Аудит изменений реестра в Windows средствами системы

Утилита командной строки REG.EXE присутствует во всех версиях операционных систем семейства Windows и используется для добавления, изменения, удаления и просмотра параметров и ключей реестра.

Формат командной строки:

REG [Список параметров]

Операции:

QUERY

— поиск и отображение содержимого реестра.

ADD

— добавление новых разделов и записей в реестр.

DELETE

— удаление разделов и записей из реестра.

COPY

— копирование разделов и записей из реестра.

SAVE

— сохранение данных реестра в файл.

LOAD

— загрузка куста реестра

UNLOAD

— выгрузка куста реестра в файл, ранее загруженный операцией LOAD.

RESTORE

— восстановление данных реестра из файла.

COMPARE

— сравнение разделов и параметров реестра.

EXPORT

— экспорт данных реестра в .reg-файл.

IMPORT

— импорт данных реестра из .reg-файла.

FLAGS

— отображение или изменение флагов разделов реестра.

Код возврата: (за исключением REG COMPARE):

0 – Успешно 1 — С ошибкой

Для каждой операции, задаваемой в командной строке REG, используются свои параметры. Для получения справки по определенной операции введите:

REG /?

Результат выполнения операции зависит от прав пользователя по отношению к данным реестра. Редактирование реестра является потенциально опасной операцией и при необдуманных или ошибочных действиях может привести к неработоспособности системы. Прежде, чем вносить какие-либо изменения в реестр, нужно сделать его резервную копию и освоить процедуру восстановления системы в случае ее краха по причине неверного содержимого реестра, в том числе, и для случаев, когда загрузку Windows выполнить невозможно.

REG QUERY – отобразить содержимое реестра.

Формат команды:

REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s] [/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель]

Параметры командной строки:

имя_раздела

— может включать имя удаленного компьютера в формате
\\компьютер\полное_имя_раздела
. Если имя компьютера не задано, то по умолчанию используется текущий компьютер. На удаленных компьютерах доступны только разделы HKLM и HKU.
полное_имя_раздела
— путь в форме
корневой_раздел\подраздел
. Корневой раздел — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя раздела реестра в указанном корневом_разделе.

/v

— Запросы требуемых параметров в указанном разделе реестра. Если не указано, запрашиваются все параметры раздела. Аргумент этого параметра может быть необязательным, только если задан параметр /f. Это указывает на поиск только в именах параметров реестра.

/ve

— Запросы параметра по умолчанию или с пустым именем (по умолчанию).

/s

— Запрос всех вложенных подразделов и их параметров (аналогично команде dir /s).

/se

— Указание разделителя (длиной в 1 знак) в строке данных для REG_MULTI_SZ. По умолчанию в качестве разделителя используется «\0».

/f

— Данные или шаблон для поиска. Если строка содержит пробелы, заключайте ее в кавычки. Значение по умолчанию: «*».

/k

— Указывает на поиск только в именах разделов.

/d

— Указывает на поиск только в данных.

/c

— Указывает на учет регистра знаков при поиске. По умолчанию при поиске регистр знаков не учитывается.

/e

— Указывает на возврат только точных совпадений. По умолчанию возвращаются все совпадения.

/t

— Указывает тип данных параметра реестра. Допустимые типы: REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE. По умолчанию будут использоваться все типы.

/z

— Подробности: отображение числового кода типа имени значения.

Примеры:

reg query /?

— отобразить справку по использованию.

REG QUERY HKLM\Software\Microsoft\ResKit /v Version

— отобразить значение параметра реестра
Version
reg query \\SERVER\HKLM\Software\Microsoft\Windows\CurrentVersion\Run

— отобразить содержимое раздела автоматически запускаемых программ для всех пользователей удаленного компьютера SERVER. Для успешного выполнения команды необходимо наличие соответствующих прав пользователя по отношению к удаленной системе и на удаленном компьютере должна быть запущена служба
RemoteRegistry
(Удаленный реестр).

