.
Удаление записей об автозагрузке
Многие, особенно известные программы, записывают в реестр ветви, связанные с собственной загрузкой, проведением обновлений, или иными подобными действиями при запуске ОС. Пользователь имеет возможность удаления подобных записей.
Шаг 1. Используя приведенный выше способ, раскрыть раздел до папки HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows Current Version Run.
Раскрываем раздел до папки HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows Current Version Run
Шаг 2. Найти требуемые данные справа. Это ярлыки некоторых запускаемых файлов в автозагрузке.
Находим требуемые данные справа
Если сведений о принадлежности записей определенной программе у пользователя нет, или неизвестно конкретное их значение, можно поискать эти данные в Интернете, например, в Google, или использовать специальный сайт Process Library, расположенный по адресу http://www.processlibrary.com/en/.
Шаг 3. Для поиска в Process Library нужного набрать требуемое значение в поисковой форме, расположенной справа и нажать «Search». Система выдаст необходимую информацию.
Набираем требуемое значение в поисковой форме
Шаг 4. Выделить требуемые значения мышью и нажать кнопку «Del» для их удаления.
Справка! Если необходимо выделить одновременно несколько блоков информации для удаления, нужно зажать клавиши «Shift» или «Ctrl» на клавиатуре, одновременно выбрав мышью удаляемые записи.
Шаг 6. После завершения очистки выйти из редактора, нажав «Файл» («File») – «Выход» («Exit»).
Выходим из редактора, нажимая «Файл» и «Выход»
Автоматическая очистка реестра
Если ручная очистка реестра не представляется возможной, можно использовать автоматический способ, например, с помощью программы CCleaner.
- Выбрать «Professional».
- Запустить скачанный установочный файл.
Запускаем скачанный установочный файл - Выбрать «Установить».
- Нажать «Опробовать», дождаться установки и запуска программы.
Нажимаем «Опробовать», дожидаемся установки и запуска программы - В окне программы выбрать (слева) «Реестр» и нажать «Поиск проблем».
В окне программы выбираем «Реестр» и нажимаем «Поиск проблем» - Программа предложит создать резервную копию реестра, нажать «Да».
Создаем резервную копию реестра нажатием «Да» - Выбрать папку для сохранения файла, нажать «Сохранить».
Выбираем папку для сохранения файла и нажимаем «Сохранить» - После выполнения очистки можно просмотреть исправленные ошибки, пролистав их стрелочками «вправо-влево» или выйти из программы.
Можно просмотреть исправленные ошибки
Устранение ошибок очистки реестра
Если в результате правки реестра возникли нарушения в работе ОС, можно воспользоваться копией реестра, восстановив его работу.
Шаг 1. Запустить редактор реестра приведенным выше способом. Кликнуть «Файл» («File») – «Импорт» («Impor»t).
Кликаем «Файл» – «Импорт»
Шаг 2. Откроется окно проводника, где необходимо найти созданную ранее резервную копию, выделить ее мышью и нажать «Открыть» («Open»).
Находим созданную ранее резервную копию, выделяем ее мышью и нажимаем «Открыть»
Шаг 3. Дождаться, пока все необходимые файлы скопируются в реестр.
Ожидаем окончания копирования файлов
Восстановление данных при сбое ОС
Если после правки реестра система перестала загружаться, ее работу можно восстановить через компонент «Восстановление системы». Сведения, содержащиеся в реестре, наряду с остальными данными ОС, будут восстановлены на период создания выбранной точки сохранения (восстановления) данных.
Шаг 1. Нажимать кнопку F8 в момент начала загрузки ПК. Появится меню «Дополнительные варианты загрузки». Выбрать «Последняя удачная конфигурация (дополнительно)».
Выбираем «Последняя удачная конфигурация (дополнительно)»
Шаг 2. Выбрать язык, кликнуть «Далее».
Выбираем язык и нажимаем «Далее»
Шаг 3. Ввести имя пользователя (лучше Администратора) и (если есть), пароль, нажав «ОК».
Вводим имя пользователя, пароль и нажимаем «ОК»
Шаг 4. Появится окно «Параметры восстановления системы», где нужно выбрать «Восстановление системы».
В окне «Параметры восстановления системы» выбираем «Восстановление системы»
Шаг 5. При появлении следующего окна нажать «Далее».
