Поиск в реестре

Что такое реестр windows и как его открыть?

Довольно часто в своих статьях я ссылаюсь на то, что вот это и вот то нужно изменить в реестре, один параметр отредактировать, другой уточнить и пр.

Между тем, многие пользователи не представляют, как его открыть (да и не всегда получается это просто сделать, особенно в случаях вирусного заражения).

Для справки…

Вообще, системный реестр в Windows — это большая база данных с различными параметрами, которые отвечают за работу системы.

Для его редактирования в системе есть специальный редактор, при запуске которого, на первый взгляд, Вы увидите обычный проводник: также слева каталоги, выбрав которые, можно увидеть, что в них находится…

Редактор реестра (Windows 10). Пример

Редактор реестра (Windows 10). Пример

Таким образом, найдя нужный каталог и отредактировав определенные параметры в нем — можно изменить такие настройки системы, которых нет в открытом доступе, и к которым другим способом просто не добраться!

Важно!

Не изменяйте и не удаляйте из реестра параметры, с которыми вы не знакомы, и не знаете за что они отвечают. Очень легко, изменив что-то не то, убить систему…

Как очистить реестр от мусора, читайте в этой статье

Способ 1: через окно выполнить

Наверное, это один из самых простых и универсальных способов открыть редактор реестра (работает в Windows XP/7/8/10). Распишу все действия по шагам:

  1. сначала жмете сочетание кнопок WIN R (плюс нажимать не нужно);
  2. в левом углу должно показаться небольшое окно «Выполнить» в котором будет одна строка «Открыть» (пример на скрине ниже);
Окно выполнить
Окно выполнить
  1. теперь в строку «Открыть» пишите команду regedit и жмите клавишу Enter;
Открываем редактор реестра через окно выполнить
Открываем редактор реестра через окно выполнить // Windows 10
  1. если появиться окно с вопросом по поводу разрешений на внос изменений — нажмите «Да»;
Разрешить этому приложению вносить изменения
Разрешить этому приложению вносить изменения
  1. Собственно, всё! Редактор реестра должен был открыться. Можно вносить изменения…

Способ 2: через командную строку

  1. Сначала открываем командную строку — самый простой способ найти ярлык для ее запуска в меню ПУСК (в Windows 10 удобно для этого использовать ПОИСК, см. пример на скрине ниже);
Запуск командной строки в Windows 10
Запуск командной строки в Windows 10
  1. в командной строке нужно ввести regedit (всё ту же команду) и нажать клавишу Enter. Должен открыться редактор реестра.
Поиск в реестре
Командная строка — команда regedit

Способ 3: через системную папку

В зависимости от вашей версии Windows и ее настроек, файл regedit может находиться в различных папках:

  1. C:WindowsSysWOW64 (самый распространенный вариант по умолчанию, в Windows 10);
  2. C: WindowsSystem32
  3. C: Windows

Дальше всё просто: открываем проводник (либо другой коммандер), переходим в системную папку, находим файл regedit и открываем его как обычную программу. Пример представлен на скрине ниже.

Поиск в реестре
Находим regedit через проводник

Способ 4: через поиск в Windows

В Windows 10 можно нажать на значок с лупой возле меню ПУСК и ввести в поисковую строку regedit — среди найденных результатов увидите ярлык для запуска редактора (см. пример ниже).

Поиск в реестре
Поиск regedit через меню ПУСК

Кроме этого, можно запустить проводник (клавиши Win E), затем открыть системный диск с Windows (обычно C:) и в строке поиска также ввести regedit — через некоторое время увидите ссылку на запуск редактора реестра (пример ниже).

Поиск в реестре
Поиск regedit на системном диске в проводнике

Способ 5: с помощью спец. утилит

Утилит для работы с реестром — сотни! В этой статье предлагаю вашему вниманию одну из лучших (на свой скромный взгляд).

Reg Organizer

Официальный сайт: https://www.chemtable.com/ru/organizer.htm

Очень удобная утилита для наведения порядка в системном реестре. Позволяет удалить мусорные и ошибочные данные из него, дефрагментировать и сжать, сделать снимки (чтобы сравнивать изменения в реестре ДО и ПОСЛЕ установки какой-либо программы) и пр.

Также позволяет редактировать реестр, не открывая встроенный в Windows редактор. Утилита полностью переведена на русский язык, поддерживает Windows 7/8/10 (32/64 bits).

После установки и запуска Reg Organizer, откройте меню «Инструменты» и нажмите по ссылке «Редактор реестра» (см. скриншот ниже).

Инструменты - редактор реестра // RegOrganizer
Инструменты — редактор реестра // RegOrganizer

Собственно, далее можно работать с параметрами реестра как в классическом редакторе. Также добавьте сюда то, что в Reg Organizer есть дополнительные инструменты: более удобный поиск, возможность делать снимки, есть избранное и пр.

Редактор реестра в утилите RegOrganizer
Редактор реестра в утилите RegOrganizer

Что делать, если реестр заблокирован и не открывается

Во-первых, не паниковать.