Пример отображаемой информации:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run RTHDVCPL REG_SZ «C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe» -s Acronis Scheduler2 Service REG_SZ «C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe» COMODO Internet Security REG_SZ C:\Program Files\COMODO\COMODO Internet Security\cistray.exe StartCN REG_SZ «C:\Program Files\AMD\CNext\CNext\cnext.exe» atlogon

REG QUERY HKLM\Software\Microsoft\ResKit\Nt\Setup /se #

— отобразить все подразделы и параметры со знаком «#» в качестве разделителя для всех параметров типа REG_MULTI_SZ.

REG QUERY HKLM /f SYSTEM /t REG_SZ /c /e

— отобразить раздел, параметр и данные с учетом реестра букв для точных совпадений с «SYSTEM» типа REG_SZ из корневого раздела HKLM

REG QUERY HKCU /f 0F /d /t REG_BINARY

— отобразить раздел, параметры и данные для совпадений с «0F» типа REG_BINARY среди данных в корневом разделе HKCU

REG QUERY HKLM\SOFTWARE /ve

— отобразить параметр и данные для пустого значения (по умолчанию) в разделе HKLM\SOFTWARE

reg query hklm\system\currentcontrolset\control\safeboot /s /f «Adapter» /d

— искать в данных строку
Adapter
в разделе реестра с параметрами безопасного режима загрузки Windows.

REG QUERY «HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders» /v «Start Menu»

— отобразить расположение папки ”Главное меню” текущего пользователя.

REG QUERY HKCU\Console\

— отобразить параметры командной строки текущего пользователя.

REG QUERY HKCU\Console /v ScreenColors

— отобразить параметр, определяющий цвет фона и цвет символов окна командной строки текущего пользователя.

Reg Query «HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion» /V ProductName

— отобразить содержимое параметра реестра с названием Windows. Пример отображаемой информации при выполнении команды в среде Windows 10 Pro:

ProductName REG_SZ Windows 10 Pro

Как внести изменения

Пользователи, которые интересуются, как открыть реестр Windows 10, должны знать, что редакторы позволяют внести изменения в текущие файлы. В качестве примера можно изменить домашнюю страницу своего браузера. Это может быть полезно, если вредоносная программа получила контроль над обозревателем, что затрудняет посещение желаемого веб-сайта. Сначала вызываем редактор, набрав regedit в панели поиска или применив комбинацию Windows + R.

Нажать на символ «+» рядом с надписью HKEY_CURRENT_USER и выбрать Software Microsoft Internet Explorer. Затем щелкнуть правой кнопкой мыши на Main и выбрать Export, чтобы сохранить файл на компьютере вошедшего пользователя. После этого останется только нажать правой кнопкой мыши на файле, выбрать «Открыть с помощью» и «Блокнот».

Верхняя строка «Редактирование реестра Windows 10» сообщает операционной системе, что этот документ является файлом RegEdit. Следующая строка — это данные конфигурации, которые сообщают системе, что нужно добавить и изменить в реестре. Чтобы изменить домашнюю страницу на конкретный веб-сайт (например, Microsoft), нужно осуществить вход в:

  1. HKEY_CURRENT_USER.
  2. Software.
  3. Microsoft.
  4. Internet Explorer.
  5. Main.

Затем установить флажок в правой части окна и 2 раза нажать на Start Page. В разделе Value Data ввести адрес веб-сайта и нажать OK. Если после внесения изменений что-то пойдет не так, нужно 2 раза нажать на экспортированном файле, чтобы сбросить его до исходных настроек.

Когда вы удаляете программу, есть вероятность, что некоторые параметры не будут стерты.

Чтобы полностью удалить программу, вам необходимо убрать ее запись из реестра. Для этого нужно вызвать редактор и нажать на значок «+» рядом с HKEY_LOCAL_MACHINE. Затем нажать на Software и определить программу, которую необходимо стереть. Для этого следует нажать правой кнопкой мыши на нужной записи и выбрать «Удалить».

Время от времени у пользователей и системных администраторов может возникать необходимость посмотреть изменения в реестре Windows за определенный период. Это может быть вызвано желанием посмотреть, какие изменения вносят определенная программа или действия пользователей.

Посмотреть изменения, внесённые в реестр Windows, можно как встроенными в операционную систему средствами, так и при помощи стороннего ПО. Начнём с первых.

