Системный реестр. Реестр Windows, что это? Восстановление всего реестра

Доброго времени суток, дорогие читатели. В сегодняшней статье речь пойдет о такой штуке как реестр Windows .

Для большинства пользователей, реестр ассоциируется с чем-то совершенно неизвестным, носит какой-то прямо таки мифический характер и вызывает чуть ли не трепет.

Надо сказать, что всё это не зря, ибо шутить с реестром достаточно опасно и даже маленькое неверное движение приводит зачастую к самым тяжким последствиям. Однако при корректном обращении он становится незаменимым инструментом по настройке Windows .

Нижеописанные советы прояснят некоторые вещи для Вас и проложат некий путь, идя по которому Вы научитесь основам обращения с реестром, чтобы, при необходимости, Вы смогли без особой боязни вносить изменения в его параметры.

Реестр Windows - вводная и термины

Можно сказать, что системный реестр Windows представляет собой базу данных, в которой хранятся различные значения параметров ОС (операционной системы) и установленных Вами приложений.

Преимуществом использования реестра является возможность изменять такие параметры, к которым Вы не доберётесь с помощью окон Windows .

Однако, с другой стороны, изменение этих опций не подкреплено подсказками, визуальным оформлением и всякими предостережениями от неправильных действий, которые зачастую даются при использовании панели управления или других опций системы\программ.

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

Таким образом, работа с ними представляет собой, так сказать, ходьбу по минному полю для неосведомлённых пользователей и, особенно в силу отсутствия визуальной наглядности, многие даже близко не подходят к этому инструменту.

Что делает реестр Windows?

Вообще механизм его работы достаточно прост. При установке программы (или изменении какого-либо параметра Windows в любом из меню настроек) система сама разыскивает нужные параметры и вносит коррективы в одно из значений реестра.

Например, сие происходит при удалении приложений с помощью инструмента «Установка и удаление программ » («Панель управления »).

Кстати, когда Вы по безалаберности удаляете папку с установленной программой посредством простого нажатия Удалить в Мой компьютер , а не через соответствующие инструменты в системе, пункты реестра, отвечающие (а именно содержащие настройки программы, информацию о расположении и тд и тп) за эту программу, не исчезают, а остаются в системе и таким образом захламляют её.

Вот почему так важно грамотно удалять приложения, своевременно очищать и ухаживать за системой, о чем я неоднократно писал в своих статьях - " " или, скажем, " ".

Как выглядит реестр? Это некая таблица, содержащая в себе все записи реестра, которая хранится на жёстком диске в виде нескольких файлов, но заныкана она так, что единственный путь работы с ней – использование встроенных инструментов Windows или сторонних программ.

regedit - смотрим на реестр Windows своими глазами

Чтобы войти в Windows -средство для правки реестра откройте , затем в появившемся окне напишите и нажмите Enter .

Перед Вам появится штука (она и есть встроенный Windows -редактор реестра), в которой Вы сможете посмотреть, что же представляет собой сие чудо, о котором я веду речь в этой статье.

Хранящиеся значения разделены на категории и размещены в папках, наподобие тех, которые Вы так привыкли видеть в "Мой компьютер ". Чтобы раскрыть папку нажмите по ней пару раз мышкой или воспользуйтесь небольшим плюсиком рядом с её названием.

Папки раздела называются ключами, а содержимое папок, которое отобразится справа, – значениями.

Зачем может быть нужен реестр Windows

Перед тем, как начать мучить и ковырять систему, предупреждаю: информация, сохранённая в реестре, очень важна для корректной работы Windows , её изменение или удаление может привести к сбою в работе компьютера.

Также стоит отметить, что изменения вступают в силу тогда, когда вы их сделали. Реестр Windows – это не документ Word , в котором вы подтверждаете или отменяете внесение поправок в настройки, поэтому ни в коем случае не изменяйте неизвестные вам параметры.

Самый лёгкий способ обезопасить систему – перед совершением каких либо действий, создать точку восстановления (об этом читайте ниже), которая автоматически сделает копию реестра и к ней Вы, скорее всего (но не всегда), сможете вернуться в случае возникновения проблем.

Иногда стоит записывать внесённые изменения на бумагу, что значительно упростит поиск неисправности, если что-либо пойдёт не так, как планировалось (в голове все не удержишь).

Насколько важен реестр Windows , можно судить по тому, что система самостоятельно создаёт резервные копии всех его значений при каждой загрузке, а поэтому в системе есть такой вариант, как «Загрузка последней удачной конфигурации » (обитает там же где и безопасный режим, а именно при нажатии перед загрузочным экраном (там ползет полосочка)).

Чем и как редактировать реестр

Существует множество программ, предоставляющих большой набор функций для работы с реестром, однако при выборе таких средств надо быть внимательными, поскольку непрофессиональные реализации программ могут негативно сказаться на работе системы.

Поэтому, стоит использовать лишь проверенные приложения или инструменты системы. Я предпочитаю встроенный в Windows инструмент речь о котором уже шла чуть выше (и будет идти чуть ниже:)).

Вообще управлять реестром не так сложно как кажется, прежде всего Вы должны знать какие из значений изменять и на что их изменять. А там уж дело техники.

Главное окно управления программы практически не отличается по внешнему виду от привычного пользователю Windows проводника.

Кроме этого, она, как и , обладает меню «Избранное », которое можно использовать для быстрого доступа к параметрам различных ключей.

Для этого выделите нужное значение, нажмите Избранное - Добавить в избранное , введите название и нажмите кнопку «ОК ». Эта функция очень пригодится, если вам нужно регулярно вносить изменения в одну или несколько опций.

За что отвечают категории реестра и что можно в нём делать

Каждая из пяти основных категорий отвечает за хранение своего набора параметров. Например, HKCU – она же HKEY_CURRENT_USER – содержит в себе ключи, управляющие настройками конкретного пользователя, а HKEY_LOCAL_MACHINE – операционной системы в целом.

Я приведу несколько простейших примеров по работе с реестром дабы Вам были понятны основы:

Очищаем историю

• Несмотря на то, что список сайтов, которые Вы посетили c помощью Internet Explorer можно удалить вручную, они все таки всплывут, когда Вы будете вводить в адресную строку схожие варианты;
• Избавиться от этой истории можно с помощью сторонних программ или по средством правки реестра. Открываем и проходим по пути «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs »;
• Зайдя туда, в правой части редактора Вы увидите список адресов, которые Вы можете удалить путём выделения и нажатия на кнопку "Удалить " (предварительно тыкнув правой кнопкой мышки на том, что мы хотим удалить).

Ну или например.

Блокируем диспетчер задач

С помощью реестра можно разблокировать или заблокировать диспетчер задач:

• Откройте и перейдите к «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ »;
• Если в левой части, ниже «Policies », Вы не обнаружите директорию «System » щелкните правой кнопкой мыши по «Policies » и выберите пункт «Создать », а потом «Раздел »;
• Чуть ниже появится новая папка, которую вам надо переименовать в «System »;
• Далее, в окне с параметрами (это справа), тыкните правой кнопкой мышки, выберите Создать -> Параметр DWORD и задайте ему имя DisableTaskMgr ;
• Тыкните по нему правой кнопкой мыши и выберите пункт «Изменить »;
• В строке ввода значения поставьте 1 для выключения (или 0 для включения) диспетчера задач, а затем установите переключатель «Система исчисления » на «Десятичная »;
• После этого, при попытке вызова диспетчера задач будет появляться « » (или наоборот это сообщение исчезнет, если он был заблокирован).

Осторожность при применении

Хотелось бы ещё раз предостеречь вас от изменений неизвестных значений. Каждый раз, погружаясь в настройки, создавайте контрольные точки для восстановления, а также производите резервное копирование важных файлов. Это защитит Вас от случайных сбоев и потери информации.

Дабы создать точку восстановления, нажмите "Пуск - Выполнить - msconfig - Восстановление системы ". В открывшемся окне вам необходимо выбрать «Создать точку восстановления », после чего, следуя подсказкам, Вы без проблем сохраните нынешнее состояние ОС. Восстановить прежнее состояние можно также с помощью этого меню, воспользовавшись соседним пунктом.

Дабы сделать резервную копию ветки реестра\реестра целиком, запустите , выделите нужный раздел\ветку\папку, нажмите "Файл - Экспорт ", а затем выберите куда сохранить файл .reg .

Дабы потом воспользоваться этой резервной копией либо нажмите Файл - Импорт , либо просто надавите мышкой на файл и подтвердите кнопочкой "Да " добавление данных в реестр Windows .

Если Вы сохраняете какую-то ветку, то она сохраняется (и импортируется, соответственно, тоже) с подпапками и со всеми значениями в ней.

Послесловие

Вот такие пироги. Кстати говоря, на просторах всемирной паутины есть очень много веб-сайтов, которые повествуют о различных параметрах и изменениях в реестре. Будьте внимательны, не стоит использовать первый попавшийся совет, не зная результата.