Во-вторых, попробуйте открыть реестр через утилиту Reg Organizer (которую я советовал в 5 способе, парой строк выше).

В-третьих, скачайте антивирусную утилиту AVZ к себе на компьютер (она поможет восстановить систему в нормальный рабочий лад).

Далее запустите AVZ и откройте меню «Сервис/Системные ресурсы» — в этом меню будет ссылка на запуск редактора реестра. Попробуйте открыть его (пример показан на скриншоте ниже).

Сервисная утилита AVZ - попытка открыть редактор
Сервисная утилита AVZ — попытка открыть редактор

Если открыть не получилось, войдите в меню «Файл» и нажмите по ссылке «Восстановление системы» (см. скрин ниже).

Файл - восстановление системы // AVZ

Файл — восстановление системы / AVZ

Далее необходимо отметить галочками все те параметры, которые вы хотите восстановить (среди них есть и нужный нам, а именно «Разблокировка реактора реестра», см. на скрине ниже — помечен желтым цветом).

Кстати, AVZ выручает во многих случаях, поэтому рекомендую вам не ограничиваться одним пунктом…

Разблокировка редактора реестра
Разблокировка редактора реестра

Собственно, после процедуры восстановления и перезагрузки компьютера, рекомендую вам проверить его на вирусы всё в той же утилите AVZ (причем, даже несмотря на наличие у вас в системе антивируса).

Для антивирусной проверки в AVZ необходимо указать диски, указать методы лечения найденных вирусов, и нажать кнопку ПУСК. Пример представлен на скрине ниже.

Антивирусная проверка системы в AVZ
Антивирусная проверка системы в AVZ

Собственно, после подобной процедуры восстановления — редактор реестра начинает открываться в нормальном режиме.

PS

Также, как вариант, можно попробовать запустить систему в безопасном режиме и открыть редактор из-под него.

Материалы взяты из следующего источника:

https://pomogaemkompu.temaretik.com/2092243798707931991/5-sposobov-otkryt-redaktor-reestra-dazhe-esli-on-zablokirovan/

[cmd] чтение веток реестра у пользователей и выгрузка данных в csv формат

@Dragokas

, Как я понимаю, EnumKey.vbs выполняет функцию парсера данных. Трудозатратно будет изменить немного скрипт?

Сейчас выгрузка данных идет, так, что данные выгружаются по порядку от каждого пользователя при чтении его улья. Понимаю, что это логичнее с точки зрения выгрузки данных, но отображение данных в файле csv удобнее будет читать, когда указана ветка и уже в этой ветке указан пользователь.

Например, Нам у всех пользователей надо выгрузить ветку из реестра:
HKEY_USERSУлий ПользователяSOFTWAREGoogleChromePreferenceMACsDefaultextensions.settings

Данные сейчас при выгрузке будут отображаться как:

Путь до ветки реестра определенного пользователя:
Путь до профиля пользователя – параметры реестра.
Путь до ветки реестра определенного пользователя:
Путь до профиля пользователя – параметры реестра.
Пример выгрузки без параметров реестра:

Нельзя ли сделать так, чтобы выгрузка была так:

Путь до указанной ветки реестра не смотря на пользователя:

Путь до профиля пользователя – параметры реестра.

И также при добавлении необходимо ветки можно ли в скрипте прописать комментарии, которые бы грузились в CSV?

Есть задачи разного характера. Например, выгрузить данные у пользователя об установленных плагинах:
Парсим ветку реестра:
HKEY_USERS*SOFTWAREGoogleChromePreferenceMACsDefaultextensions.settings
Перед выгрузкой данных этой ветки комментируем, что выгружаем. Понимаю, что парсер на все случае жизни создать нельзя, но хотя бы часть данных выгружать таким способом можно.
Есть уже готовые продукты на тематику Forensic реестра, но они платные.
Есть беcплатные, но они не могут читать данные улий, что смонтированны уже в систему.

. REG FLAGS — просмотр, установка и сброс флагов реестра.

Формат командной строки:

Параметры командной строки:

имя_раздела — «HKLMSoftware»[подраздел] (ограничено этими разделами только на локальном компьютере). подраздел — полное имя раздела реестра в узле HKLMSoftware.

DONT_VIRTUALIZE DONT_SILENT_FAIL RECURSE_FLAG — Используется вместе с параметром SET; флаги, указанные в командной строке, будут установлены, не указанные — удалены.

/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

Пример:

REG FLAGS HKLMSoftware query — Отображает текущие флаги раздела HKLMSoftware.

Пример отображаемой информации о флагах:

HKEY_LOCAL_MACHINESoftwareREG_KEY_DONT_VIRTUALIZE: CLEARREG_KEY_DONT_SILENT_FAIL: CLEARREG_KEY_RECURSE_FLAG: CLEAR

Операция успешно завершена.

REG UNLOAD — выгрузка данных из реестра.

Формат командной строки:

Параметры командной строки:

Пример:

REG UNLOAD HKLMTempHive — Выгружает куст TempHive из HKLM.

Cmd – запуск новой копии интерпретатора команд windows.