Шаг 6. Выбрать точку восстановления. В этом же окне можно выбрать другие точки восстановления и посмотреть список затрагиваемых при восстановлении программ. Нажать «Далее».
Выбираем точку восстановления и нажимаем «Далее»
Шаг 7. Нажать «Готово».
Шаг 8. Нажать «Да».
Компьютер автоматически перезагрузится, устранив неполадки.
Перед проводимыми изменениями реестра важно всего всегда создавать его копию. Если имеется неопределенность, лучше не удалять никаких данных вручную, а перед тем, как принять решение по удалению, можно поискать информацию об удаляемой записи в Интернет.
Видео — Как очистить реестр вручную
Утилита REG — это встроенная программа Windows, которая позволяет выполнять различные действия с реестром, в том числе сохранять в файл кусты реестра или их части, добавлять, удалять значения, делать запрос к реестру, копировать и прочее.
Рассмотрим возможности REG более подробно.
Среди операций могут быть:
- QUERY
- ADD
- DELETE
- COPY
- SAVE
- LOAD
- UNLOAD
- RESTORE
- COMPARE
- EXPORT
- IMPORT
- FLAGS
REG SAVE — сохранение куста реестра в файл
Пример. Сохранение куста MyApp в файл AppBkUp.hiv текущей папки:
REG SAVE HKLMSoftwareMyCoMyApp AppBkUp.hiv
REG QUER — отображение значения параметра реестра
Отображение значения параметра реестра Version:
REG QUERY HKLMSoftwareMicrosoftResKit /v Version
Отображение всех подразделов и их параметров в разделе реестра Setup удаленного компьютера ABC:
REG QUERY \ABCHKLMSoftwareMicrosoftResKitNtSetup /s
Отображение всех подразделов и параметров со знаком “#” в качестве разделителя для всех параметров типа REG_MULTI_SZ:
REG QUERY HKLMSoftwareMicrosoftResKitNtSetup /se #
Отображение раздела, параметра и данных с учетом реестра букв для точных совпадений с “SYSTEM” типа REG_SZ из корневого раздела HKLM:
REG QUERY HKLM /f SYSTEM /t REG_SZ /c /e
Отображение раздела, параметра и данных для совпадений с “0F” типа REG_BINARY среди данных в корневом разделе HKCU:
REG QUERY HKCU /f 0F /d /t REG_BINARY
Отображение параметра и данных для пустого значения (по умолчанию) в разделе HKLMSOFTWARE:
REG QUERY HKLMSOFTWARE /ve
REG ADD — добавление разделов и параметров в реестр
Добавляет раздел HKLMSoftwareMyCo на удаленном компьютере ABC:
REG ADD \ABCHKLMSoftwareMyCo
Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead):
REG ADD HKLMSoftwareMyCo /v Data /t REG_BINARY /d fe340ead
Добавляет параметр (имя: MRU, тип: REG_MULTI_SZ, данные: faxmail):
REG ADD HKLMSoftwareMyCo /v MRU /t REG_MULTI_SZ /d faxmail
Добавляет параметр (имя: Path, тип: REG_EXPAND_SZ, данные: %systemroot%) Примечание. В расширяемой строке используйте знак вставки ( ^ ):
REG ADD HKLMSoftwareMyCo /v Path /t REG_EXPAND_SZ /d ^%systemroot^%
REG DELETE — удаление раздела или параметра реестра
Удаляет раздел реестра Timeout и все его подразделы и параметры:
REG DELETE HKLMSoftwareMyCoMyAppTimeout
Удаляет параметр реестра MTU из раздела MyCo на компьютере ZODIAC:
REG DELETE \ZODIACHKLMSoftwareMyCo /v MTU
REG COPY — копирование подразделов и параметров
Копирует все подразделы и параметры раздела MyApp в раздел SaveMyApp:
REG COPY HKLMSoftwareMyCoMyApp HKLMSoftwareMyCoSaveMyApp /s
Копирует все параметры раздела MyCo с компьютера ZODIAC в раздел MyCo1 на локальном компьютере:
REG COPY \ZODIACHKLMSoftwareMyCo HKLMSoftwareMyCo1
REG RESTORE — восстановление раздела из файла (с заменой)
Примеры. Восстановление файла NTRKBkUp.hiv заменой раздела ResKit:
REG RESTORE HKLMSoftwareMicrosoftResKit NTRKBkUp.hiv
REG LOAD — загрузка файла в раздел
Примеры. Загрузка файла TempHive.hiv в раздел HKLMTempHive:
REG LOAD HKLMTempHive TempHive.hiv