Опять же я не могу не упомянуть о

Реестр представляет из себя важнейший компонент операционных систем семейства Windows. Он достаточно сложен для понимания обычному пользователю. Что же представляет из себя реестр Windows? Реестр — это централизованная база данных, хранящая все настройки операционный системы и работающих в ней приложений. Реестр содержит информацию обо всех аппаратных устройствах, сведения о расширениях имен файлов, всех системных компонентов и работающих в системе приложениях, сетевые параметры, информацию безопасности и т.д.

Таким образом, если на компьютере под управлением Windows имеется программный или аппаратный компонент, влияющий на его работы, то вся информация об этом компоненте хранится в реестре Windows. На схеме ниже показана упрощенная модель, демонстрирующая системные компоненты и их взаимодействие с реестром.

Рассмотрим более подробно, каким образом компоненты Windows 7 взаимодействуют с системным реестром:

1. Программа Windows Setup (программа установки) — при первом запуске собирает информацию о системе и создает реестр на основе полученных данных. При установке драйверов или приложений, программа-установщик читает из реестра информацию и добавляют туда свои конфигурационные данные. Наличие реестра позволяет всем программа получать доступ к централизованной базе данных и взаимодействовать друг с другом. Помимо этого, хранимая в реестре информация позволяет корректно удалить приложение, при этом не затрагивая такие важные компоненты как, например, библиотеки DLL.
2. Среда восстановления Windows (WinRE) — набор средств, предназначенных для диагностики поврежденной системы и восстановления ее после серьезных ошибок. WinRE активно работает с реестром, и одна из выполняемых задач — это восстановление поврежденного реестра.
3. Менеджер загрузки Windows (Windows Boot Manager) — Диспетчер загрузки получает доступ к базе данных BCD (Boot Configuration Data), которая хранится в реестре. После чтения конфигурационных данных менеджер загрузки передает управление Загрузчику Windows — файлу winload.exe, который, в первую очередь, читает необходимые данные из реестра, а затем загружает в память ядро операционной системы (%system32%\ntoskrnl.exe) и уровень аппаратных абстракций (%system%\hall.dll), а также все драйверы начальной загрузки и DLL режима ядра. Вот почему в случае отсутствия или повреждения файлов реестр операционная система просто не загрузится.
4. Диспетчер PnP — отвечает за обнаружение устройство по двум параметрам: идентификатору поставщика (vendor ID, VID) и идентификатору устройства (device ID, DID). Когда диспетчер PnP определяет уникальную комбинацию VID и DID, он запрашивает информацию о шине, на которой обнаружено устройство и проверяет установлен ли драйвер для этого устройства. В случае, если драйвер не установлен подсистема PnP должна найти подходящий INF-файл для инсталяции драйвера и начать его установку.
5. Диспетчер питания (Power Manager) — тесно взаимодействует с диспетчером PnP, приложениями, поддерживает разнообразные схемы управления электропитанием и управляется групповыми политиками, а вся эта информация хранится в реестре.
6. Драйверы устройств — обмениваются с реестром параметрами загрузки и конфигурационными данными. Драйвер должен сообщить об используемых им системных ресурсах. Сами приложения и драйверы устройств могут считывать эту информацию из реестра, предоставляя пользователям удобные средства для установки и конфигурирования.
7. Административные средства — административные средства Windows, в том числе утилиты из Панели управления и программы из группы Администрирование представляет собой наиболее удобные и безопасные средства модификации реестра.
8. Пользовательские профили (user profiles) — вся информация, относящаяся к конкретной учетной записи пользователя и ассоциированными с ней правами, хранится в реестре. Групповые политики также хранятся в реестре.
9. Аппаратные профили (hardware profiles) — представляет собой набор инструкций, с помощью которых можно указать операционной системе, драйверы каких устройств должны загружаться при запуске компьютера.
10. Файловые системы — начиная с Windows Vista как файловые системы, так и реестр основаны на транзакциях. На практике это означает, что если набор операций над файлами и реестром помечен как транзакция, то в случае неудачи хоть одной из этих операций всю транзакцию можно «откатить» в исходное положение.
11. Подсистема безопасности Windows 7 — подсистема безопасности со всеми ее функциональными возможностями, включая контроль учетных записей (User Account Control, UAC), также реализована на базе реестра и используется для его же защиты. Принцип действия UAC заключается в ограничении привилегий, предоставляемых запускаемым приложениям, уровнем привилегий обычного пользователя. Иными словами, даже если пользователь, запускающий приложение, и обладает административными правами, запускаемые им приложения таких привилегий не имеют, если только пользователь явно не запускает их от имени администратора. Таким образом, с повышенным уровнем привилегий запускаются лишь приложения, которым пользователь доверяет.
12. Сетевые компоненты Windows — включают драйверы сетевых адаптеров, параметры настройки сетевых протоколов и сервисов, а также параметры сетевой безопасности и средства защиты сети от атак. Все это также хранится в реестре. Например, база данных Брандмауэра Windows (Windows Firewall) находится в реестре. Многие брандмауэры сторонних производителей также создают в реестре свои ключи, и, следовательно, успешная атака на реестр открывает путь к вторжению извне.

Файловая система на жестком диске имеет много чего общего с логической структурой реестра. Реестр содержит ключи (keys) и параметры (values), которые соответствуют каталогам и файлам на жестком диске. Ключи реестра могут содержать в себе вложенные ключи (подкаталоги). Параметры реестра (также как и файлы) хранят данные. Ключи, находящиеся на самом верхнем уровне иерархии, называются корневыми ключами (root keys). Схема именования ключей и параметров реестра похожа на пути в файловой системе. Типичный путь к вложенному ключу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet. Реестр Windows 7 содержит пять корневых ключей: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.

Чтобы зайти в реестр Windows 7 , нажмите сочетание клавиш win + R (появится окно «Выполнить»), после чего введите и нажмите Enter .

Появиться окно редактора реестра.

Все имена корневых ключей начинаются со строки HKEY_, что указывает разработчикам программного обеспечения на то, что это дескриптор, который может использоваться программой.

Дескриптор (handle) — это значение, применяемое для уникального описания ресурса, к которому программа может получить доступ.

Описание корневых ключей показано в таблице ниже.

Имя корневого ключа	Описание
HKEY_LOCAL_MACHINE	Содержит глобальную информацию об аппаратных средствах и операционной системе, в том числе: тип шины, системная память, драйверы устройств и управляющие данные, используемые при запуске системы. Информация, содержащаяся в составе этого ключа, действует применительно ко всем пользователям, регистрирующимся в системе. На верхнем уровне иерархии реестра для этого ключа имеются три псевдонима: HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG и HKEY_DYN_DATA.
HKEY_CLASSES_ROOT	Содержит ассоциации между приложениями и типами файлов (по расширению имени файла). Кроме того, этот ключ хранит информацию OLE , ассоциированную с объектами COM, а также данные по ассоциациям файлов и классов.
HKEY_CURRENT_CONFIG	Содержит конфигурационные данные для текущего аппаратного профиля. Аппаратные профили (Hardware profiles) представляют собой наборы изменений, внесенных в стандартную конфигурацию сервисов и устройств, установленную данными ключей Software и System коревого ключа HKEY_LOCAL_MACHINE. В ключе HKEY_CURRENT_CONFIG отображаются только изменения.
HKEY_CURRENT_USER	Содержит профиль пользователя, в данный момент зарегистрированного в системе, включая переменные окружения, настройку рабочего стола, параметры настройки сети, принтеров и приложений. Этот ключи представляет собой ссылку на ключ HKEY_USERS\user_SID, где user_SID — идентификатор безопасности (Security ID) пользователя, зарегистрированного в системе на текущий момент.
HKEY_USERS	Содержит все активно загруженные пользовательские профили, включая HKEY_CURRENT_USER, а также пользовательский профиль по умолчанию (.DEFAULT). Пользователи, получающие удаленный доступ к серверу, не имеют профилей, содержащихся под этим ключом, — их профили загружаются в реестры на собственных компьютерах.

Данные реестра поддерживаются в виде параметров, расположенных под ключами реестра. Каждый параметр характеризуется именем, типом данных и собственно значением. Три части параметра реестра всегда располагаются в порядке, показанной на рисунке ниже:

В таблице ниже перечислены основные типы данных, определенные и используемые в Windows 7.