Команда CMD используется для запуска новой копии командного процессора Windows.
Как правило, необходимость в подобном запуске возникает в тех случаях, когда требуется переопределить текущие настройки командной строки,
задаваемые профилем пользователя и параметрами компьютера. Ключи командной строки CMD перекрывают значения, задаваемые параметрами реестра,
определяющими текущие настройки интерпретатора команд Windows.

Формат командной строки:


CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF] [[/S] [/C | /K] строка]

Параметры командной строки:

/C  Выполнение указанной команды (строки) с последующим завершением.

:/>  Как добавить собственный пункт меню в административный раздел

/K  Выполнение указанной команды (строки) без последующего завершения.

/S  Изменение поведения после /C или /K (см. ниже)

/Q  Отключение режима вывода команд на экран (ECHO).

/D  Отключение выполнения команд AutoRun из реестра (см. ниже)

/A  Вывод результатов выполнения команд в формате ANSI.

/U  Вывод результатов выполнения команд в формате UNICODE.

/T:fg  Выбор цвета переднего плана/фона (более подробно см. COLOR /?)

/E:ON  Разрешение расширенной обработки команд (см. ниже)

/E:OFF  Запрет расширенной обработки команд (см. ниже)

/F:ON  Разрешение символов завершения имен файлов и папок (см. ниже)

/F:OFF  Запрет символов завершения имен файлов и папок (см. ниже)

/V:ON  Разрешение отложенного расширения переменных среды с применением символа ‘!’ в качестве разделителя. Например, /V:ON разрешает
использовать !var! в качестве расширения переменной var во время выполнения. Синтаксис var служит для расширения переменных
при вводе, что приводит к совсем другим результатам внутри цикла FOR.

/V:OFF  Запрет отложенного расширения переменных среды.

Чтобы указать в одной строке несколько команд, следует разделить их
символами ‘&&’ и заключить в кавычки. Кроме того, из соображений
совместимости, /X означает то же, что и /E:ON, /Y то же, что и /E:OFF
и /R то же, что и /C. Все прочие ключи командной строки игнорируются.

Если указаны ключи /C или /K, то остальная часть командной строки после
такого ключа обрабатывается как командная строка, а обработка символов
кавычек (“) ведется по следующим правилам:

1. Если выполняются все перечисленные ниже условия, то символы
кавычек в командной строке сохраняются:
– ключ /S отсутствует
– есть ровно два символа кавычек
– между ними нет других специальных символов, как то: &<>()@^|
– между ними имеются один или несколько пробелов
– строка, заключенная в кавычки, является именем исполнимого
файла.

2. В противном случае, проверяется первый символ, и если он является
символом кавычек, то он удаляется, также удаляется последний
символ кавычек в командной строке, а весь текст после этого
последнего символа кавычек сохраняется.

Если ключ /D НЕ УКАЗАН в командной строке, то при запуске CMD.EXE
выполняется проверка значений переменных REG_SZ или REG_EXPAND_SZ
для следующих разделов системного реестра:

HKEY_LOCAL_MACHINE Software MicrosoftCommand ProcessorAutoRun

и/или

HKEY_CURRENT_USER Software Microsoft Command ProcessorAutoRun

и если одна из них или обе они присутствуют, то сначала выполняются они.

По умолчанию расширенная обработка команд включена. Чтобы запретить
расширенную обработку для конкретного вызова, используется параметр /E:OFF.

Можно включить или отключить расширенную обработку команд для всех вызовов
CMD.EXE на данном компьютере или для данного сеанса пользователя, задав с
помощью REGEDIT.EXE в системном реестре значение 0x1 или 0x0 для параметров
REG_DWORD для следующих разделов:

HKEY_LOCAL_MACHINE Software MicrosoftCommand Processor EnableExtensions

и/или

HKEY_CURRENT_USER SoftwareMicrosoft Command Processor EnableExtensions

Параметры пользователя переопределяют параметры компьютера. Параметры командной строки переопределяют соответствующие параметры реестра.

В пакетном файле аргументы SETLOCAL ENABLEEXTENSIONS или DISABLEEXTENSIONS
переопределяют параметр /E:ON или /E:OFF. Для получения дополнительных
сведений введите “SETLOCAL /?”.

При расширенной обработке команд изменения и/или добавления затрагивают
следующие команды:


DEL или ERASE

COLOR

CD или CHDIR

MD или MKDIR

PROMPT

PUSHD

POPD

SET

SETLOCAL

ENDLOCAL

IF

FOR

CALL

SHIFT

GOTO

START (изменен также вызов внешних команд)

ASSOC

FTYPE

Для получения подробных сведений введите “имя_команды /?”.

Отложенное расширение переменных среды НЕ ВКЛЮЧЕНО по умолчанию. Можно
включить или отключить отложенное расширение переменных среды для конкретного
вызова CMD.EXE с помощью параметра /V:ON или /V:OFF. Можно включить или
отключить отложенное расширение переменных среды для всех вызовов CMD.EXE на
данном компьютере или для данного пользователя, задав с помощью команды
REGEDIT.EXE в системном реестре значение 0x1 или 0x0 для параметров REG_DWORD
для следующих разделов:

HKEY_LOCAL_MACHINE Software MicrosoftCommand Processor DelayedExpansion

и/или

HKEY_CURRENT_USER SoftwareMicrosoft Command Processor DelayedExpansion

Параметры пользователя переопределяют параметры компьютера. Параметры командной
строки, в свою очередь, переопределяют параметры реестра.

