| Главная » Файлы » Статьи » Хакинг и безопасность |
Реестр Window
| [ ] | 10.12.2008, 06:26 |
| В данной статье, я бы хотел рассказать про системный реестр Windows, а именно: "что это такое? что он из себя представляет? как его поюзать для сових целей?". Для начала, я бы хотел прояснить ситуацию для тех, кто вообще не знает что же таакое системные реестр. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Физически вся информация реестра разбита на несколько файлов. Реестры Windows 9х и NT частично различаются. В Windows 95/98 реестр содержится в двух файлах SYSTEM.DAT и USER.DAT, находящиеся в каталоге Windows. В Windows Me был добавлен еще один файл CLASSES.DAT. По замыслу Microsoft он должен был полностью заменить файлы ini, которые были оставлены только для совместимости со старыми программами, ориентированными на более ранние версии операционной системы. Почему произошел переход от ini файлов к реестру? Дело в том, что на эти файлы накладывается ряд серьезных ограничений, и главное из них состоит в том, что предельный размер такого файла составляет 64Кб. Теперь ты знаешь, что такое реестр. Но как же его просмотреть/отредактировать? Заходим в Пуск -> Выполнить, пишем там "regedit.exe", перед нами появится редактор реестра. Рассмотрим подробнее структуру реестра. Реестр содержит шесть корневых разделов (ветвей), на которых ниже остановимся подробнее, каждый из них включает подразделы, отображаемые в левой части окна в виде значка папки. Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа: - строковые (напр. "C:\Windows"); - двоичные (напр. 10 82 A0 8F). Максимальная длина такого ключа 16Кб; - DWORD. Этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (напр. 0x00000020 (32) - в скобках указано десятичное значение ключа). Давайте теперь рассмотрим корневые разделы, точнее какая информация в них содержится. Итак, начнем по порядку: HKEY_CLASSES_ROOT. В этом разделе содержится информация о зарегистрированных в Windows типах файлов, что позволяет открывать их по двойному щелчку мыши, а также информация для OLE и операций drag-and-drop HKEY_CURRENT_USER. Здесь содержатся настройки оболочки пользователя (например, Рабочего стола, меню "Пуск", ...), вошедшего в Windows. Они дублируют содержимое подраздела HKEY_USER\name, где name - имя пользователя, вошедшего в Windows. Если на компьютере работает один пользователь и используется обычный вход в Windows, то значения раздела берутся из подраздела HKEY_USERS\.DEFAULT HKEY_LOCAL_MACHINE. Этот раздел содержит информацию, относящуюся к компьютеру: драйверы, установленное программное обеспечение и его настройки HKEY_USERS. Содержит настройки оболочки Windows для всех пользователей. Как было сказано выше, именно из этого раздела информация копируется в раздел HKEY_CURRENT_USER. Все изменения в HKCU (сокращенное название раздела HKEY_CURRENT_USER) автоматически переносятся в HKU HKEY_CURRENT_CONFIG. В этом разделе содержится информация о конфигурации устройств Plug&Play и сведения о конфигурации компьютера с переменным составом аппаратных средств HKEY_DYN_DATA. Здесь хранятся динамические данные о состоянии различных устройств, установленных на компьютере пользователя. Именно сведения этой ветви отображаются в окне "Свойства: Система" на вкладке "Устройства", вызываемого из Панели управления. Данные этого раздела изменяются самой операционной системой, так что редактировать что-либо вручную не рекомендуется. Наибольший интерес представляют ветви HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Именно там хранятся настройки, позволяющие привести Вашу операционную систему в надлежащий вид Всё 8) Краткий экскурс о строении реестра закончен. В следующих статья, я опишу самое интересное. А именно: как настроить операционку с помощью реестра. Настраивать будем графический вид =) Как и обещал, приступим к эксперементам над реестром, плацдармом наших дейтсвий будет win XP. Удаляем справку в меню "Пуск": откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explоrer и создайте параметр NoSMHelp типа DWORD со значением, равным 1. Удаляем вкладку "Все программы" в меню "Пуск": откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explоrer и создайте параметр NoStartMenuMorePrograms типа DWORD со значением, равным 1. Удаляем "Завершение работы" в меню "Пуск": Выключить компьютер можно двумя способами Используя команду Завершение работы меню кнопки Пуск Открывая окно Завершение работы программы нажатием кнопок Ctrl+Alt+Del и нажимая кнопку Завершить работу Windows позволяет запретить выключение этими способами для текущего пользователя Для этого откройте раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explоrer и создайте параметр NoClose типа DWORD со значением, равным 1. Контекстное меню кнопки "Пуск": Если вы хотите запретить контекстное меню кнопки Пуск, позволяющее удалять, переименовывать и т.д., а также возможность перемещения пунктов меню методом drag-n-drop, то откройте раздел HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Policies \Explоrer и создайте параметр NoChangeStartMenu типа DWORD со значением, равным 1. Издеваемся над Корзиной: Пусть то, кто хотя бы однажды не хотел переименовать корзину кинет в меня камень =) в разделе HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} есть строковый параметр LocalizedString, в котором и пишем новое имя для Корзины. Группировка кнопок на панели задач (Windows XP): Если у вас в свойствах панели задач установлено Группировать сходные кнопки панели задач, то Windows начинает группировать кнопки, если их число достигает 3 (по умолчанию). Вы можете изменить это число, используя параметр типа DWORD TaskbarGroupSize с вашим значением в разделе: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced . Связанные документы (Windows Me/2000/XP): В последних версиях Windows появилось понятие сопоставленных файлов. Например, если вы собираетесь переместить или удалить html-документ, то будут также перемещены или удалены и сопоставленные с этим документом файлы, которые содержаться в папке ИмяДокумента.files. Если вы хотите отключить подобное поведение, то создайте параметр типа DWORD NoFileFolderConnection со значением 1 в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer. Скрытие вкладки Фон: Чтобы скрыть вкладку Фон в апплете Экран, создайте в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System ключ NoDispBackgroundPage типа DWORD и установите его равным 1. Эта вкладка убирается из приложения "Экран", и таким образом нельзя воспользоваться ею для изменения узоров или обоев для "Рабочего стола" Запрет изменения обоев: А можно не убирать эту вкладку, а просто запретить изменять фоновый рисунок. Для этого создайте в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ActiveDesktop ключ NoChangingWallpaper типа DWORD и установите его равным 1. Окошко с установленными картинками будет заблокировано. Данный параметр работает в Windows 98/ME/2000/XP. В Windows 95 и NT данный способ будет применим при установленном вместе с "Активным Рабочим столом" Internet Explorer 4.0. Только растровые обои: А можно запретить использовать в качестве обоев картинки разных форматов, кроме растровых картинок (bmp). Как и в предыдущем примере, данный параметр применим для Windows 98/ME/2000/XP. В Windows 95 и NT данный способ будет применим при установленном вместе с "Активным Рабочим столом" Internet Explorer 4.0. Чтобы включить данный запрет, используйте параметр типа DWORD NoHTMLWallPaper в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ActiveDesktop со значением 1. Регистрационные данные: Возможно, вам компьютер достался от вашего босса Пупкина, и вы страстно хотели бы изменить регистрационные данные. Я помогу вам. В ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion, измените параметр RegisteredOwner (Ваше имя) и RegisteredOrganization (название организации). Диспетчер задач Windowы: Чтобы запретить пользователю возможность запуска Диспетчера задач Windows, установите значение параметра типа DWORD DisableTaskMgr в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System равным 1 Пароль после ждущего режима: Можно настроить систему таким образом, чтобы при включении компьютера после Ждущего режима появлялось диалоговое окно с приглашением ввести пароль. Для этого в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System\Power создаем параметр типа DWORD PromptPasswordOnResume со значением 1. Запрет на доступ к содержимому выбранных дисков: Можно запретипть пользователю доступ к файлам заданных дисков через Проводник, Мой компьютер, Выполнить или команду Dir. Откройте реестр и создайте параметр NoViewOnDrive типа DWORD в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer, содержащий битовую маску для дисков. Например, диск A имеет бит 1, диск С - 4, диск D - 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9. Список всех дисков: A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863 Запрет на режим командной строки и обработки bat-файлов: Существует возможность запрета на режим командной строки (cmd.exe) и обработки bat-файлов. Для этого найдите или создайте параметр типа DWORD DisableCMD в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System. значение 0: Система может использовать режим командной строки и обрабатывать bat-файлы. значение 1: Система не может использовать режим командной строки, но может обрабатывать bat-файлы. значение 2: Система не может использовать режим командной строки и обрабатывать bat-файлы. Очистка файла подкачки: Файл подкачки (в Windows 95/98/Me называлось своп-файлом) pagefile.sys находится в корне каждого или только системного диска. Там могут оставаться ваши пароли к различным ресурсам и прочая конфиденциальная информация Для очистки данного файла после завершения работы установите параметр типа DWORD ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\Memory Management равным 1. Полное отключение admin$, c$ и т.д: Эти ресурсы в Windows XP (как и в W2K) существуют по умолчанию (доступ к ним возможен только из под эккаунта администратора), причем, если удалить эти ресурсы через "Управление компьютером" (Computer Management) -> "Общие папки", то после перезагрузки они появятся снова, и полностью отключить их можно только с помощью внесения изменений в реестр. Открываем HKLM\SYSTEM\CurrentControlSet\Services\LanmanServe r\Parameters и изменениям (или добавляем) следующий параметр: AutoShareWks (его тип - REG_DWORD) значение 0. Запрет сохранения паролей в Dial-Up-соединениях: "По умолчанию", в Dial-Up-соединениях введенный пароль сохраняется после успешного соединения, если задействована опция "Сохранять имя пользователя и пароль", расположенная на диалоговом окне для Dial-Up. Это достаточно удобно для многих пользователей, но если вы занимаетесь проблемой безопасности системы, то можете запретить сохранение этих паролей. В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RasMan\Parameters создайте параметр типа DWORD DisableSavePassword со значением 1, который запрещает сохранение паролей в Dial-Up-соединениях. В этом случае опция "Сохранять имя пользователя и пароль" становится недоступной, а сохраненные пароли пропадают. Структура reg-файлов Знание реестра Windows будет не полным без умения написать reg-файл. Начнем с того, что это такое. Reg-файл - это файл, имеющий определенную структуру и содержащий информацию, которая может быть импортирована в реестр. Если была заблокирована работа с редактором реестра , то наиболее легким способом подредактировать реестр будет создание и импортирование reg-файла (конечно, можно выйти в DOS, в защищенный режим, воспользоваться другими программами, но это все гораздо сложнее, а главное дольше). К reg-файлам предъявляются определенные требования по структуре. Начнем с того, что в первой строке файла обязательно должно быть введено (для Windows 9x) REGEDIT4 или (для Windows 2000/XP) Windows Registry Editor Version 5.00 Обратите внимание на то, что буквы должны быть большие. Кроме этого в первой строке ничего быть не должно. После этого текста ОБЯЗАТЕЛЬНО должна быть пустая строка. Затем, указывается раздел реестра, в котором надо прописать или изменить какие-то параметры. Название раздела должно быть заключено в квадратные скобки [...]. Ниже прописываются параметры, которые надо добавить, по одному параметру в строке. Если вам надо провести изменения в нескольких разделах, то вы должны оставлять одну пустую строку между последним параметром предыдущего раздела и названием следующего раздела. Может немного запутанно, но вот как это должно выглядеть: REGEDIT4 [Razdel1] "param1"="znachenie1" "param2"="znachenei2" "param3"="znachenie3" [Razdel2] "param_1"="znachenie_1" Последняя строка в файле должна быть ПУСТОЙ. После того, как вы создали такой файл, просто запустите его как обычную программу, вам будет выдан запрос о необходимости провести изменения в реестре, и после положительного ответа информация из файла будет импортирована. О результатах импортирования Windows сообщит в появившемся после этого окне. Примечание: Windows 2000/XP обладает обратной совместимостью и может обрабатывать файлы, созданные в Windows 9x. Но если вы экспортировали файл в Windows XP и перенесли его на Windows 9x, то вручную измените первую строчку на REGEDIT4 Теперь пару слов о параметрах, которые можно добавлять. Как вы, наверное, обратили внимание, в приведенном выше примере добавляются параметры с помощью строк типа "param1"="znachenie1". Т.е. таким образом добавляется СТРОКОВЫЙ параметр с именем "param1" и значением "znachenie1". Но ведь существуют еще и параметры двоичные и DWORD. Формат записи для их добавления несколько другой. Для параметров типа DWORD используется строка "param"=dword:XXXXXXXX Здесь "param" - имя параметра, dword - указывает на тип этого параметра (буквы должны быть обязательно маленькие!) и после двоеточия следует значение из восьми цифр в шестнадцатеричном (!) формате. Однако большинство параметров DWORD имеют значение либо 0, либо 1, значит, вы должны написать соответственно либо 00000000, либо 00000001 вместо значков ХХХХХХХХ. Пробелы в строке не допускаются. Для добавления двоичного параметра формат записи несколько иной: "param"=hex:XX,XX,XX,.... Теперь расшифрую эту строку. Ну, с названием параметра все ясно, после знака "=" идет hex, т.е. указывается, что это будет двоичный параметр, затем идут шестнадцатеричные числа, отделенные запятой. Например, если вам надо добавить двоичный параметр равный "be 00 00 00", то вы пишете строку "param"=hex:be,00,00,00 В реестре существуют параметры "По умолчанию" ("Default"). Чтобы присвоить им какое-то значение через reg-файл, надо добавить такую строку: @="znachenie" Здесь значок @ показывает, что у нас присваивается значение параметра "По умолчанию". Обратите внимание на то, что он не заключается в кавычки. Теперь я приведу пример простенького reg-файла, который прописывает в реестр сайт, устанавливающий домашнюю страничку в Internet Explorer'e: REGEDIT4 [HKEY_CURRENT_USER\Software\ Microsoft\Internet Explorer\Main] "Start Page" = "http://winchanger.narod.ru/" Удаление параметров С помощью reg-файлов можно не только устанавливать новые параметры, но и удалять их. Например, для удаления раздела из реестра надо перед его именем в квадратных скобках поставить символ "-". Вот как это выглядит: [-HKEY_LOCAL_MACHINE\Software\ QuickSoft\QuickStart] Благодаря этой записи, подраздел "QuickStart" из раздела "QuickSoft" будет удален со всем содержимым. Для удаления отдельных параметров используйте следующий синтаксис: REGEDIT4 [HKEY_CURRENT_USER\Software] "xxx"=- Параметры командной строки Редактор реестра можно запускать с некоторыми ключами /s (импортирует значения из reg-файла без вывода диалогового окна) /e (экспортирует параметры в reg-файл. Пример: regedit /e myfile.reg HKEY_USERS\.DEFAULT Структура reg-файлов Знание реестра Windows будет не полным без умения написать reg-файл. Начнем с того, что это такое. Reg-файл - это файл, имеющий определенную структуру и содержащий информацию, которая может быть импортирована в реестр. Если была заблокирована работа с редактором реестра , то наиболее легким способом подредактировать реестр будет создание и импортирование reg-файла (конечно, можно выйти в DOS, в защищенный режим, воспользоваться другими программами, но это все гораздо сложнее, а главное дольше). К reg-файлам предъявляются определенные требования по структуре. Начнем с того, что в первой строке файла обязательно должно быть введено (для Windows 9x) REGEDIT4 или (для Windows 2000/XP) Windows Registry Editor Version 5.00 Обратите внимание на то, что буквы должны быть большие. Кроме этого в первой строке ничего быть не должно. После этого текста ОБЯЗАТЕЛЬНО должна быть пустая строка. Затем, указывается раздел реестра, в котором надо прописать или изменить какие-то параметры. Название раздела должно быть заключено в квадратные скобки [...]. Ниже прописываются параметры, которые надо добавить, по одному параметру в строке. Если вам надо провести изменения в нескольких разделах, то вы должны оставлять одну пустую строку между последним параметром предыдущего раздела и названием следующего раздела. Может немного запутанно, но вот как это должно выглядеть: REGEDIT4 [Razdel1] "param1"="znachenie1" "param2"="znachenei2" "param3"="znachenie3" [Razdel2] "param_1"="znachenie_1" Последняя строка в файле должна быть ПУСТОЙ. После того, как вы создали такой файл, просто запустите его как обычную программу, вам будет выдан запрос о необходимости провести изменения в реестре, и после положительного ответа информация из файла будет импортирована. О результатах импортирования Windows сообщит в появившемся после этого окне. Примечание: Windows 2000/XP обладает обратной совместимостью и может обрабатывать файлы, созданные в Windows 9x. Но если вы экспортировали файл в Windows XP и перенесли его на Windows 9x, то вручную измените первую строчку на REGEDIT4 Теперь пару слов о параметрах, которые можно добавлять. Как вы, наверное, обратили внимание, в приведенном выше примере добавляются параметры с помощью строк типа "param1"="znachenie1". Т.е. таким образом добавляется СТРОКОВЫЙ параметр с именем "param1" и значением "znachenie1". Но ведь существуют еще и параметры двоичные и DWORD. Формат записи для их добавления несколько другой. Для параметров типа DWORD используется строка "param"=dword:XXXXXXXX Здесь "param" - имя параметра, dword - указывает на тип этого параметра (буквы должны быть обязательно маленькие!) и после двоеточия следует значение из восьми цифр в шестнадцатеричном (!) формате. Однако большинство параметров DWORD имеют значение либо 0, либо 1, значит, вы должны написать соответственно либо 00000000, либо 00000001 вместо значков ХХХХХХХХ. Пробелы в строке не допускаются. Для добавления двоичного параметра формат записи несколько иной: "param"=hex:XX,XX,XX,.... Теперь расшифрую эту строку. Ну, с названием параметра все ясно, после знака "=" идет hex, т.е. указывается, что это будет двоичный параметр, затем идут шестнадцатеричные числа, отделенные запятой. Например, если вам надо добавить двоичный параметр равный "be 00 00 00", то вы пишете строку "param"=hex:be,00,00,00 В реестре существуют параметры "По умолчанию" ("Default"). Чтобы присвоить им какое-то значение через reg-файл, надо добавить такую строку: @="znachenie" Здесь значок @ показывает, что у нас присваивается значение параметра "По умолчанию". Обратите внимание на то, что он не заключается в кавычки. Теперь я приведу пример простенького reg-файла, который прописывает в реестр сайт, устанавливающий домашнюю страничку в Internet Explorer'e: REGEDIT4 [HKEY_CURRENT_USER\Software\ Microsoft\Internet Explorer\Main] "Start Page" = "http://winchanger.narod.ru/" Удаление параметров С помощью reg-файлов можно не только устанавливать новые параметры, но и удалять их. Например, для удаления раздела из реестра надо перед его именем в квадратных скобках поставить символ "-". Вот как это выглядит: [-HKEY_LOCAL_MACHINE\Software\ QuickSoft\QuickStart] Благодаря этой записи, подраздел "QuickStart" из раздела "QuickSoft" будет удален со всем содержимым. Для удаления отдельных параметров используйте следующий синтаксис: REGEDIT4 [HKEY_CURRENT_USER\Software] "xxx"=- Параметры командной строки Редактор реестра можно запускать с некоторыми ключами /s (импортирует значения из reg-файла без вывода диалогового окна) /e (экспортирует параметры в reg-файл. Пример: regedit /e myfile.reg HKEY_USERS\.DEFAULT 
| |
| Категория: Хакинг и безопасность | Добавил: p3ntum | |
| Просмотров: 939 | Загрузок: 0 | Рейтинг: 0.0/0 | | |
| Всего комментариев: 0 | |