Имя корневого ключа	Описание
REG_BINARY	Двоичные данные. Большинство аппаратных компонентов используют информацию, которая хранится в виде двоичных данных. Редакторы реестра отображают эту информацию в шестнадцатеричном виде.
REG_DWORD	Данные представлены в виде значения, длина которого составляет 4 байта. Этот тип данных используют многие параметры драйверов устройств и сервисов. Редакторы реестра могут отображать такие данные в двоичном, шестнадцатиричном и десятичном формате.
REG_EXPAND_SZ	Расширяемая строка данных, представляет из себя текст, содержащий переменную, которая может быть заменена при вызове со стороны приложения.
REG_MULTI_SZ	Многострочное поле. Значения, которые фактически представляют собой списки текстовых строк, обычно имеют этот тип данных.
REG_SZ	Текстовая строка в формате, удобном для восприятия человеком. Данный тип присваивается значениям, представляющим собой описания компонентов.
REG_DWORD_	32-разрядное число, представляет из себя эквивалент REG_DWORD. Самый младший байт хранится в памяти первым в числе.
REG_DWORD_	32-разрядное число, представляет из себя эквивалент REG_DWORD. Самый старший байт хранится в памяти первым в числе.
REG_LINK	Символическая ссылка UNICODE. Этот тип данных предназначен для внутреннего использования. Типа данных REG_LINK позволяет одному элементу реестра ссылаться на другой ключ или параметр.
REG_NONE	Не имеет определенного типа данных.
REG_QWORD	64-разрядное значение
REG_QWORD_ LITTLE_ENDIAN	64-разрядное число, представляет из себя эквивалент REG_QWORD. Самый младший байт хранится в памяти первым в числе.
REG_QWORD_ BIG_ENDIAN	64-разрядное число, представляет из себя эквивалент REG_QWORD. Самый старший байт хранится в памяти первым в числе.
REG_RESOURCE_LIST	Список аппаратных ресурсов, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE
REG_FULL_RESOURCE_	Дескриптор (описатель) аппаратного ресурса, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE
REG__RESOURCE_	Список необходимых аппаратных ресурсов, применяется в ветви HKEY_LOCAL_MACHINE\HARDWARE

Реестр подразделяется на составные части, которые разработчики назвали ульями (hives), по аналогии с ячеистой структурой пчелиного улья. Улей представляет собой дискретную структуру ключей, вложенных ключей и параметров, берущую начало в вершине иерархии реестра. Отличие ульев от других групп ключей состоит в том, то они являются постоянными компонентами реестра. Ульи не создаются динамически при запуске системы и не удаляются при ее остановке.

Данные ульев реестра, определяющие общесистемные параметры конфигурации, хранятся в файлах, которые размещаются в каталогах %SystemDrive%\Boot\BCD и %SystemRoot%\System32\Config. Ульи реестра, задающие пользовательскую конфигурационную информацию хранятся в %SystemRoot%\Users\Username.

___________________________

Очень часто начинающего пользователя ПК ставит в затруднение ситуация, когда бывалые специалисты в компьютерной технике просят внести изменения в реестр, дабы решить возникшую проблему с операционной системой.

Да, есть уже готовые Reg -файлы (файлы с расширением имя.reg), которые служат для экспорта и импорта данных реестра путем простого двойного щелчка мышью по нему. По умолчанию для файлов с расширением.reg установлена команда внесения их содержимого в реестр. Выполнены они в текстовом формате. Их можно просматривать и редактировать в блокноте или другом текстовом редакторе.

Но бывают же ситуации когда такого готового файла нет или есть необходимость посмотреть некоторые параметры реестра. Вот тогда и возникает куча малая вопросов:

Что такое реестр?

Где его искать?

Как в него войти?

и в конце-концов

Давайте попробуй вместе разобраться в этих вопросах.

Сразу – это не подробная характеристика реестра с подробным описанием каждого параметра. Для этого существуют целые талмуды, как в печатном виде, так и в электронном.

Что такое реестр?

Реестр, или системный реестр – это база данных для хранения сведений о конфигурации компьютера и настроек операционной системы.

Реестр содержит данные, к которым Windows XP постоянно обращается во время загрузки, работы и ее завершения, а именно:

• профили всех пользователей, то есть их настройки;
• конфигурация оборудования, установленного в операционной системе;
• данные об установленных программах и типах документов, создаваемых каждой программой;
• свойства папок и значков программ;
• данные об используемых портах.

Реестр имеет иерархическую древовидную структуру, состоящую из разделов, подразделов и ключей (параметров).

Как в него войти?

Для работы с реестром используется простая и понятная утилита Regedit, знакомая еще со времен Windows 3.1.

Что бы открыть системный реестр вам необходимо проделать следующее: нажать Пуск –> выбрать Выполнить… –> в поле Открыть… введите regedit –> нажмите ОК .

Откроется окно утилиты Regedit с наименованием разделов.

Разделы и подразделы – это, грубо говоря, папки в левом окне Regedit’а. Ключ реестра, или параметр – это некая переменная, которой присвоено определенное значение, проще говоря – это то, что мы видим в правом окне Regedit’а.

Куст (основной раздел, стандартный раздел, в английской документации – улей, от англ. hive) – это раздел реестра, отображаемый как файл на жестком диске.

Куст является набором разделов, подчиненных разделов и параметров и имеет корни на верхнем уровне иерархии реестра. По умолчанию большинство файлов кустов (Default, SAM, Security и System) сохраняются в папке %SystemRoot%\System32\Config (например, C:\Windows\System32\Config\). Папка %SystemRoot%\Profiles содержит профили (настройки) для каждого пользователя компьютера. Поскольку куст представляет собой файл, его можно перемещать из одной системы в другую. Для редактирования этого файла необходимо использовать редактор реестра.

Реестр Windows XP состоит из 5 основных разделов:

HKEY_CLASSES_ROOT

Является подразделом HKEY_LOCAL_MACHINE\Software\Classes. В этой ветви содержатся сведения о расширениях всех зарегистрированных в системе типов файлов (хранящиеся здесь сведения отвечают за запуск необходимой программы при открытии файла с помощью Проводника Windows)

HKEY_CURRENT_USER

Данный раздел содержит настройки текущего активного пользователя, вошедшего в систему. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Хотя это раздел выглядит как один из основных в редакторе реестра, он является всего лишь ссылкой на один из профилей HKEY_USERS\.

HKEY_LOCAL_MACHINE

Раздел содержит настройки, относящиеся к вашему компьютеру и действительные для всех пользователей, а также информацию об аппаратной конфигурации и установленном программном обеспечении.

HKEY_USERS

Данный раздел содержит все активные загруженные профили пользователей компьютера содержит настройки для всех пользователей компьютера.

HKEY_CURRENT_CONFIG

Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.

Часто для обозначения основных разделов реестра пользуются сокращениями:

HKEY_CLASSES_ROOT – HKCR
HKEY_CURRENT_USER – HKCU
HKEY_LOCAL_MACHINE – HKLM
HKEY_USERS – HKU
HKEY_CURRENT_CONFIG – HKCC

Как изменить нужный параметр?

Нам необходимо проверить значение параметра Shell подраздела Winlogon раздела HKEY_LOCAL_MACHINE .

Параметр Shell в реестре размещен по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Рассмотрим как это необходимо сделать. Проделайте это вместе со мной и вы на практике убедитесь что в этом нет ничего сложного.

Внимание! Перед внесением изменений в реестр целесообразно делать резервную копию всего реестра или той ветки, в которую собираетесь вносить изменения. Для этого в редакторе реестра выполните: Файл –> Экспорт… –> дать имя файлу –> Сохранить. В случаи чего вы всегда сможете восстановить предыдущие параметры реестра, через Файл –> Импорт… Или запустив на исполнение сохраненный вами файл.

Запускаем редактор реестра: Пуск –> выбрать Выполнить… –> в поле Открыть… вводим regedit –> нажимаем ОК .

В редакторе реестра вначале нажимаем на плюсик (или два раза кликаем по папке) возле раздела HKEY_LOCAL_MACHINE , затем на папке SOFTWARE , дальше Microsoft , и так далее, пока не доберемся до нужного нам подраздела Winlogon .

Кликаем на подразделе Winlogon и в правой части окна редактора реестра ищем параметр Shell . Правая часть редактора реестра разделена на три колонки: Имя, Тип, Значение. Вот как раз мы и добрались к тому значению, которое нам необходимо проверить.

В нашем конкретном примере значение параметра Shell должно быть Explorer.exe

Если оно отличается от нужного нам, то вносим изменения. Для этого два раза кликаем левой клавишей мыши по имени Shell (или один раз правой клавишей мыши и из контекстного меню выбираем Изменить ). Откроется окно Изменение строкового параметра , где в строке Значение вносим необходимые нам изменения и нажимаем ОК.

Закрываем редактор реестра.

Вот и все, мы проверили параметр реестра и при необходимости внесли в него изменение.

P.S. Очень часто, для вступления в силу изменений необходимо перезагрузить компьютер. Не забывайте об этом.

Итак, сегодня разговор пойдёт о теме, казалось бы, не очень важной, но, по сути, очень нужной каждому пользователю Windows (а таких подавляющее большинство) – о том, что такое реестр, из чего состоит, зачем он нужен и как его сохранить в своих закромах. Итак, что же такое вообще реестр? Если говорить по сути – это огромная, иерархически построенная база данных, работающая от запросов пользователя. Эта база данных нужна для систематизации данных о системе, а также оптимизации доступа к ним. Реестр содержит множество разноплановой информации как об обычных настройках операционной системы, так и об различных тонких настройках – в том числе, настройках безопасности и работы с низкоуровневыми программами, а также драйверами.