Кроме того, упомянем ещё, что всё сводится к двум методам: сравнению двух «снимков» реестра, сделанных в разное время, или мониторингу изменений в режиме реального времени.

Самый доступный способ посмотреть, какие в реестр были внесены изменения, это использование встроенной в Windows утилиты fc.exe

. Плюсом этого метода является отсутствие надобности искать дополнительное ПО. В общем-то, утилита fc.exe используется не только для просмотра изменений реестра, а для сравнения двух файлов или наборов файлов вообще. Таким образом, становится понятно, что нам нужны два «снимка» реестра.

Экспортируем предварительно весь реестр или только нужную нам ветку. Допустим, у нас есть два файла: 1.reg и 2.reg, которые мы положили на диск C. Тогда для их сравнения можно использовать команду

fc c:\1.reg c:\2.reg > c:\log.txt

В данном случае мы вывели результат работы команды в текстовый файл. Но я бы рекомендовал использовать более продвинутый формат и (или) редактор посильнее Блокнота, чтобы не было проблем с .

Выше я использовал MS Word и формат.doc.

Проблема использования fc.exe кроется в том, что результат её работы является малочитаемым. Скриншот выше говорит о том, что в ветку был добавлен параметр Primer

. Но вряд ли получится это понять, если не знать об этом заранее. Полноценным инструментом анализа fc.exe не назовешь. Эта утилита больше подходит, когда вы сами вносите изменения в реестр, и хотите убедиться, что они были внесены (но не хотите бродить по веткам реестра в
regedit
).

Поэтому перейдем к другой утилите, которая, к сожалению, уже не входит в состав современных версий Windows, но может быть добавлена. Называется она WinDiff

. Добавить её можно через установку пакетов Microsoft Windows SDK. К сожалению, после Windows 7 WinDiff исключили и из этих пакетов, но скачать её можно и отдельно, например, .

Чтобы использовать утилиту WinDiff из командной строки Windows, поместите её в каталог %WINDIR%\System32

. Теперь для сравнения двух файлов реестра из примера нам достаточно ввести команду
windiff C:\1.reg C:\2.reg
Откроется графический интерфейс утилиты, который можно видеть на скриншоте выше. Разберемся, как читать вывод программы WinDiff.

  • Строки на белом фоне означают совпадение содержимого файлов;
  • Строки на красном фоне показывают содержимое первого (левого) файла, которого нет во втором (правом);
  • Строки на желтом фоне показывают содержимое второго (правого) файла, которого нет в первом (левом).
  • У нас есть желтая строка с содержимым «Primer»=»»

    . Это говорит о том, что во втором файле появился параметр
    Primer
    с пустым значением. И находится он в
    HKEY_LOCAL_MACHINE\SOFTWARE\Test
    . Так как второй файл был сохранен позже первого, можно сделать вывод, что этот параметр был добавлен, а не удален.

    Перейдем к сторонним утилитам мониторинга реестра.

    Популярным бесплатным решением является программа Regshot

    . Программа тоже работает со снимками реестра, причем делает их сама, а не анализирует заранее сохраненные файлы. В этом её минус. А плюс в том, что она очень проста.

    Сперва нужно сделать первый снимок реестра.

    После чего их можно сравнить.

    После окончания процесса сравнения программа автоматически откроет файл с результатами работы. Ещё одним плюсом Regshot является то, что этот файл легко читается. Правда, стоит отметить, что в нём будет куча изменений реестра, которые могут показаться своеобразной азбукой Морзе. В моем случае оба снимка были сделаны с разницей меньше минуты. Мои действия заключались только в том, что я удалил параметр Primer. Как видите, программа это зафиксировала. А также зафиксировала и много других изменений. «Под капотом» операционной системы постоянно что-то происходит, и большая часть из этого скрыта от наших глаз.

    Более ненужные снимки можно удалить, нажав кнопку Очистить

    в интерфейсе программы. Скачать программу Regshot можно .

    Последним рассматриваемым в этой статье средством мониторинга реестра Windows будет программа Registry Live Watch

    . Пожалуй, уже из названия можно понять, что данная программа способна следить за изменением реестра в реальном времени.