В пакетном файле аргументы SETLOCAL ENABLEDELAYEDEXPANSION или
DISABLEDELAYEDEXPANSION переопределяют параметр /V:ON или /V:OFF. Для получения
дополнительных сведений введите “SETLOCAL /?”.

Если отложенное расширение переменных среды включено, то для замены текущего
значения переменной среды во время выполнения может использоваться символ
восклицательного знака “!”.

Можно включить или отключить завершение имен файлов и папок для
конкретного вызова CMD.EXE с помощью ключей /F:ON или /F:OFF.
Завершение имен можно включить или отключить для
всех вызовов CMD.EXE на данном компьютере или для данного пользователя,
с помощью REGEDIT.EXE задав значения REG_DWORD в системном реестре
для следующих разделов:


HKEY_LOCAL_MACHINE Software Microsoft Command Processor CompletionChar

HKEY_LOCAL_MACHINE Software Microsoft Command Processor PathCompletionChar

и/или


HKEY_CURRENT_USER SoftwareMicrosoft Command Processor CompletionChar

HKEY_CURRENT_USER SoftwareMicrosoft Command Processor PathCompletionChar

установив их шестнадцатеричные значения равными коду управляющего символа,
используемого для конкретной функции (например, 0x4 для CTRL-D или 0x6 для
CTRL-F). Параметры пользователя перекрывают параметры компьютера.
Ключи командной строки, в свою очередь, перекрывают параметры реестра.

Если завершение включено с помощью ключа командной строки /F:ON,
то используются два управляющих символа: CTRL-D для имен папок и CTRL-F
для имен файлов. Чтобы отключить конкретный символ завершения в системном
реестре, в качестве кода специального символа используется шестнадцатеричное
значение символа пробела (0x20).

Завершение вызывается при вводе одного из этих двух специальных символов.
Функция завершения берет строку пути слева от точки ввода, дописывает
к ней символ шаблона, если таковой отсутствует, а затем строит список
путей, которые соответствуют полученному определению. После этого
выводится первый элемент этого списка соответствующих путей. Если же
список пуст, то подается звуковой сигнал и ничего не выводится.
После этого повторный ввод того же самого специального символа приводит
к циклическому перебору всех соответствующих путей. Нажатие клавиши
Shift при вводе управляющего символа позволяет просматривать список
путей в обратном порядке. Если изменить выведенный путь, а затем снова
ввести управляющий символ, сохраненный список очищается и строится новый
список путей. То же самое происходит, если переключиться с одного символа
завершения на другой. Единственное отличие при использовании символа
завершения файла состоит в том, что при этом для построения списка
соответствия берется и путь, и имя файла, а при использовании символа
завершения папки берется только путь. Если символ завершения используется
в одной из встроенных команд манипулирования папками (CD, MD или RD), то
всегда подразумевается символ завершения папок.

Символ завершения правильно работает и с именами файлов, содержащими
пробелы или иные специальные символы, если при этом строка соответствия
заключена в кавычки. Кроме того, если сместить точку ввода влево, а затем
использовать символ завершения внутри строки, оставшийся справа от точки
ввода текст будет отброшен.

Специальные символы, которые требуют обязательного заключения в кавычки:

пробел


&()[]{}^=;!’ ,`~

Примеры использования:

cmd.exe /F:ON – запустить новое окно командной строки с включенным
режимом использования символов завершения имен файлов и папок. Данный режим
облегчает набор имен, например, если набрать символ “S” и нажать CTRL D, то
вместо него будет подставлено имя каталога, начинающееся на “S”, при следующем
нажатии CTRL-D – имя следующего по алфавиту, если такой существует, например:

SAVED – при первом нажатии.

“System Volume Information” – при втором нажатии CTRL D. Если имя содержит пробел, то оно заключается в двойные кавычки.

Для подстановки имен файлов используется комбинация CTRL F.

Использование символов завершения можно настроить для постоянного использования на данном компьютере, как описано в статье Настройка командной строки Windows.

cmd.exe /U /C “C:Program Files (x86)FPingerCollect.exe” – выполнить запуск программы “Collect.exe” в режиме вывода результатов в кодировке UNICODE и завершиться.

cmd.exe /A /K “C:Program Files (x86)FPingerCollect.exe” – запустить программу “Collect.exe” в режиме вывода результатов в кодировке ANSI и ожидать ввод команд пользователя.

cmd /C /V:ON exanpfor.bat – выполнить командный файл exampfor.bat в режиме разрешения отложенного расширения переменных среды с применением
символа ‘!’ в качестве разделителя.

cmd /T:f0 – запустить командный процессор в режиме отображения черных символов на белом фоне.