Реестр не является какой-то внешней программой, он – часть операционной системы. Ntdetect ищет при загрузке системы именно файлы реестра и подгружает оттуда параметры этой самой загрузки. знание ключей реестра и знание их значимости необходимо для эффективно управления системой. А также хотя бы для элементарной диагностики «почему это работает не так». Реестр является древовидной системой каталогов значений/ключей. Которые отвечают за определенные настройки. Причем следует учитывать, что разные ключи могут иметь различный тип – от логического до строкового.

Показательная анатомия.

Итак, стоит рассказать, из чего физически состоит реестр и как он работает. Сразу стоит оговориться. Что в том виде, в каком реестр представляется пользователю он нигде не хранится и для его редактирования необходимы специальные программы – редакторы реестра. Стандартные regedit.exe и regedit32.exe вполне подойдут. В процессе настройки и установки системы формируется некоторая часть данных реестра, а также в процессе работы системы – другая. В результате при загрузке системы формируется виртуальный объект REGISTRY\, который и является реестром. Для редактирования, просмотра и изучения реестра стандартными средствами Windows (программы regedit.exe и regedt32.exe) доступны именно ветки реестра. После редактирования реестра и/или внесения в него изменений эти изменения сразу записываются в файлы, являющиеся составными частями реестра. Таковыми являются, в Windows 95 и Windows 98 user.dat и system.dat; в Windows ME - user.dat, classes.dat и system.dat. В более поздних версиях системы появилось куда большое количество необходимых файлов.

О недостатках и как на этих недостатках зарабатывают мошенники.

На самом деле система достаточно сложна, однако достаточно надежна. Из-за чрезмерной сложности возникают сложности с фрагментацией реестра, следовательно – со скоростью его работы. Также реестр имеет свойство чрезмерно «толстеть» в результате накопления данных за долгое время работы, что также осложняет его функционирование. Эта проблема решается с помощью специальных программ по оптимизации и чистке реестра. Самостоятельно занимаясь этим вопросом следует помнить, что не стоит удалять что-то из реестра, если не знаешь о его назначении – так можно серьезно повредить систему, а то и вообще вывести ее из строя. Кроме того на этих проблемах стараются неслабо навариться мошенники – сеть полна предложениями «скачать программу по оптимизации реестра, после установки которой компьютер будет работать быстрее на 30%». Обычно за таким предложением следует форма по отправке СМС, которое подтверждает предыдущие подозрения. Не стоит обращать внимания на подобные вещи, а тем более верить им – тогда не потеряете ни денег, ни нервов.

Основные ветки реестра, их значение и назначение.

HKEY_CLASSES_ROOT - это ссылка на раздел HKEY_LOCAL_MACHINE\ Software\Classes. Хранящиеся здесь сведения обеспечивают запуск необходимой программы при открытии файла с помощью проводника. Этот раздел содержит связи между приложениями и типами файлов, а также информацию об OLE.

HKEY_USERS - этот раздел содержит настройки для всех пользователей компьютера.

HKEY_CURRENT_USER – данная ветка является ссылкой на конкретный внутренний подраздел HKEY_USERS. Все настройки выставляются в соответсвии с тем, какой из пользователей находится в данный момент в системе (т.е. какая сессия активна).

HKEY_LOCAL_MACHINE – содержит практически настройки и параметры, принадлежащие данному компьютеру, в том числе аппаратные настройки, конфигурация аппаратного обеспечения и профилей пользователей.

HKEY_CURRENT_CONFIG – по сути, всего лишь ссылка на HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\ Hardware Profiles\Current. Там находятся все входящие настройки аппаратной части, необходимой для запуска системы.

Написанные выше основные стандартные разделы нельзя удалить или переименовать. Некоторые разделы реестра являются энергозависимыми (volatile) и не хранятся в каком-либо файле. ОС создает и управляет этими разделами полностью в оперативной памяти, не сохраняя их на жёсткий диск, поэтому они являются временными по своей природе. Система создает энергозависимые разделы каждый раз при начальной загрузке. Например, HKEY_LOCAL_MACHINE \HARDWARE - раздел реестра, который хранит информацию по аппаратным устройствам и назначенным для них ресурсам. Назначение ресурса и аппаратное обнаружение происходят каждый раз при загрузке системы, поэтому логично и естественно, что этим данным не требуется постоянное хранение на жёстком диске.

Как сохранить «уже нажитое».

Иногда бывает полезно сделать бэкап (резервную копию) системного реестра – из-за опасений его повреждения. Это может произойти в результате неудачных экспериментов с реестром, неправильной установки драйверов и еще многих десятков причин. Да и иметь ее «на всякий случай» тоже не помешает. Для того, чтобы не делать это всякий раз вручную, можно использовать одну из многих программ-автобекаперов, например, Comodo Backup.

    Реестр (системный реестр) - это иерархическая база данных, содержащая записи, определяющие параметры и настройки операционных систем Microsoft Windows. Реестр в том виде, как он выглядит при просмотре редактором реестра, формируется из данных, источниками которых являются файлы реестра и информация об оборудовании, собранная в процессе загрузки. В описании файлов реестра на английском языке используется термин "Hive". В некоторых работах его переводят на русский как "Улей". Microsoft в своих документах переводит это как "Куст". Файлы реестра создаются в процессе установки операционной системы и хранятся в папке %SystemRoot%\system32\config (обычно C:\windows\system32\config). Для операционных систем Windows 2000/XP это файлы с именами
default
sam
security
software
system
.В процессе загрузки система получает монопольный доступ к данным файлам и, поэтому, стандартными средствами работы с файлами вы ничего с ними сделать не сможете (открыть для просмотра, скопировать, удалить, переименовать). Для работы с содержимым системного реестра используется специальное программное обеспечение - редакторы реестра (REGEDIT.EXE, REGEDT32.EXE), являющиеся стандартными компонентами операционной системы. Для запуска реестра используется "Пуск" "Выполнить" - regedit.exe

    В левой половине окна вы видите список корневых разделов (root keys) реестра. Каждый корневой раздел может включать в себя вложенные разделы (subkeys) и параметры (value entries).
Коротко о назначении корневых разделов:
HKEY_CLASSES_ROOT (сокращенное обозначение HKCR ) - Ассоциации между приложениями и расширениями файлов и информацию о зарегистрированных объектах COM и ActiveX.
HKEY_CURRENT_USER (HKCU) - Настройки для текущего пользователя (рабочий стол, настройки сети, приложения). Этот раздел представляет собой ссылку на раздел HKEY_USERS\Идентификатор пользователя (SID) в виде S-1-5-21-854245398-1035525444-...
SID - уникальный номер, идентифицирующий учетную запись пользователя, группы или компьютера. Он присваивается учетной записи при ее создании. Внутренние процессы Windows обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп. Если удалить, а затем снова создать учетную запись с тем же именем пользователя, то предоставленные прежней учетной записи права и разрешения не сохранятся для новой учетной записи, так как их коды безопасности будут разными. Аббревиатура SID образована от Security ID. Для просмотра соответствия SID и имени пользователя можно воспользоваться утилитой PsGetSID.exe из пакета
HKEY_LOCAL_MACHINE (HKLM) - Глобальные аппаратные и программные настройки системы. Применимы ко всем пользователям. Это самая большая и самая важная часть реестра. Здесь сосредоточены основные параметры системы, оборудования, программного обеспечения.
HKEY_USERS(HKU) - индивидуальные настройки среды для каждого пользователя системы (пользовательские профили) и профиль по умолчанию для вновь создаваемых пользователей.
HKEY_CURRENT_CONFIG (HKCC) - конфигурация для текущего аппаратного профиля. Обычно профиль один единственный, но имеется возможность создания нескольких с использованием "Панель управления" - "Система" - "Оборудование"- "Профили оборудования". На самом деле HKCC не является полноценным разделом реестра, а всего лишь ссылкой на раздел из HKLM
HKLM\System\ CurrentControlSet\CurrentControlSet\Hardware Profiles\Current

    Возможности конкретного пользователя при редактировании данных реестра определяются его правами в системе. Далее по тексту, предполагается, если это не оговорено особо, что пользователь имеет права администратора системы.
    Вообще-то, в корневом разделе HKLM есть еще 2 подраздела с именами SAM и SECURITY, но доступ к ним разрешен только под локальной системной учетной записью (Local System Account), под которой обычно выполняются системные службы (system services). Т.е для доступа к ним нужно, чтобы редактор реестра был запущен с правами Local System, для чего можно воспользоваться
psexec.exe -i -s regedit.exe
Подробное описание утилиты - на странице "Утилиты PSTools"

    В процессе загрузки и функционирования операционной системы выполняется постоянное обращение к данным реестра как для чтения, так и для записи. Даже один неверный параметр в реестре может привести к краху системы, как и нарушение целостности отдельных файлов. Поэтому, прежде чем экспериментировать с реестром, позаботьтесь о возможности его сохранения и восстановления.