    Программа тоже крайне проста и, по сути, даже не имеет толком настроек. Вы лишь указываете ветку реестра, за которой требуется следить, и запускаете мониторинг кнопкой Start Monitor

    .

    Однако программа имеет серьезный недостаток, который, по большей части нивелирует саму идею мониторинга. Она выдаёт лишь сообщения об изменении в наблюдаемой ветке реестра, но не пишет, какие именно изменения были внесены. Вторым недостатком является то, что Registry Live Watch не умеет мониторить весь реестр целиком. Скачать программу можно .

    Под конец статьи поговорим о том, как автоматизировать сбор информации о реестре не прибегая к стороннему ПО. Сделать это можно при помощи скрипта, содержащего команду reg export , синтаксису которой посвящена . Запуская данный скрипт по расписанию, вы получите ряд снимков реестра, которые можно будет при необходимости сравнить.

    Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.

    REG ADD — добавить или заменить существующий параметр реестра.

    Формат команды:

    REG ADD [/v | /ve] [/t ] [/s ] [/d данные>] [/f] [/reg:32 | /reg:64]

    Параметры командной строки:

    имя_раздела

    — [\\\]. Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.

    Раздел

    — КОРЕНЬ\. КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.

    /v

    — Имя параметра, добавляемого в выбранный раздел.

    /ve

    — Добавление параметра с пустым именем (по умолчанию) в этот раздел.

    /t

    — Тип данных: [ REG_SZ | REG_MULTI_SZ | REG_EXPAND_SZ | REG_DWORD | REG_QWORD|REG_BINARY | REG_NONE ]. Если не указывается, то по умолчанию используется REG_SZ.

    /s

    — Символ, используемый в качестве разделителя данных для параметров типа REG_MULTI_SZ. Если не указан, то в качестве разделителя используется «\0».

    /d

    — Значение, присваиваемое добавляемому параметру реестра.

    /f

    — Принудительно перезаписывает существующую запись реестра без запроса подтверждения.

    /reg:32

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

    /reg:64

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

    Примеры :

    reg add /?

    — отобразить подсказку по использованию команды.

    REG ADD \\SERVER\HKLM\Software\MyCo

    — Добавляет раздел HKLM\Software\MyCo на удаленном компьютере SERVER

    REG ADD HKLM\Software\MyCo /v Data /t REG_BINARY /d fe340ead

    — Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead)

    REG ADD HKLM\Software\MyCo /v MRU /t REG_MULTI_SZ /d fax\0mail

    — Добавляет параметр (имя: MRU, тип: REG_MULTI_SZ, данные: fax\0mail\0\0)

    REG ADD HKLM\Software\MyCo /v Path /t REG_EXPAND_SZ /d ^%systemroot^%

    — Добавляет параметр (имя: Path, тип: REG_EXPAND_SZ, данные: %systemroot%)

    REG add HKCU\Console /v ScreenColors /t REG_DWORD /d 0xf0

    — изменить настройки консоли текущего пользователя – черные буквы на белом фоне. Для записи данных в уже существующий параметр реестра потребуется подтверждение на запрос:

    Параметр ScreenColors уже существует, заменить (Y — да/N — нет)?

    Для подавления запроса необходимо использовать параметр /f

    :

    REG add HKCU\Console /v ScreenColors /t REG_DWORD /d 0xf0 /f

    Нужно учитывать, что изменение отображения фона и цвета символов для текущего сеанса консоли не произойдет. Изменения будут применены при следующем запуске командной строки.

    Место хранения файлов реестра

    Реестр в Windows находится в одноименной папке на локальном диске, где установлена система. Сохраняются файлы программы в разделе конфигураций папки и расположены по следующему пути:

    • Facebook
    • LiveJournal
    • Blogger

    Пусть в системе до файлов реестра
    За сохранность настроек отвечают следующие папки:

    • Facebook
    • LiveJournal
    • Blogger

    А если в целом, то окно имеет вот такой вид:

    данные реестра

    • Facebook
    • LiveJournal
    • Blogger

    Все данные реестра и история изменений находятся тут
    Если пользователь желает найти информацию об установленном оборудовании, сначала нужно выставить видимость скрытых файлов и папок и найти NTUSER.DAT. Она расположена в пользовательской папке на главном диске.