REG UNLOAD — выгрузка куста реестра
Примеры. Выгрузка куста реестра TempHive в HKLM:
REG UNLOAD HKLMTempHive
REG COMPARE — сравнение разделов и значений
Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp:
REG COMPARE HKLMSoftwareMyCoMyApp HKLMSoftwareMyCoSaveMyApp
Сравнивает значения Version в разделах MyCo и MyCo1:
REG COMPARE HKLMSoftwareMyCo HKLMSoftwareMyCo1 /v Version
Сравнивает все подразделы и значения параметров в разделе HKLMSoftwareMyCo реестра на компьютере ZODIAC с аналогичным разделом на текущем компьютере:
REG COMPARE \ZODIACHKLMSoftwareMyCo \. /s
REG EXPORT — экспорт всех подразделов и параметров раздела
Пример. Экспорт всех подразделов и параметров раздела MyApp в файл AppBkUp.reg:
REG EXPORT HKLMSoftwareMyCoMyApp AppBkUp.reg
REG IMPORT — импорт записей реестра из файла
имя_файла Имя диска, с которого импортируется файл
(только локальный компьютер).
/reg:32 Указывает, что к разделу реестра следует обращаться с помощью
представления для 32-разрядных приложений.
/reg:64 Указывает, что к разделу реестра следует обращаться с помощью
представления для 64-разрядных приложений.
Пример. Импорт записей реестра из файла AppBkUp.reg:
REG IMPORT AppBkUp.reg
REG FLAGS — отображает и устанавливает текущие флаги раздела
Отображает текущие флаги раздела MyApp:
REG FLAGS HKLMSoftwareMyCoMyApp QUERY
Устанавливает флаг DONT_VIRTUALIZE (и удаляет флаги DONT_SILENT_FAIL и RECURSE_FLAG) для раздела MyApp и всех его подразделов:
REG FLAGS HKLMSoftwareMyCoMyApp SET DONT_VIRTUALIZE /s
Работа с реестром из командной строки¶
Работа с реестром возможна не только через утилиту , но и напрямую из командной строки с помощью утилиты , она поддерживает все возможности, которые имеет программа . И более того – она также поддерживает несколько особенных функций. Полезна в том случае когда работа с по каким либо причинам невозможна.
К тому же это позволяет автоматизировать многие рутинные задачи и встраивать команды в скрипты.
HKEY_USERS
Сохраняет все настройки для всех пользователей системы. Для доступа к своим настройкам, вы обычно используете HKCU, но если вам нужно проверить настройки для другого пользователя на вашем компьютере, вы можете использовать этот раздел.
Он содержит пользовательскую информацию о конфигурации для всех в настоящее время активных пользователей на компьютере. Это означает, что пользователи, вошедшие в систему в данный момент (вы) и любые другие пользователи, которые также вошли в систему, но находятся в состоянии «переключение пользователей».
Вот пример того, что вы можете найти под этим ульем:
Идентификаторы безопасности, которые вы видите здесь, безусловно, будут отличаться от списка, который мы включили выше.
Хотя у вас, скорее всего, будут .DEFAULT, S-1-5-18, S-1-5-19 и S-1-5-20, которые соответствуют встроенным системным учётным записям, ваши ключи S-1-5-21-xxx будут уникальными для вашего компьютера, поскольку они соответствуют «реальным» учётным записям пользователей в Windows.
Например, если ваш SID следующий:
Редактировать можно в любом месте, поскольку они являются одним и тем же.
Как найти идентификатор безопасности пользователя (SID) в Windows
Установка разрешений
Некоторые ключи реестра не позволяют вносить изменения по умолчанию. Обычно это происходит потому, что у вас нет разрешений на эти ключи, но вы можете настроить схему разрешений, если хотите, щёлкнув правой кнопкой мыши ключ и выбрав Разрешения, а затем изменив их оттуда.
Следует отметить, что это не очень хорошая идея, и обычно вам следует держаться подальше от редактирования разделов и ключей, на которые по умолчанию у вас нет прав.