В дополнение к данной теме:

Настройка командной строки Windows

Примеры командных файлов Windows

Reg add

Данная команда добавляет в выбранный раздел реестра указанные пользователем параметры. Общий синтаксис этой директивы выглядит следующим образом:

REG ADD <Раздел> [\<компьютер>]<путь> [/v <параметр> | /ve] [/t <тип>] [/s <разделитель>] [/d <данные>] [/f]

В составе директивы могут использоваться следующие параметры:

  • Раздел – полный путь к редактируемому разделу реестра в формате [\<компьютер>]<путь>, где <компьютер> – имя компьютера в локальной сети, если директива предназначена для обработки на удаленном компьютере. В случае, если этот параметр опущен, команда выполняется на локальном компьютере. Путь – полный путь к целевому разделу реестра в виде кореньключподраздел, где корень – сокращенное обозначение ветви реестра (HKLM, HKCU, HKCR, HKU или HKCC), а ключподраздел – полный путь к искомому подразделу в иерархии реестра, включая все вложенные подразделы. На удаленном компьютере возможно обращаться только к разделам реестра HKLM и HKU.

  • /v <параметр> – имя параметра, добавляемого в указанный раздел.

  • /ve – добавить пустой параметр (параметр по умолчанию) в указанный раздел.

  • /t <тип> – явное указание на тип данных добавляемого в указанный раздел реестра параметра. Может принимать одно из следующих значений: REG_SZ, REG_MULTI_SZ, REG_DWORD_BIG_ENDIAN, REG_DWORD, REG_BINARY, REG_DWORD_LITTLE_ENDIAN, REG_NONE или REG_EXPAND_SZ. Если тип параметра не указан, по умолчанию для данного параметра определяется тип REG_SZ.

  • /s <разделитель> – тип разделителя значений для разграничения данных, хранящихся в многострочных параметрах типа REG_MULTI_SZ. По умолчанию разделитель имеет вид «».

  • /d <данные> – значение, присваиваемое добавляемому параметру реестра.

  • /f – перезаписывать уже существующие в реестре параметры и значения, замещая их указанными в командной строке, без демонстрации предупреждений.

:/>  Как посмотреть свою материнку на windows 10

Примеры использования:

REG ADD \NetCompHKLMSoftwareNewSubkey

Добавляет подраздел NewSubkey в раздел реестра HKLMSoftware на удаленном компьютере NetComp.

REG ADD HKLMSoftwareNewSubkey /v Value1 /t REG_SZ /d ac23456ffed

Добавляет в подраздел локального реестра HKLMSoftwareNewSubkey параметр с именем Value1 типа REG_SZ, и присваивает ему значение ac23456ffed.

REG ADD HKLMSoftwareNewSubkey /v Path /t REG_EXPAND_SZ /d %%systemroot%%System32

Добавляет в подраздел локального реестра HKLMSoftwareNewSubkey параметр с именем Path типа REG_EXPAND_SZ, и присваивает ему значение %systemroot%System32

ПРИМЕЧАНИЕ

В случае записи в командной строке для директивы REG стандартных переменных окружения Windows, необходимо использовать для их выделения дополнительный символ «%» (%%переменная%%)

Reg compare

Эта команда позволяет выполнить операцию сравнения двух разделов реестра. Стандартный формат записи этой команды выглядит следующим образом:

REG COMPARE <раздел1> <раздел2> [/v <параметр> | /ve] [<вывод>] [/s]

В составе директивы могут использоваться следующие параметры:

В отличие от других процедур команды REG, директива REG COMPARE имеет не два, а три различных кода возврата: 0 – процедура выполнена успешно, сравниваемые данные идентичны; 1 – в процессе выполнения процедур произошла ошибка; 2 – процедура выполнена успешно, сравниваемые данные различаются.

Примеры использования:

REG COMPARE HKLMSoftwareProgApp HKLMSoftwareProg

Сравнивает содержимое подразделов реестра HKLMSoftwareProgApp и HKLMSoftwareProg.

REG COMPARE HKLMSoftwareProgApp HKLMSoftwareProg /v Value1

Сравнивает значение параметров с именем Value1, один из которых хранится в разделе HKLMSoftwareProgApp, а другой – в разделе HKLMSoftwareProg локального реестра.

REG COMPARE \SERVERHKLMSoftwareMicrosoft \. /s

Сравнивает содержимое подраздела реестра HKLMSoftwareMicrosoft, хранящегося на удаленном компьютере SERVER, с аналогичным разделом реестра локального компьютера.

Reg copy

С использованием команды REG COPY можно скопировать разделы, подразделы и параметры из одного раздела реестра в другой, как на локальном компьютере, так и по сети. Общий синтаксис этой директивы выглядит следующим образом:

REG COPY <раздел1> <раздел2> [/s] [/f]

В составе директивы могут использоваться следующие параметры:

Примеры использования:

REG COPY HKLMSoftwareProgram HKLMSoftwareRestore /s

Скопировать все содержимое раздела реестра HKLMSoftwareProgram в раздел HKLMSoftwareRestore.