    REG DELETE — удалить существующий параметр реестра.

    Формат команды:

    REG DELETE [/v | /ve | /va] [/f] [/reg:32 | /reg:64]

    имя_раздела

    — [\\\]. Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.

    Раздел

    — КОРЕНЬ\. КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.

    имя_параметра

    — Имя параметра, удаляемого из выбранного раздела. Если оно опущено, удаляются все подразделы и значения указанного раздела.

    /ve

    — Удаляет пустое имя параметра (по умолчанию).

    /va

    — Удаляет все параметры в указанном разделе.

    /f

    — Выполняет принудительное удаление без запроса подтверждения.

    /reg:32

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

    /reg:64

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

    Примеры:

    REG DELETE HKLM\Software\MyCo\MyApp\Timeout

    — Удаляет раздел реестра Timeout и все его подразделы и параметры.

    REG DELETE \\SERVER\HKLM\Software\MyCo /v MTU

    — Удаляет параметр реестра MTU из раздела MyCo на компьютере SERVER

    REG-файлы: автоматизировать изменения в regedit

    Ошибка Реестре сохраняется в своем собственном формате базы данных, так что только Windows, regedit и программы могут получить к нему доступ. Однако существует один тип файлов, специально разработанный для непосредственного взаимодействия с реестром: REG-файлы .

    REG-файл — это текстовый файл (при желании мы можем открыть его с помощью Блокнота), в котором в реестре Windows определена серия изменений и модификаций. При выполнении (с двойным щелчком и с разрешения администратора) изменения применяются в соответствии с их определениями.

    Архив РЭГ, копия реестра Windows

    Резервные копии реестра Windows имеют расширение REG, поэтому вы можете восстановить их двойным щелчком мыши. Кроме того, можно также создавать собственные сценарии для автоматизации создания и изменения значений реестра.

    Файл «.REG» должен начинаться с » Редактор реестра Windows версии 5.00 «, В скобках [] укажите путь к ключу реестра, который нужно изменить, и под ним, в кавычках,« каждое из значений равно и определенное значение также в кавычках.

    Пока он организован, один и тот же файл REG может иметь изменения для различных ключей и значений.

    REG EXPORT — экспорт данных реестра в файл.

    Формат команды:

    REG EXPORT [/y] [/reg:32 | /reg:64]

    имя_раздела

    — в виде КОРЕНЬ\ (только локальный компьютер). КОРЕНЬ может быть [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в одном из выбранных корневых разделов.

    имя_файла

    — путь и имя файла в который экспортируются данные реестра.

    /y

    — Выполнение замены существующего файла без запроса подтверждения.

    /reg:32

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

    /reg:64

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

    Примеры:

    REG EXPORT HKLM\Software\MyCo\MyApp AppBkUp.reg

    — Экспорт всех подразделов и параметров раздела MyApp в файл AppBkUp.reg

    REG EXPORT HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\saved\autoruns.reg

    — экспорт параметров автоматического запуска приложений для всех пользователей системы.

    Как отследить изменения в реестре Windows

    Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.

    Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2.

    Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:

    fc D:/1.reg D:/2.reg > D:/compare.log

    Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог.

    Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.

    Regshot

    Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить».

    Результаты будут выведены в обычном текстовом или HTML-файле (по выбору сравнивающего).

    Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

    Registry Live Watch

    Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом.

    Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.

    REG SAVE — сохранение данных реестра в файл.

    Формат команды:

    REG SAVE [/y] [/reg:32 | /reg:64]

    имя_раздела

    — в виде
    КОРЕНЬ\
    .
    КОРЕНЬ
    может принимать значения [ HKLM | HKCU | HKCR | HKU | HKCC ].
    подраздел
    — Полное имя подраздела реестра в одном из выбранных корневых разделов.

    имя_файла

    — Путь и имя файла сохраняемых данных. Если путь не указан, то файл создается в текущей папке вызывающего процесса.

    /y

    — Выполнение замены существующего файла без запроса подтверждения.