Сохранение и восстановление реестра

1. Использование точек восстановления (Restore Points)

    В Windows XP , существует механизм,с помощью которого, при возникновении проблем, можно восстановить предыдущее состояние компьютера без потери личных файлов (документы Microsoft Word, перечень просмотренных страниц, рисунки, избранные файлы и сообщения электронной почты). Точки восстановления (Restore Points) создаются системой автоматически во время простоя компьютера, а также во время существенных системных событий (таких, как установка приложения или драйвера). Пользователь также имеет возможность в любое время создавать их принудительно. Эти точки восстановления позволяют вернуть систему к состоянию на момент их создания.
    Для работы с точками восстановления используется приложение \windows\system32\restore\rstrui.exe (Пуск - Программы - Стандартные - Служебные - Восстановление системы ).

    Данные контрольных точек восстановления хранятся в каталоге System Volume Information системного диска. Это скрытый системный каталог, доступ к которому разрешен только локальной системной учетной записи (Local System, т.е. "Службе восстановления системы"). Поэтому, если вы хотите получить доступ к его содержимому, вам придется добавить права вашей учетной записи с использованием вкладки "Безопасность" в свойствах каталога "System Volume Information". В папке System Volume Information есть подкаталог с именем, начинающемся с _restore... и внутри него - подкаталоги RP0, RP1... : - это и есть данные контрольных точек восстановления (Restore Point - RPx). Внутри папки RPx имеется каталог snapshot , содержащий копии файлов реестра на момент создания контрольной точки. При выполнении операции восстановления системы восстанавливаются основные системные файлы и файлы реестра. Механизм довольно эффективный, но воспользоваться им можно только в среде самой Windows. Если же система повреждена настолько, что загрузка невозможна, выход из ситуации все равно есть. Как - читайте в статье "Проблемы с загрузкой ОС" раздел

2. Использование утилиты резервного копирования/восстановления NTBACKUP.EXE

    В Windows 2000 механизма точек восстановления нет. Однако, как и в Windows XP, имеется утилита архивации, а точнее - резервного копирования и восстановления NTBACKUP.EXE , позволяющая выполнить практически то же, что делается при создании точек восстановления (и даже намного больше). NTBACKUP позволяет создать архив состояния системы из 2-х частей, - загрузочной дискеты, позволяющей выполнить восстановление даже на незагружающейся системе и собственно архив данных для восстановления (в виде обычного файла с расширением.bkf, сохраняемого на жестком диске или съемном носителе). Для получения копии состояния системы жмем "Пуск" - "Выполнить"- ntbackup.exe

Запускаем , и указываем ему, что нужно архивировать состояние системы.

И где хранить данные архива

    После завершения работы мастера будет создан архив состояния системы (D:\ntbackup.bkf) С помощью "Мастера восстановления" вы можете всегда вернуть состояние системы на момент создания архива.

3. Использование утилиты для работы с реестром из командной строки REG.EXE

    В Windows 2000 утилита REG.EXE входит в состав пакета Support tools (можно также использовать REG.EXE из комплекта Windows XP - просто скопируйте ее в каталог \winnt\system32). Запускается из командной строки. При запуске без параметров выдает краткую справку по использованию:

Программа редактирования системного реестра из командной строки, версия 3.0
(C) Корпорация Майкрософт, 1981-2001. Все права защищены

REG Операция [Список параметров]

Операция == [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

Код возврата: (за исключением REG COMPARE)
0 - Успешно
1 - С ошибкой

Для получения справки по определенной операции введите:
REG Operation /?

Примеры:

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /?

Для резервного копирования реестра используется REG.EXE SAVE, для восстановления - REG.EXE RESTORE

Для получения справки

REG.EXE SAVE /?
REG SAVE раздел имя Файла

Раздел - Полный путь к разделу реестра в виде: КОРЕНЬ\Подраздел
КОРЕНЬ - Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ].
подраздел - Полный путь к разделу реестра в выбранном корневом разделе.
имя Файла - Имя сохраняемого файла на диске. Если путь не указан, файл
создается вызывающим процессом в текущей папке.

Примеры:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Сохраняет раздел MyApp в файле AppBkUp.hiv в текущей папке

    Синтаксис REG SAVE и REG RESTORE одинаков и вполне понятен из справки. Есть, правда некоторые моменты. В версии утилиты из ОС Windows 2000 нельзя было указывать путь в имени файла для сохранения раздела реестра и сохранение выполнялось только в текущий каталог. Справка самой утилиты и примеры ее использования для сохранения (REG SAVE) вполне можно использовать для сохранения любых разделов реестра, в т.ч. HKLM\software, HKLM\system и т.п. однако, если вы попробуете восстановить, например, HKLM\system, то получите сообщение об ошибке доступа, вызванную занятостью данного раздела реестра, а поскольку он занят всегда, восстановление с помощью REG RESTORE выполнить не удастся.

Для сохранения куста SYSTEM:
REG SAVE HKLM\SYSTEM system.hiv
Для сохранения куста SOFTWARE:
REG SAVE HKLM\SOFTWARE software.hiv
Для сохранения куста DEFAULT:
reg save HKU\.Default default.hiv

Если файл существует, то REG.EXE выдаст ошибку и завершится.

    Сохраненные файлы можно использовать для восстановления реестра ручным копированием в папку %SystemRoot%\system32\config.

4. Ручное копирование файлов реестра.

    Если загрузиться в другой операционной системе, то с файлами из папки реестра можно делать все, что угодно. В случае повреждения файла system, можно воспользоваться, например, сохраненным с помощью REG SAVE файлом system.hiv, скопировав его в папку реестра и переименовав в system. Или выполнить это же действие, используя сохраненную копию файла system из контрольной точки восстановления. Довольно подробно данный метод восстановления реестра описан в статье "Проблемы с загрузкой ОС"

5. Использование режима экспорта-импорта реестра.

Редактор реестра позволяет делать экспорт как всего реестра, так и отдельных разделов в файл с расширением reg Импорт полученного при экспорте reg-файла позволяет восстановить реестр. Щелкаете на "Реестр"--> "Экспорт (Импорт) файла реестра". Импорт также можно выполнить двойным щелчком по ярлыку reg-файла.

6. Использование специальных утилит для работы с реестром сторонних производителей.

    Существует немало программ сторонних производителей для работы с реестром, позволяющих не только сохранять и восстанавливать данные реестра, но и выполнять массу других полезных операций, таких, как диагностика и удаление ошибочных или ненужных данных, оптимизация, дефрагментация и т.п. Большинство из них платные - jv16 Power Tools, Registry Mechanic, Super Utilities Pro, Reg Organizer и другие. Список и краткое описание на secutiylab.ru
К основным преимуществам данных программ можно отнести, как правило, простой интерфейс пользователя, возможность выполнить тонкую настройку операционной системы и предпочтений пользователя, чистку от ненужных записей, расширенные возможности по поиску и замене данных, резервное копирование и восстановление.
    Пожалуй, самым популярным программным обеспечением для работы с реестром является jv16 Power Tools компании Macecraft Software . Главные достоинства - высокая надежность, многофункциональность, простота и удобство использования, поддержка нескольких языков, в т.ч. русского. Однако не все знают, что существует и бесплатный вариант, называющийся Power Tools Lite . Конечно, до полнофункциональной jv16 ему далеко, но для поиска данных, чистки и оптимизации реестра вполне подойдет. Замечу, что резервная копия создаваемая данной программой является всего лишь reg-файлом для восстановления состояния реестра до момента его изменения. Многие (если не большинство) программы для работы с реестром создают аналогичные копии, пригодные только для восстановления тех данных, которые они изменяют. В случае порчи реестра они вам не помогут. Поэтому, выбирая (особенно бесплатную) программу с возможностью резервного копирования реестра, разберитесь, какие же копии она создает. Идеальный вариант - программа, создающая копии всех кустов реестра. При наличии такой копии вы всегда сможете полностью восстановить реестр обычным копированием файлов. Я бы порекомендовал бесплатную консольную утилиту regsaver.exe Скачать, 380кб
Сайт программы.
Утилита сохраняет файлы реестра в каталог, указываемый в качестве параметра командной строки:
regsaver.exe D:\regbackup
После выполнения программы в каталоге D:\regbackup будет создан подкаталог с уникальным именем, состоящим из года, месяца, числа и времени создания резервной копии файлов реестра ("yyyymmddhhmmss"). После выполнения резервирования программа может выключить компьютер или перевести его в спящий режим:

regsaver.exe D:\regbackup /off /ask - Выключить компьютер. Ключ /ask требует подтверждения пользователя при выключении питания.
regsaver.exe D:\regbackup /standby - Перевести в спящий режим без подтверждения (нет /ask)
regsaver.exe D:\regbackup /hibernate /ask - Перевести в режим Hibernate

Вместо стандартного выключения компьютера можно использовать резервное копирование реестра с выключением по его завершению.