REG COPY \SERVERHKLMSoftwareMicrosoft HKLMSoftwareServer

Скопировать все параметры раздела реестра HKLMSoftwareMicrosoft с удаленного компьютера Server в раздел HKLMSoftwareServer локального компьютера.

Reg delete

С использованием данной команды выполняется удаление из реестра указанного ключа, подраздела или параметра. Общий синтаксис этой директивы выглядит следующим образом:

REG DELETE [Компьютер]Путь [/v Параметр | /ve | /va] [/f]

В составе директивы могут использоваться следующие параметры:

  • Компьютер – имя компьютера в локальной сети, если директива предназначена для обработки на удаленном компьютере. В случае, если этот параметр опущен, команда выполняется на локальном компьютере. На удаленном компьютере возможно обращаться только к разделам реестра HKLM и HKU.

  • Путь – полный путь к целевому разделу реестра в виде кореньключподраздел, где корень – сокращенное обозначение ветви реестра (HKLM, HKCU, HKCR, HKU или HKCC), а ключподраздел – полный путь к искомому подразделу в иерархии реестра, включая все вложенные подразделы.

  • /v <параметр> – удаление параметра с указанным именем. Если имя опущено, из данного раздела будут удалены все содержащиеся в нем параметры.

  • /ve – удалять все безымянные параметры, содержащиеся в данном разделе.

  • /va – запрашивать все параметры из данного раздела реестра.

  • /f – выполнять удаление без дополнительного предупреждения.

Примеры использования:

REG DELETE HKLMSoftwareNewSubkey

Удаляет подраздел NewSubkey вместе со всем его содержимым из раздела реестра HKLMSoftware.

REG DELETE HKLMSoftwareProg /v PARAM /f

Без предварительного подтверждения удаляет параметр PARAM из раздела реестра HKLMSoftwareProg.

Reg export

Команда REG EXPORT позволяет сохранить выбранный ключ или подраздел реестра вместе с хранящимися в нем параметрами на диск в файл с расширением .reg, который впоследствии может быть импортирован в реестр. Стандартный формат записи этой команды выглядит следующим образом:

REG EXPORT <раздел> <имя файла>

В составе директивы могут использоваться следующие параметры:

Примеры использования:

REG EXPORT HKLMSoftwareAdobe Adobe.reg

Экспортирует подраздел реестра HKLMSoftwareAdobe вместе со всем его содержимым в файл Adobe.reg, создаваемый в текущей папке.

Reg import

Директива REG IMPORT импортирует содержимое REG-файла в реестр Windows. Данный файл может храниться только на локальном компьютере. Формат записи:

REG IMPORT <имя файла>

Где <имя файла> – имя и путь к локальному REG-файлу на данном компьютере.

Пример использования:

REG IMPORT C:system.reg

Импортирует в реестр содержимое файла system.reg, хранящегося на диске C:.

К разделу

Reg load

Действие команды REG LOAD в целом аналогично директиве REG RESTORE, с тем лишь исключением, что данная команда загружает ранее сохраненные в файле .hiv данные только в те ветви реестра, которые хранятся в оперативной памяти компьютера в ходе всего сеанса работы пользователя с операционной системой, то есть в дочерние разделы и подразделы ветвей HKLM и HKU.

REG LOAD <раздел> <имя файла>

В составе директивы могут использоваться следующие параметры:

Примеры использования:

REG LOAD HKLMSoftwareNewKey MSBackup.hiv

Загружает данные из файла MSBackup.hiv в подраздел реестра HKLMSoftwareNewKey.

Reg query

Команда REG QUERY отправляет в системный реестр Windows запрос о содержимом ветвей, ключей, подразделов или параметров, и выводит на экран результат обработки этих запросов. В общем виде синтаксис данной команды записывается следующим образом:

REG QUERY [Компьютер]Путь [/v Параметр | /ve] [/s]

В составе директивы могут использоваться следующие параметры:

  • Компьютер – имя компьютера в локальной сети, если директива предназначена для обработки на удаленном компьютере. В случае, если этот параметр опущен, команда выполняется на локальном компьютере.

  • Путь – полный путь к целевому разделу реестра в виде кореньключподраздел, где корень – сокращенное обозначение ветви реестра (HKLM, HKCU, HKCR, HKU или HKCC), а ключподраздел – полный путь к искомому подразделу в иерархии реестра, включая все вложенные подразделы.

  • /v – запрос о содержимом указанного раздела реестра.

  • Параметр – вывести имя и значение запрашиваемого параметра в указанном разделе.

  • /ve – запрос стандартного параметра с пустым именем.

  • /s – вывести список всех подразделов данного раздела реестра вместе с их содержимым.

Примеры использования:

REG QUERY HKCCSoftvareMicrosoftwindowsCurrentVersionInternet Settings /v ProxyEnable

Показывает имя и значение параметра ProxyEnable в разделе реестра HKCCSoftvareMicrosoftwindowsCurrentVersionInternet Settings

REG QUERY HKLMSoftwareMicrosoftOffice /s

Показать список всех подразделов и содержащихся в них параметров для раздела реестра HKLMSoftwareMicrosoftOffice.