    /reg:32

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

    /reg:64

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

    Примеры:

    REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv

    — Сохранение раздела реестра MyApp в файл AppBkUp.hiv текущей папки.

    REG SAVE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\saved\autoruns.hiv

    — сохранение параметров автоматического запуска приложений для всех пользователей системы в файл
    autoruns.hiv
    в каталоге
    saved
    диска
    C:
    .

    Определение и запуск системного реестра Windows

    Определений термина реестр Windows можно дать множество, приведём относительно простое и доступное для понимания:

    Системный реестр Windows — это база данных настроек и параметров операционной системы, имеющая древовидную структуру

    То есть, огромное количество пользовательских и системных настроек ОС отражаются в этой виртуальной среде.

    Виртуальным реестр можно считать потому, что он лишь упорядочивает и структурирует данные, которые физически хранятся в системных файлах на информационном носителе компьютера или формируются непосредственно в момент запуска Windows

    Рассмотрим два основных способа запуска стандартной утилиты редактора реестра:

    Запуск редактора реестра при помощи команды Выполнить

    • Запускаем утилиту Выполнить, перейдя в ПускВсе программыСтандартные (в Windows 10 утилита Выполнить находится в каталоге Служебные), либо зажав на клавиатуре клавиши Пуск (на некоторых клавиатурах она отмечается как Win) и R
    • В открывшемся окне вбиваем команду regedit
      и жмём на клавишу Enter

    Запуск редактора реестра из проводника

    • Переходим в каталог C:\Windows
    • Запускаем исполнительный файл regedit.exe

    Перед нами откроется окно редактора реестра.

    к содержанию

    REG RESTORE — восстановление данных реестра их файла.

    Для восстановления данных реестра используется содержимое файла, созданного при выполнении команды REG SAVE

    Формат команды:

    REG RESTORE [/y] [/reg:32 | /reg:64]

    имя_раздела

    — в виде
    КОРЕНЬ\
    .
    КОРЕНЬ
    может принимать значения [ HKLM | HKCU | HKCR | HKU | HKCC ].
    подраздел
    — Полное имя подраздела реестра в одном из выбранных корневых разделов.

    имя_файла

    — Путь и имя файла, созданного при выполнении команды REG SAVE. Если путь не указан, то поиск файла выполняется в текущей папке вызывающего процесса.

    Пример:

    REG RESTORE HKLM\Software\Microsoft\ResKit NTRKBkUp.hiv

    — восстановить содержимое реестра из файла NTRKBkUp.hiv текущего каталога.

    Команды REG IMPORT/EXPORT и REG RESTORE/SAVE близки по назначению, однако используют разные форматы данных.

    Резервное копирование реестра

    ! Перед редактированием реестра всегда желательно создавать резервную копию изменяемой ветки или раздела

    Ввод некорректных параметров в системный реестр Windows может привести к нестабильной работе и краху системы

    Создание бэкапа реестра

    Для создания бэкапа раздела реестра мы воспользуемся функцией экспорта в стандартной утилите regedit.

    1. Запускаем редактор реестра командой regedit из окна Выполнить или запуском одноимённого исполнительного файла из проводника (способы описаны выше)
    2. Правой кнопкой мыши жмём на нужный раздел и выбираем пункт Экспортировать
    3. В появившемся окне выбираем каталог для сохранения файла бэкапа, вносим имя файла и нажимаем кнопку Сохранить.

    Восстановление реестра из бэкапа

    Если по каким-то причинам возникнет необходимость восстановления данных реестра из резервной копии, то нам нужно будет только запустить файл бэкапа с расширением *.reg и согласиться на внесение изменений в реестр.

    к содержанию

    REG LOAD — загрузка данных реестра из файла куста.

    Для загрузки используется файл куста реестра, полученный с помощью команды REG SAVE, или другой файл куста реестра, например, скопированный с другого компьютера.

    Формат командной строки:

    REG LOAD [/reg:32 | /reg:64]

    имя_раздела

    в виде
    КОРЕНЬ\подраздел
    (только локальный компьютер).
    КОРЕНЬ
    может принимать только [ HKLM | HKU].
    подраздел
    — Имя подраздела реестра, в который загружается файл куста.