7. Восстановление реестра, при отсутствии резервных копий.

    К примеру, при загрузке системы, вы видите сообщение о нарушении целостности куста реестра SYSTEM:

Windows XP could not start because the following file is missing or corrupt: \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Если у вас не выполнялось резервирование данных реестра, был отключен механизм создания контрольных точек восстановления или вы использовали Win2K, где этого механизма просто не существует, то все равно есть шансы оживить систему, загрузившись в другой ОС и восстановив файл system. Даже если содержимое этого файла будет не совсем актуальным, система, с большой долей вероятности, останется работоспособной. Возможно, придется переустановить некоторые программные продукты, или обновить драйверы.

- использование резервных файлов реестра, автоматически созданных каким-либо программным обеспечением. Откройте папку \Windows\system32\config и проверьте, нет ли в ней файла system.bak (возможно другое расширение, отличное от.alt и.log). переименуйте его в system и попробуйте загрузиться.

- использование, сохраненного после начальной установки, файла (файлов) из каталога \WINDOWS\REPAIR. Такой вариант, не самый оптимальный, на крайний случай.

- использование функции восстановления редактора реестра Windows XP при загрузке поврежденного куста.
Редактор реестра позволяет открывать файлы не только "своего" реестра, но и файлы, являющиеся реестром другой операционной системы. В Windows 2000 для загрузки файла (куста) реестра сохраненного на диске использовался редактор regedt32.exe, в Windows XP функции regedt32.exe и regedit.exe совмещены и, дополнительно, появилась возможность восстановления поврежденного куста при загрузке. Для этого

Загрузитесь в Windows XP (Windows Live, Winternals ERD Commander, установленная в другой каталог WinXP, другой компьютер с возможностью загрузки проблемного куста реестра по сети или с внешнего носителя). Запустите редактор реестра.
В левой части дерева реестра выберите один из разделов:
HKEY_USERS или HKEY_LOCAL_MACHINE.
В меню Реестр (Registry) (В других версиях редактора реестра этот пункт меню может называться "Файл ") выберите команду "Загрузить куст(Load Hive)" .
Найдите испорченный куст (в нашем случае - system).
Нажмите кнопку Открыть .
В поле Раздел введите имя, которое будет присвоено загружаемому кусту. Например BadSystem.
После нажатия OK появится сообщение:

В левом окне редактора реестра выберите подключенный куст (BadSystem) и выполните команду "Выгрузить куст" . Поврежденный system будет восстановлен. При чем, редактор реестра Windows XP вполне успешно восстановит реестр и более старой ОС Windows 2000.

Мониторинг реестра.

    Одной из лучших программ для мониторинга реестра, с моей точки зрения, является RegMon Марка Руссиновича - маленькая и функциональная утилита, не требующая инсталляции и работающая в операционных системах Windows NT, 2000, XP, 2003, Windows 95, 98, Me и 64-разрядных версиях Windows для архитектуры x64. Скачать RegMon.exe v7.04, 700кб

    Regmon позволяет в реальном масштабе времени отслеживать, какие приложения обращаются к реестру, в какие разделы, какую информацию они читают или пишут. Информация выдается в удобном виде, который можно настроить под свои нужды - исключить из результатов мониторинга данные о работе с реестром неинтересных вам приложений, подчеркнуть выбранным цветом то, что считаете особо важным, включить в результаты мониторинга только выбранные процессы. Программа позволяет быстро и легко выполнить запуск редактора реестра с переходом к указанному разделу или параметру. Имеется возможность выполнять мониторинг в процессе загрузки операционной системы с записью результатов в специальный журнал %SystemRoot\Regmon.log.
    После старта RegMon, можно определить критерии фильтрации результатов мониторинга реестра:

По умолчанию протоколируются все события обращения к реестру. Фильтр задается значениями полей:

Include - Если * - выполнять мониторинг для всех процессов. Имена процессов разделяются символом ";" . Например - FAR.EXE;Winlogon.exe - будут фиксироваться обращения к реестру только для процессов far.exe и winlogon.exe.
Exclude - какие процессы исключить из результатов мониторинга.
Highlight - какие процессы выделить выбранным цветом (по умолчанию - красным).

    Значения полей фильтра запоминаются и выдаются при следующем старте Regmon. При нажатии кнопки Defaults выполняется сброс фильтра в установки по умолчанию - фиксировать все обращения к реестру. Значения полей фильтра удобнее формировать не при старте RegMon, а в процессе мониторинга, используя меню правой кнопки мыши для выбранного процесса - Include process - включить данный процесс в мониторинг, Exclude process - исключить данный процесс из мониторинга. После старта Regmon с фильтрами по умолчанию, вы увидите большое количество записей об обращении к реестру и, используя Include/Exclude process, можете настроить вывод результатов только нужного вам процесса (процессов).

Назначение колонок:

# - номер по порядку
Time - Время. Формат времени можно изменить с помощью вкладки Options
Process - имя процесса:идентификатор процесса (PID)
Request - тип запроса. OpenKey - открытие ключа (подраздела) реестра, CloseKey - закрытие, CreateKey - создание, QueryKey - проверка наличия ключа и получение количества вложенных ключей (подразделов, subkeys), EnumerateKey - получить список имен подразделов указанного раздела, QueryValue - прочитать значение параметра, SetValue - записать значение.
Path - путь в реестре.
Result - результат выполнения операции. SUCCESS - успешно, NOT FOUND - ключ (параметр) не найден. ACCESS DENIED - доступ запрещен (недостаточно прав). Иногда бывает BUFFER OVERFLOW - переполнение буфера - результат операции не помещается в буфере программы.
Other - дополнительная информация - результат выполненного запроса.

    Программа очень проста в использовании. После старта, лучше выбрать фильтр по умолчанию, т.е. фиксировать все обращения к реестру, а затем, в основном окне программы, выбрать ненужный процесс и с помощью правой кнопки мыши вызвать контекстное меню - Exclude process - информация об обращении к реестру данного процесса выводиться не будет. И таким же образом отфильтровать другие, не интересующие вас процессы.

    При работе с программой можно использовать меню File, Edit, Options или сочетание клавиш:

CTRL-S - сохранить результаты
CTRL-P - свойства выбранного процесса
CTRL-E - включить/выключить мониторинг
CTRL-F - поиск по контексту
CTRL-C - копировать выбранную строку в буфер обмена
CTRL-T - изменить формат времени
CTRL-X - очистить окно результатов мониторинга
CTRL-J - запустить редактор реестра и открыть ветвь указанную в колонке Path. Это же действие выполняется при двойном щелчке левой кнопки мыши. Очень полезная возможность, позволяет значительно экономить время.
CTRL-A - включить/выключить автоматическую прокрутку
CTRL-H - позволяет задать число строк результатов мониторинга

    Еще одна очень полезная возможность - получить журнал обращений к реестру в процессе загрузки операционной системы.
Для этого выбираете меню Options-Log Boot . Программа выдаст сообщение, что Regmon сконфигурирован для записи обращений к реестру в файл журнала в процессе следующей перезагрузки ОС:

    После перезагрузки ОС, в корневом каталоге системы (C:\Windows) будет находиться файл Regmon.log с журналом результатов мониторинга. Режим записи в журнал будет продолжаться до запуска Regmon.exe вошедшим в систему пользователем и выполняется только для одной перезагрузки системы. Конечно же, содержимое журнала не будет полностью отображать абсолютно все обращения к реестру. Поскольку Regmon в режиме Log Boot инсталлируется в системе и, после перезагрузки, запускается в качестве драйвера, все обращения к реестру, произошедшие до его старта, в журнале не зафиксируются. Однако большая часть все же туда попадет, и вы увидите, что таких обращений будет несколько сотен тысяч.

Для сохранения и восстановления реестра используется раздел "Disk and Files" - "SystemSaver". Для обслуживания и оптимизации реестра - "System Registry" - "RegistryFixer" и "RegistryDefrag".

Кроме папки "Автозагрузка" для запуска программ используются разделы реестра:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Run
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce
Последние 2 раздела (...Once) отличаются тем, что программы,прописанные в них запускаются только 1 раз и после выполнения параметры ключа удаляются..

Записи в HKLM относятся ко всем пользователям компьютера. Для текущего пользователя запуск определяется ключами в разделе HKU:
HKCU\Software\Microsoft\Windows\ CurrentVersion\Run
Пример раздела HKLM\...\RUN:

    В правом окне вы видите список параметров , значениями которых является строка, ссылающаяся на программу. При входе пользователя в систему, все перечисленные программы будут выполнены. Удалите параметр - программа не запустится. Но удалять можно не все. Поэкспериментируйте меняя расширение exe на ex_.

    Кроме программ, запускающихся при регистрации пользователя в системе, запускается еще огромное количество других, не всегда очевидных, - это и системные службы (сервисы), различные драйверы, программы оболочки (Shell) и т.п. Кроме полезных (а иногда и бесполезных) программ могут выполняться, используя автоматический запуск и внедрившиеся в систему вирусы. Более подробно о вирусах . Точек возможного автоматического запуска исполняемых модулей огромное множество, и для их поиска в реестре удобнее использовать специальные программы - мониторы автозапуска, наиболее популярной из которых, является , обладающей более широким спектром возможностей, чем служебная программа MSConfig, входящая в состав Windows.

Инсталляция не требуется. Просто скачайте Autoruns, разархивируйте его и запустите файл Autoruns.exe (autorunsc.exe - консольная версия). Программа покажет, какие приложения настроены на автоматический запуск, а также представит полный список разделов реестра и каталогов файловой системы, которые могут использоваться для задания автоматического запуска. Элементы, которые показывает программа Autoruns, принадлежат к нескольким категориям: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer (включая объекты модулей поддержки обозревателя (BHO)), библиотеки DLL инициализации приложений, подмены элементов, объекты, исполняемые на ранних стадиях загрузки, библиотеки DLL уведомлений Winlogon, службы Windows и многоуровневые поставщики услуг Winsock.
Чтобы просмотреть автоматически запускаемые объекты требуемой категории, достаточно выбрать нужную вкладку.

    Для поиска записей в реестре, относящихся к выбранному объекту достаточно использовать пункт "Jump to" контекстного меню, вызываемого правой кнопкой мыши. Произойдет запуск редактора реестра и откроется ключ, обеспечивающий его запуск.

Драйверы и службы.

Информация о драйверах и системных службах (сервисах) находится в разделе
HKLM\System\ CurrentControlSet\Services
Каждому драйверу или сервису соответствует свой раздел. Например, "atapi" - для драйвера стандартного IDE контроллера жестких дисков, "DNScache" - для службы "DNS клиент". Назначение основных ключей:
DisplayName - выводимое имя - то что вы видите в качестве осмысленного названия при использовании, например, элементов панели управления.

ErrorControl - режим обработки ошибок.
0 - игнорировать (Ignore) при ошибке загрузки или инициализации драйвера не выдается сообщение об ошибке и система продолжает работу.
1 - нормальный (Normal) режим обработки ошибки. Работа системы продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств и системных служб равна 1.
2 - особый (Severe) режим. Используется для обеспечения загрузки последней удачной конфигурации (LastKnownGood).
3 - критическая (Critical) ошибка. Процесс загрузки останавливается, и выводится сообщение о сбое.

Group - название группы, к которой относится драйвер, например - "Видеоадаптеры"

ImagePath путь и имя исполняемого драйвера. Файлы драйверов обычно имеют расширение.sys и располагаются в папке \Windows\System32\DRIVERS\. Файлы сервисов - обычно.exe и располагаются в \Windows\System32\.

Start управление загрузкой и инициализацией. Определяет, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:
0 - BOOT - драйвер загружается загрузчиком.
1 - SYSTEM - драйвер загружается в процессе инициализации ядра.
2 - AUTO - служба запускается автоматически при загрузке системы.
3 - MANUAL - служба запускается вручную.
4 - DISABLE - отключено.
Загрузка драйверов и запуск служб с параметрами Start от 0 до 2 выполняются до регистрации пользователя в системе. Для отключения драйвера или службы достаточно установить значение Start равным 4. Отключение драйверов и служб через редактирование этого ключа реестра - довольно опасная операция. Если вы случайно или по незнанию отключите драйвер или сервис, без которых невозможна загрузка или работа - получите аварийное завершение системы (чаще всего - синий экран смерти BSOD).

Драйверы и службы для безопасного режима.

При загрузке операционной системы для инициализации драйверов и служб используется набор управляющих параметров из раздела текущей конфигурации
HKLM\System\CurrentControlSet
При возникновении проблем с работой операционной системы нередко используется безопасный режим загрузки (Safe Mode). Отличие данного режима от обычной загрузки, заключается в том, что используется минимально необходимая конфигурация драйверов и системных служб, перечень которых задается разделом:
HKLM\System\ CurrentControlSet\Control\SafeBoot
Подразделы:
Minimal - список драйверов и служб, запускаемых в безопасном режиме (Safe Mode)
Network - то же, но с поддержкой сети.

Кроме раздела HKLM\System\CurrentControlSet, в реестре присутствуют и
HKLM\System\CurrentControlSet001
HKLM\System\CurrentControlSet002
По своей структуре они идентичны HKLM\System\CurrentControlSet, и предназначены для дополнительной возможности восстановления работоспособности системы с использованием загрузки последней удачной конфигурации системы (Last Known Good Configuration). Возможные варианты загрузки управляющих наборов определяются содержимым раздела:
HKLM\System\Select

Current - управляющий набор, который был использован для текущей загрузки.
Default - управляющий набор, который будет использоваться при следующей загрузке.
LastKnownGood - управляющий набор, который будет использоваться, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
Failed - сбойный управляющий набор, который будет создан, если будет выбран режим загрузки последней удачной конфигурации (Last Known Good Configuration).
    После успешной загрузки и входа пользователя в систему, данные из CurrentControlSet и ControlSet001 копируются в ControlSet002. При изменении конфигурации, данные записываются в CurrentControlSet и ControlSet001. Если изменение настроек привело к краху системы, имеется возможность ее восстановления при использовании варианта последней успешной загрузки, берущей данные из ControlSet002. После удачной загрузки в этом режиме, появится новый подраздел с управляющим набором, ControlSet003, - на тот случай, если вам снова понадобится использовать Last Known Good Configuration. При каждом использовании загрузки последней удачной конфигурации значение ControlSet00x будет увеличиваться.

Ограничиваем доступ пользователя к ресурсам.

В большинстве случаев, для того, чтобы изменения, внесенные в реестр возымели действие, нужна перезагрузка или выход и повторный вход в систему. Параметры в разделе HKEY_CURRENT_USER относятся к текущему пользователю системы. Параметры в разделе HKLM - ко всем пользователям.

Скрываем логические диски

Открываем раздел:
HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer
и добавляем в него параметр NoDrives типа DWORD. Значение параметра определяет скрываемые диски A-Z. Наличие "1" начиная с младшего бита двойного слова означает отсутствие логического диска в "Мой компьютер"
00000001 - нет диска A, 00000002 - нет диска B, 00000004 - нет диска C, 0000000F - нет дисков A-F
Добавлю, что скрытые таким образом диски не видны только для Explorerа и в других программах могут быть доступны (в FAR например). Но другие программы ведь можно и скрыть или запретить - о чем дальше.

Изменяем меню кнопки "ПУСК"

NoRun =dword:00000001 нет кнопки "Выполнить"
NoLogOff=hex:01 00 00 00 (не dword а hex) нет "Завершение сеанса "
NoFind =dword:00000001 - нет пункта "Найти"
NoFavoritesMenu =dword:00000001 нет "Избранное"
NoRecentDocsMenu =dword:00000001 нет "Документы"
NoSetFolders =dword:00000001 нет "Панели управления" в подменю "Настройка"
NoSetTaskbar =dword:00000001 нет "Панель задач" там же
NoPrinters =dword:00000001 нет "Принтеры" в Панели управления
NoAddPrinter =dword:00000001 нет "Добавить принтер"
NoDeletePrinter =dword:00000001 нет "Удалить принтер"
NoDesktop =dword:00000001 Пустой рабочий стол
NoNetHood =dword:00000001 нет "Сетевое окружение"
NoInternetIcon =dword:00000001 нет значка "Интернет" на Рабочем столе Windows
NoTrayContextMenu =hex:01,00,00,00 -Отключить меню, вызываемое правой кнопкой мыши на панели задач
NoViewContextMenu =hex:01,00,00,00 - Отключить меню, вызываемое правой кнопкой мыши на Рабочем столе: Чтобы включить обратно, надо 01 заменить на 00.
NoFileMenu =hex:01,00,00,00 скрыть " File " в верхней строке меню Проводника
ClearRecentDocsOnExit =hex:01,00,00,00 не сохранять список последних открываемых документов по выходу из системы.