Reg save

Команда REG SAVE позволяет сохранить выбранный ключ или подраздел реестра вместе с хранящимися в нем параметрами на диск в файл с расширением .hiv, который впоследствии может быть импортирован в реестр. Стандартный формат записи этой команды выглядит следующим образом:

REG SAVE <раздел> <имя файла>

В составе директивы могут использоваться следующие параметры:

Примеры использования:

REG SAVE HKCCSystemCurrentControlSet ControlSet.hiv

Сохраняет подраздел реестра HKCCSystemCurrentControlSet вместе со всем его содержимым в файл ControlSet.hiv, создаваемый в текущей папке.

Reg unload

Директива REG UNLOAD выгружает из памяти локального компьютера хранящиеся там данные реестра, отображающиеся в иерархической структуре реестра в виде разделов и подразделов ветвей HKLM и HKU. Формат записи:

REG UNLOAD <раздел>

В составе директивы могут использоваться следующие параметры:

Примеры использования:

REG UNLOAD HKLMSoftware

Выгружает из памяти компьютера содержимое ветви реестра HKLMSoftware.

Изменение параметров реестра компьютера в сети

Выше мы рассмотрели достаточно широкие возможности батников в работе с реестром операционной системы. Последний момент, который отметим в контексте данной темы – это редактирование реестра компьютеров в локальной сети.

:/>  Как заменить залипание клавиш на командную строку

Использование bat-файлов для редактирования реестра

Точнее сказать, мы, разумеется, не будем раз за разом вручную прописывать нужные параметры в окне консоли, не для этого данный способ нужен, мы рассмотрим вариант внесения изменений в системный реестр Windows при помощи bat-файлов.

Достаточно подробно о создании и использовании батников речь шла в записи Пакетные файлы (bat, батники) Windows, ещё одна функция, которую можно и нужно использовать – изменение записей реестра при помощи cmd языка.

  1. батники шире используются в администрировании;
  2. батники имеют режим тихого запуска (без всплывающих окон);
  3. батники можно запускать с повышенными правами, то есть от имени Администратора;
  4. с помощью бат-файлов возможна работа с реестром сетевых машин.

Как быстро найти ветку реестра с помощью regjump.exe

А теперь всё просто. Редактор реестра запускать не нужно. Вместо этого запускаем от имени администратора консоль команд:

И введите команду regjump.exe, дабы убедиться, что всё работает. Если консоль не возвращает ошибку:

… то приступаем к работе.

Быстро найти ветку реестра , указанную мной в начале статьи, можно, набрав в консоли команду в формате:

Как можно быстро найти ветку реестра ?

К сожалению, встроенный в Windows редактор реестра этого сделать не позволяет. И вот здесь (забегу вперёд) мы столкнёмся с небольшим парадоксом от Microsoft.

Дело в том, что сейчас нам придётся познакомиться с небольшой утилитой. Она бесплатна, легковесна, не требует настроек, рекомендуется Microsoft и, если не ошибаюсь, давно ей принадлежит на правах собственности. В чём парадокс? Так что ж не включаете в сборку-то существующего редактора????

Как найти sid пользователя в реестре

Вы также можете определить SID пользователя, просматривая значения ProfileImagePath в каждом S-1-5-21 с префиксом SID, перечисленных под этим ключом:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

В значении ProfileImagePath в каждом ключе реестра с именем SID указывается каталог профиля, в который входит имя пользователя.

Этот метод сопоставления пользователей с SID покажет только тех пользователей, которые вошли в систему или вошли в систему и переключились на другого пользователя. Чтобы продолжить использовать метод реестра для определения идентификаторов безопасности других пользователей, вам необходимо войти в систему под учетной записью каждого пользователя в системе и повторить эти шаги. Это большой недостаток; предполагая, что вам это доступно, гораздо лучше использовать метод команды wmic.

Как найти sid пользователя с wmic

Вероятно, потребуется всего лишь минута, а может быть и меньше, чтобы найти SID пользователя в Windows через WMIC:

Как открыть редактор реестра windows

Первый, и наверное самый популярный и простой способ его открыть, который будет работать во всех десктопных версиях Windows, это использование окна «Выполнить».

1. Нажмите комбинацию клавишWin R для запуска функции «Выполнить».

2. В поле «Открыть» введите «regedit» и нажмите Enter.

Это основной способ открыть редактор реестра Windows. Обычно используют именно его. А остальные варианты, описанные ниже, менее популярны.

Как открыть редактора реестра через проводник windows

Тоже не плохой способ войти в редактор реестра, особенно будет полезен, если у Вас временно нет доступа к клавиатуре, а про экранную клавиатуру Вы забыли.

1. Отройте проводник Windows и зайдите в диск C:/ (или в другое место, где лежит ваша операционная система), далее перейдите в папку Windows.

2. Среди содержимого этой папки должен быть файл regedit.exe или просто regedit (если у Вас не показываются расширения файлов). Запустите его, и редактор реестра откроется.

Вот и дописал, спасибо за внимание, и как всегда скажу, что именно Вам выбирать каким способом пользоваться, чтобы открывать редактор реестра Windows. Можете хоть ярлык на рабочий стол сделать из файла в последнем примере.

См. также наши определения реестра и редактора реестра в словаре.

Открытие редактора реестра через командную строку

Этот способ похож на предыдущий, и может показаться не нужным, но иногда бывает полезен.

1. Откройте командную строку. Для этого можно нажать сочетание клавиш Win R, ввести cmd и кликнуть по кнопке ОК. Другие варианты смотрите в статье: 5 способов открыть командную строку.

2. В открывшейся командной строке введите regedit и нажмите клавишу Enter.

Открытие редактора реестра через поиск в меню пуск

В ОС Windows Vista и 7 можно использовать поле поиска в меню Пуск, вместо открытия окна «Выполнить».

1. Откройте меню Пуск и введите в поисковый запрос regedit, затем нажмите клавишу Enter.

Поиск в реестре

Поиск в реестре

У редактора реестра есть простая функция поиска, позволяющая искать текст во всех разделах и значениях. Просто выберите Найти (Find) в меню Правка (Edit) редактора реестра, напечатайте требуемый текст  и нажмите кнопку Найти далее (Find Next).

Поиск в редакторе реестра не всегда хорошо работает. Он очень медленный и не сохраняет историю предыдущих поисков. Но его самый большой недостаток в том, что вы можете найти только одно совпадение за один раз. Приходится постоянно нажимать Найти далее (Find Next), чтобы просмотреть другие результаты. А если вы случайно щелкнули пару раз на Найти далее (Find Next), то обратного пути уже нет. 

Нажмите Ctrl F или выберите меню Правка ► Найти (Edit ► Find), чтобы начать поиск в текущем разделе. (Чтобы вести поиск по всему реестру, прокрутите дерево раз­делов вверх и выберите Компьютер.)

В окне поиска убедитесь, что все три параметра в разделе Просматривать при по­иске — Имена разделов, Имена параметров и Значения параметров — были выбраны. Параметр Искать только строку целиком должен быть выключен, если, конечно, вы не ищете текст, который может появляться в других словах.

Поиск в редакторе реестра останавливается, когда находит первое соответствие запрашиваемого элемента. Просто нажмите F3 для продолжения поиска. Если вы хотите, чтобы отображались все соответствия сразу, воспользуйтесь агентом реестра, о котором мы поговорим в следующем разделе.

Поиск в реестре из cmd по шаблону

Необходимо в конкретной ветке реестра найти первую из существующих строк и получить ее в переменную. Сделал через

FOR /F "delims="  %x in ('reg query "HKLMSOFTWARE..." /f "*"') do...

но если находит более одной строки, происходят ненужные действия по циклу, как остановить цикл не нашел (это не BAT фаил и из CMD).

Поиск по реестру windows через командную строку или powershell — мысли вслух

Иногда очень нужно в скриптах выполнить поиск определенного ключа и например поменять его. Для того чтобы осуществить поиск в Windows есть команда reg query. Ее нужно запускать с определенными ключами. У меня эта команда обычно выглядит следующим образом:

reg query HKCUSoftwareMicrosoft /f "test" /s /d /e

HKCUSoftwareMicrosoft — ветка реестра, по которой осуществляется поиск; после ключа /f вписываем в кавычках шаблон для поиска; ключ /s осуществляет поиск по вложенным подразделам и их параметрам; ключ /d указываем на поиск только по данным, а не по названию ключей и наконец ключ /e, говорит, что надо возвращать только точные совпадения.

Работа с реестром из командной строки

Синтаксис бат-файлов и процесс их создания описан в статье, приведённой выше, в данной же публикации затронем исключительно тему, касающуюся выполнения функции изменения реестра из командной строки.Сразу отметим, что в bat-файлах не требуется заголовок в начале файла по типу того, что используется в reg-файлах: Windows Registry Editor Version 5.00 – здесь можно начинать писать команду с первой же строки.

Для начала приведём основные параметры, используемые при работе с реестром из командной строки:

  • /v – имя добавляемого/изменяемого ключа;
  • /ve – добавление пустого параметра;
  • /t – параметр для указания типа добавляемых/изменяемых данных;
  • /d – значение, присваиваемое параметру;
  • /s – применение команды ко всем вложенным ключам;
  • /f – отключение системных предупреждений при выполнении операции.

Но, конечно, основа любого батника Windows – сама команда. Итак, приведём список команд, используемых для редактирования реестра.

reg add – команда для добавления данных, будь то параметры, ключи или целые ветки.Допустим, после вирусной атаки нам необходимо вернуть место хранения hosts файла (а также файлов lmhosts, networks и protocols) в директорию %SystemRoot%System32driversetc Для этого нужно выполнить команду:

reg add HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v DataBasePath /t REG_EXPAND_SZ /d %%SystemRoot%%System32driversetc /f

Если немного применить фантазию и оформить батник, то код будет выглядеть примерно следующим образом:

Оставьте комментарий