    имя_файла

    — путь и имя файла куста, подлежащего загрузке.

    Примеры:

    REG LOAD HKLM\TempHive TempHive.hiv

    — Загрузка файла TempHive.hiv в раздел HKLM\TempHive

    Обычно, команда REG LOAD используется совместно с REG UNLOAD для изменения данных реестра, содержащихся в файле куста.

    REG LOAD HKU\TEMP «C:\Documents and Settings\Default User\NTUSER.DAT»

    — загрузить куст во временный раздел реестра.

    REG ADD HKU\TEMP\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v newUserProfile /t REG_EXPAND_SZ /d «D:\setup.cmd» /f

    — выполнить запись во временном разделе.

    REG UNLOAD HKU\TEMP

    — выгрузить временный раздел. При этом, выполненные изменения содержимого реестра будут сохранены в файле куста.

    Загрузка и выгрузка данных с использованием файлов кустов позволяет редактировать данные реестра поддерживаемого формата, в том числе и ”чужой” операционной системы. В качестве файлов кустов можно использовать файлы из каталога \Windows\System32\config\

    сторонней Windows, что позволяет восстановить ее работоспособность в некоторых случаях, требующих изменения параметров реестра, при невозможности загрузки и использования собственного редактора.

    Внесение изменений в реестр от имени учетной записи «Система»

    Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec , входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

    1. Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
    2. Откройте командную строку от имени администратора и выполните команду: psexec -i -s regedit

    Запустится редактор реестра, причем от имени системы, что задается параметром -s

    (параметр
    -i
    обеспечивает интерактивный запуск приложения).

    Пользователи персональных компьютеров иногда интересуются, как зайти в реестр Windows 10. Обычно он используется для резервного копирования базы данных, создания и открытия новых файлов REG, а также многих других операций. Windows 10 как новейшая операционная система содержит реестр в качестве одного из своих ключевых компонентов. Эта иерархическая база данных содержит настройки ОС, параметры приложений, сведения о драйверах устройств и паролях различных пользователей, а также другую важную системную информацию.

    Когда новая программа установлена, какая-то ее часть сохраняется в файле реестра RegEdit.exe.

    Чтобы создать и редактировать файл, который должен войти в реестр Виндовс 10, потребуются некоторые навыки. Перед внесением любых изменений важно создать резервную копию всей базы данных. Благодаря этому вы сможете импортировать исходные настройки из файла, если что-то пойдет не так.

    REG COMPARE — сравнение двух разделов данных реестра.

    Формат командной строки:

    REG COMPARE [/v | /ve] [вывод] [/s] [/reg:32 | /reg:64]

    имя_раздела

    в виде
    [\\\]
    .
    компьютер
    имя_раздела в виде
    КОРЕНЬ\подраздел
    . Если имя раздела 1 не указано, то имя раздела 2 равно имени раздела 1.
    КОРЕНЬ
    — [ HKLM | HKCU | HKCR | HKU | HKCC ].
    подраздел
    — Полное имя подраздела реестра в одном из выбранных корневых разделов.

    имя_параметра

    — Имя параметра реестра в выбранном разделе, подлежащее сравнению. Если опущено, то сравниваются все параметры в разделе.

    /ve

    — Сравнение параметров раздела с пустым именем (по умолчанию).

    /s

    — Сравнение всех подразделов и параметров.

    /reg:32

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.

    /reg:64

    — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.

    Вывод

    — формат выводимых различий — [/oa | /od | /os | /on]
    /oa
    — Вывод всех различий и совпадений.
    /od
    — Вывод только различий.
    /os
    — Вывод только совпадений.
    /on
    — Без вывода. Если
    Вывод
    не задан, то выводятся только различия.