Следующие параметры относятся к разделу реестра
HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\ Network

NoNetSetup =dword:00000001 отключает доступ к значку "Сеть" в Панели управления
NoFileSharingControl =dword:00000001 скрывает диалоговое окно управления совместным использованием файлов и принтеров, не позволяя пользователям управлять созданием новых совместных файлов или принтеров
NoNetSetupIDPage =dword:00000001 скрывает вкладку "Идентификация"
NoNetSetupSecurityPage =dword:00000001 скрывает вкладку "Управление доступом"
NoEntireNetwork =dword:00000001 скрывает элемент "Вся сеть" в Сетевом окружении
NoWorkgroupContents =dword:00000001 скрывает всё содержание Рабочей группы в Сетевом окружении

Следующие параметры относятся к ограничениям для всех пользователей, поскольку используется раздел HKLM, а не HKEY_CURRENT_USER. Для редактирования данных нужно обладать правами администратора системы
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\System

NoSecCPL =dword:00000001 отключает доступ к значку "Пароли" в Панели управления
NoAdminPage =dword:00000001 скрывает вкладку "Удаленное управление"
NoProfilePage =dword:00000001 скрывает вкладку "Профили пользователей"
NoPwdPage "=dword:00000001 скрывает вкладку "Смена паролей"
NoDispCPL =dword:00000001 отключает доступ к значку "Экран" в Панели управления
NoDispAppearancePage =dword:00000001 скрывает "Оформление" в окне свойств экрана
NoDispBackgroundPage =dword:00000001 скрывает "Фон" в окне свойств экрана
NoDispScrSavPage скрывает "Заставка" в окне свойств экрана
NoDispSettingsPage =dword:00000001 скрывает "Настройка" в окне свойств экрана
NoConfigPage =dword:00000001 скрывает "Профили оборудования" в окне свойств системы
NoDevMgrPage =dword:00000001 скрывает вкладку "Устройства" в окне свойств системы
NoFileSysPage =dword:00000001 скрывает кнопку "Файловая система..." на вкладке "Быстродействие" в окне свойств системы
NoVirtMemPage =dword:00000001 скрывает кнопку "Виртуальная память..." на вкладке "Быстродействие" в окне свойств системы
=dword:00000001 запрет Regedit.exe или Regedt32.exe

    Некоторые из перечисленных запретов на действия пользователя используют не только системные администраторы, но и внедрившиеся в систему вирусы. Обычно выполняется запись в реестр данных, блокирующих возможность поиска и удаления внедрившегося вредоносного программного обеспечения и, в качестве завершающего аккорда - запрет на запуск редактора реестра (DisableRegistryTools). Как следствие, даже обладая правами администратора, пользователь не имеет возможности что-либо сделать со своим собственным реестром. Попытка запуска редактора завершается подобным сообщением:

Конечно же, пользователю, тем более, администратору, должно быть обидно, когда "Редактирование реестра запрещено администратором системы". Поэтому я добавил еще один небольшой раздел:

Обходим ограничения доступа пользователя к ресурсам.

    Все вышеперечисленные ограничения могут касаться либо конкретного пользователя, либо всех пользователей системы, точнее их учетных записей. Однако в каждой ОС Windows есть еще одна учетная запись, права которой, в некоторой степени, даже выше прав локального администратора - локальная системная учетная запись (Local System Account) от имени которой запускаются системные службы (сервисы) еще до входа пользователя в систему. Если программу (тот же regedit.exe) запустить с правами Local System, то никакие ограничения, связанные с учетными записями любых реальных пользователей действовать не будут. Как запустить редактор реестра с правами локальной системной учетной записи, используя утилиту PSExec, я уже рассказывал в начале статьи, и там же разместил ссылку на страничку загрузки и описания пакета PSTools. Для тех же, кому нет надобности в скачивании всего пакета и нужно, не разбираясь в тонкостях, просто обойти ограничения - пошаговая инструкция:

Скачиваем PSexec из пакета PSTools Microsoft (Sysinternals). (скачать PSTools.zip)

копируем его в папку \WINDOWS\SYSTEM32

запускаем с помощью psexec редактор реестра:
psexec -s -i regedit.exe
Для работы psexec.exe нужно обладать правами администратора т.е. пользователь должен входить в группу "Администраторы"

Вносим нужные исправления в реестр - DisableRegistryTools устанавливаем в 0 или удаляем его вообще. После чего пользуемся редактором реестра как обычно, снимая ограничения на запуск менеджера задач, блокировку антивирусных программ, и прочего, что там еще натворил вирус.

    Конечно, можно придумать и другие варианты обхода ограничений, как например, загрузка с использованием Winternals ERD Commander и редактирование проблемного реестра, или использование утилиты командной строки REG.EXE (Скачать bat-файл для разблокировки редактора реестра и менеджера задач) , или редактора реестра стороннего производителя, но данный способ - наиболее необычный, простой и быстрый. Необычность решения проблемы, как правило, дает то преимущество, что против ваших действий по обходу ограничений нет, или пока нет заранее подготовленных контрмер.
Кстати, данным способом можно воспользоваться не только для запуска regedit.exe, но и других программ - проводника (Explorer.exe) например
psexec -s -i C:\WINDOWS\EXPLORER.EXE
что позволит получить доступ к каталогам и файлам, недоступным реальному пользователю, как, например, скрытая системная папка System Volume Information.

Очень неплохой способ обхода ограничений - использование редактора реестра стороннего производителя.

Resplendent Registrar Registry Manager - приблизительно 3Мб - в версии "Lite Edition" - бесплатный редактор реестра с удобным интерфейсом и полезными дополнительными возможностями по поиску, мониторингу, дефрагментации, сохранению и восстановлению реестра.

В списке установленных программ висит программа давно удаленная

Обычно это бывает, если вы удалили программу вручную, а не деинсталлировали ее, или же деинсталлятор глюканул. Исправить ситуацию можно отредактировав раздел:
HKLM\Software\Microsoft\Windows\ CurrentVersion\Uninstall

Постоянно приходится указывать путь на дистрибутив Windows

Найдите раздел
HKLM\Software\Microsoft\Windows\ CurrentVersion\Setup
и в параметре SourcePath укажите путь на ваш дистрибутив -строковое значение "D:\install" . Если вы часто меняете настройки системы и у вас много места на диске - сбросьте дистрибутив в какой-либо каталог и пропишите его в SourcePath.

Проблемы с русским шрифтом на некоторых программах

Особенно это характерно на не русифицированных ОС, например Windows NT 4.0 Server. Даже если вы установили русифицированные фонты и в региональных установках указали Россию, проблемы с кириллическими шрифтами могут возникнуть. Откройте раздел
HKLM\Software\Microsoft\Windows\ CurrentVersion\FontSubstitutes
и пропишите параметры:
параметр System,0 значение System,204
параметр Courier,0 значение Courier,204
параметр Arial,0 значение Arial,204
параметр Courier New,0 значение Courier New,204
параметр Times New Roman,0 значение Times New Roman,204
Скорее всего эти параметры там уже есть, но вместо 204 стоит 238. Для Windows 9X такого раздела реестра нет и править надо секцию файла WINDOWS\win.ini.
Может помочь также добавления в раздел HKLM\System\ CurrentControlSet\Control\Nls\CodePage параметра "1252" ="CP_1251.nls"

Снятие пароля с заставки (ScreenSaver"а)

Параметры рабочего стола для профиля по умолчанию задаются параметрами раздела реестра
HKEY_USERS\.DEFAULT\Control Panel\Desktop
Параметры рабочего стола текущего пользователя - разделом реестра
HKCU\Control Panel\Desktop
Для снятия пароля с заставки для рабочего стола текущего пользователя нужно открыть раздел реестра
HKCU\Control Panel\Desktop
и установить значение ключа ScreenSaverIsSecure равным нулю.

Для отключения заставки - установить в 0 значение ScreenSaveActive

Создание своего окна при входе в систему

Это полезно тогда, когда требуется о чем-то предупредить пользователя. Раздел HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Winlogon
Параметры:
LegalNoticeCaption = например "Внимание!" текст заголовка окна
LegalNoticeText = "С 25-го по 30-е число каждого месяца необходимо сменить пароль" текст в окне

Очистка имени предыдущего пользователя

Раздел HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon
DontDisplayLastUserName =dword:00000001

Запрет на запуск редактора реестра и диспетчера задач.

Для запрета запуска редактора реестра любого пользователя используется раздел HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\system
=dword:00000001 запрещено запускать
=dword:00000000 разрешено запускать
DisableTaskMgr - =dword:00000001 запрещено запускать
DisableTaskMgr - =dword:00000000 разрешено запускать
Для ограничения запуска редактора реестра и диспетчера задач текущего пользователя аналогичные значения устанавливаются в разделе
HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies

Обязательный ввод пароля в Windows 9X

Должен быть установлен клиент Microsoft Network. Войти в систему, нажав ESC теперь не удастся
Раздел HKLM\Network\Logon
Параметр MustBeValidated =dword:00000001

Изменить поведение компьютера при выключении

Раздел HKLM\System\ CurrentControlSet\Control\Shutdown
Параметр FastReboot равен 0 - обычное выключение, равен 1 - ускоренное, приводящее часто к перезагрузке

Изменение языка по умолчанию в окне входа в систему

Если в окне ввода пароля используется русская раскладка клавиатуры, то изменить это можно подредактировать раздел HKEY_USERS\.DEFAULT\Keyboard Layout\Preload. Он имеет 2 строковых параметра - "1" и "2".
Если значения равны:
1=00000409
2=00000419
то раскладка в окне входа в систему станет английской.
Если значения параметрам присвоить наоборот ("1"=00000419, "2"= 00000409) - то раскладка станет русской.