    Код возврата:

    0 — Успешно, сравниваемые данные идентичны 1 — При обработке произошла ошибка 2 — Успешно, сравниваемые данные отличаются

    Примечание:

    Символы в начале каждой строки читаются следующим образом:

    =

    данные FullKey1 равны данным FullKey2
    относится к данным FullKey1, если они отличаются от данных FullKey2 > относится к данным FullKey2, если они отличаются от данных FullKey1
    Примеры:

    REG COMPARE HKLM\Software\MyCo\MyApp HKLM\Software\MyCo\SaveMyApp

    — Сравнивает все значения в разделе MyApp со значениями раздела SaveMyApp

    REG COMPARE HKLM\Software\MyCo HKLM\Software\MyCo1 /v Version

    — Сравнивает значения Version в разделах MyCo и MyCo1

    reg compare HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network /s

    — Сравнивает отличия параметров для безопасного режима загрузки и безопасного режима с поддержкой сети.
    REG COMPARE \\SERVER\HKLM\Software\MyCo \\. /s
    — Сравнивает все подразделы и значения параметров в разделе HKLM\Software\MyCo реестра на компьютере SERVER с аналогичным разделом на текущем компьютере.

    reg compare HKLM\Software\Microsoft\Windows\CurrentVersion\Run \\192.168.1.1\HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    — Сравнивает список автоматически стартующих программ для всех пользователей локального компьютера и удаленного компьютера с IP адресом 192.168.1.1. Для успешного выполнения команды на удаленном компьютере должна быть запущена служба ”Удаленный реестр”. Пример отображаемой информации с результатами сравнения:

    > Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run RTHDVCPL REG_SZ «C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe» -s

    > Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Acronis Scheduler2 Service REG_SZ «C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe»

    > Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run COMODO Internet Security REG_SZ C:\Program Files\COMODO\COMODO Internet Security\cistray.exe

    Результат сравнения: не совпадают

    Операция успешно завершена.

    Структура реестра и Regedit

    Чтобы открыть редактор реестра в Windows, просто нажмите Win + R, затем введите regedit и нажмите Enter.

    Вы окажетесь перед окном, разделенным на две части: слева некоторые основные элементы, представленные в виде папок, а справа пустая панель.

    Исходное состояние окна редактора реестра Windows 10

    При двойном щелчке по одной из отображаемых папок её содержимое сразу же отображается с их «подветвями».

    Каждое подразделение называется «ключом»: набор ключей, присутствующих в системном реестре, образует сильно разветвленную древовидную структуру, поскольку каждый ключ может содержать огромное количество подразделов.

    Внутри каждого ключа фактическая информация, используемая Windows и приложениями, с которыми мы ежедневно работаем, хранится в виде «значений».

    Значения, сохраненные в выбранном ключе, перечислены на правой панели Regedit: они могут быть в основном трех типов: String, Binary или DWORD, в зависимости от типа данных, которые они содержат.

    Основные ключи или ветви:

    • HKEY_CLASSES_ROOT. Содержит ссылки на раздел HKEY_LOCAL_MACHINE. Информация, включенная в этот ключ, относится к типам используемых файлов, а также информации о компонентах, используемых различными приложениями.
    • HKEY_CURRENT_USER. Этот ключ содержит информацию об учетной записи пользователя, в данный момент «залогиненного» в Windows.
    • HKEY_LOCAL_MACHINE. Содержит информацию о настройках аппаратного и программного обеспечения, которая влияет на всех пользователей компьютера.
    • HKEY_USERS. Содержит информацию о каждом профиле пользователя, используемом на ПК. Когда пользователь вводит своё имя при запуске Windows, система сразу же выбирает конфигурацию, связанную с этим пользователем (внешний вид рабочего стола, настройки различных приложений и т.д.).
    • HKEY_CURRENT_CONFIG. Управляет информацией, связанной с подключенными аппаратными устройствами.

    Очистка реестра

    Многие сторонние программы в числе прочих функций предлагают произвести очистку реестра, что по описанию должно привести к ускорению работы компьютера. Я уже писал статью на эту тему и не рекомендую выполнять подобную очистку. Статья: Программы для очистки реестра — стоит ли их использовать.

    Отмечу, что речь идет не об удалении записей вредоносных программ в реестре, а именно о «профилактической» очистке, которая по факту не приводит к повышению производительности, но может привести к сбоям в работе системы.

    Рейтинг
    ( 2 оценки, среднее 4.5 из 5 )
    Понравилась статья? Поделиться с друзьями: