Как прочитать файл reg и проверить его безопасность

Изменение реестра

Чтобы изменить данные реестра, программа должна использовать функции реестра, определенные в функциях реестра.

Администраторы могут изменять реестр с помощью редактора реестра (Regedit.exe или Regedt32.exe), файлов групповой политики, системной политики, реестра (.reg) или запуска сценариев, таких как файлы скриптов VisualBasic.

Использование пользовательского Windows интерфейса

Рекомендуется использовать интерфейс Windows для изменения параметров системы, а не вручную изменять реестр. Однако редактирование реестра иногда может быть оптимальным методом для решения проблемы продукта. Если проблема задокументирована в базе знаний Майкрософт, будет доступна статья с пошагированными инструкциями по редактированию реестра для этой проблемы. Мы рекомендуем выполнять эти инструкции точно.

Использование редактора реестра

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Вы можете использовать редактор реестра для следующих действий:

• Найдите подтрий, ключ, подкайку или значение
• Добавление подкайки или значения
• Изменение значения
• Удаление подкайки или значения
• Переименование подкайки или значения

Область навигации редактора реестра отображает папки. Каждая папка представляет предопределяемую клавишу на локальном компьютере. При доступе к реестру удаленного компьютера отображаются только два предопределённых ключа: HKEY_USERS и HKEY_LOCAL_MACHINE.

Использование групповой политики

На консоли управления Майкрософт (MMC) размещены административные средства, которые можно использовать для администрирования сетей, компьютеров, служб и других компонентов системы. Оснастка MMC групповой политики позволяет администраторам определять параметры политики, применяемые к компьютерам или пользователям. Групповую политику можно реализовать на локальных компьютерах с помощью локальной оснастки MMC групповой политики Gpedit.msc. Можно реализовать групповую политику в Active Directory с помощью оснастки пользователей и компьютеров Active Directory MMC. Дополнительные сведения об использовании групповой политики см. в разделе Справка в соответствующей оснастке MMC групповой политики.

Использование файла Записи регистрации (.reg)

Создайте файл Записи регистрации (.reg), содержащий изменения реестра, а затем запустите файл .reg на компьютере, где необходимо внести изменения. Файл .reg можно запускать вручную или с помощью скрипта logon. Дополнительные сведения см. в публикации How to add, modify or delete registrys and values by using a Registration Entries (.reg) file.

Использование Windows скрипта

Хост Windows скриптов позволяет запускать VBScript и JScript непосредственно в операционной системе. Вы можете создать VBScript и JScript, которые используют Windows для удаления, чтения и записи ключей и значений реестра. Дополнительные сведения об этих методах можно получить на следующих веб-сайтах Майкрософт:

Использование Windows инструментов управления

Windows Инструментарий управления (WMI) является компонентом операционной системы Microsoft Windows и является microsoft реализация Web-Based Enterprise управления (WBEM). WBEM — это отраслевая инициатива по разработке стандартной технологии для доступа к сведениям об управлении в корпоративной среде. С помощью WMI можно автоматизировать административные задачи (например, редактирование реестра) в корпоративной среде. WMI можно использовать в языках скриптов, на Windows которые обрабатывают объекты Microsoft ActiveX. Вы также можете использовать утилиту WMI Command-Line (Wmic.exe) для изменения Windows реестра.

Дополнительные сведения о WMI см. в Windows инструментов управления.

Дополнительные сведения о утилите WMI Command-Line см. в описании утилиты командной строки управления Windows (WMI) (Wmic.exe).

Используйте средство реестра консоли для Windows

Для редактирования реестра можно использовать средство реестра консоли Windows (Reg.exe). Для получения помощи с Reg.exe введите в командной подсказке, а затем нажмите кнопку ОК.

Изучите реестр с помощью команды Reg

Одним из очень полезных инструментов командной строки, встроенных прямо в Windows, является команда «Reg». Запустите командное окно (через Поиск или Стандартные или нажмите Клавиша Windows + R, войти cmd, и ударил Войти), и вы можете использовать этот быстрый и эффективный инструмент для запроса значений ключей реестра, добавления или изменения значений ключей или даже экспорта и импорта ключей.

Единственная загвоздка при использовании этого инструмента заключается в том, что вам понадобится список ключей, которые вы хотите отслеживать или изменять, прежде чем вводить команды. Например, если вы хотите отслеживать каталог общих файлов, который в настоящее время использует операционная система Windows, вы можете проверить этот ключ, введя:

Reg запрос HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion / v CommonFilesDir

Полученное значение ключа отображается, когда вы нажимаете клавишу ввода.

Если вы хотите регулярно отслеживать важные значения реестра, чтобы видеть, не изменились ли какие-либо из них в результате вирусов или другого вредоносного программного обеспечения, вы можете создать пакетное задание, которое запрашивает все эти ключи и выводит их в файл данных, например:

reg запрос HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion / v CommonFilesDir >> c: temp registryinfo.txt

reg запрос HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion / v ProgramFilesDir >> c: temp registryinfo.txt

reg запрос HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion / v ProgramFilesPath >> c: temp registryinfo.txt

reg запрос HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion / v SM_GamesName >> c: temp registryinfo.txt

Полученный выходной файл будет выглядеть, как показано ниже.

Используя команду «reg», вы также можете добавить новые значения, набрав:

reg добавить HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion TestKey

Очевидно, что нет особого смысла добавлять значение TestKey в этот домен реестра, но это показывает, как можно быстро добавить ключ в любом месте реестра с помощью всего одной командной строки.

С помощью команды «reg» вы также можете использовать функцию «экспорт», чтобы сделать снимок важных разделов реестра. Это так же просто, как ввести «reg export», за которым следует путь к ключу или папке домена. Например, чтобы сделать снимок всего домена реестра CurrentVersion, вы должны ввести:

reg экспорт HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion c: temp CurrentVersionExport.txt

После того, как вы сохранили эти файлы снимков, вы можете импортировать их позже, используя команду «reg import ». Это удобный способ исправить важные разделы реестра после того, как обновление программного обеспечения или вирусная инфекция повредили его. Очевидно, что это более «ручной» подход к управлению и защите реестра, но для тех, кто предпочитает командную строку или пакетное задание использованию готовых приложений — это идеальное решение.

Использование Regshot для отслеживания системных изменений

Теперь, когда вы установили regshot, вы готовы испытать его. После того, как вы открыли regshot, вам нужно будет сделать первый снимок, который будет служить снимком «до». Сделайте это, нажав кнопку «1-й снимок», а затем — «Снимок»

Обратите внимание, что файл будет сохранен как TXT-файл в « C: \ Users \ ВАШЕ ИМЯ \ AppData \ Local \ Temp \ » каталог, но вы можете изменить это на любую папку, которую вы хотите

Теперь, когда вы сделали свой первый снимок, давайте начнем вносить изменения, открыв Панель управления. В разделе «Внешний вид и персонализация» нажмите «Изменить фон рабочего стола».

Теперь мы просто выберем любое фоновое изображение и применим изменения, нажав «Сохранить изменения» в правом нижнем углу экрана.

Теперь, когда вы внесли изменения в систему, пришло время сделать второй снимок вашего реестра, чтобы увидеть, были ли внесены какие-либо изменения. Сделайте это, вернувшись к приложению regshot и нажав «2nd shot», а затем нажав «Shot».

После этого вы можете заметить, что цифры, показанные внизу экрана приложения, изменились. В этом случае «Ключи» и «Значения» изменились. Теперь мы нажмем кнопку «Сравнить», чтобы сравнить снимки до и после.

Откроется файл «Блокнот» с краткой информацией об изменениях.

Если вы продолжите прокручивать документ вниз, вы увидите, что в нем изложены несколько различных аспектов, включая следующие. Помните, что цифры будут различаться в зависимости от вашего компьютера.

1. Ключи добавлены: 8
2. Добавлено значений: 36
3. Значения изменены: 25
4. Всего изменений: 69 ​​(это отображается внизу документа)

Помимо перечисления изменений, он предоставляет подробные сведения о том, какие ключи были изменены при изменении фона рабочего стола. Это может быть полезно, если вы хотите манипулировать этими клавишами вручную.

Что изменило реестр: ищем виновника и причину

Компьютер76 » Настройки Windows » Что изменило реестр: ищем виновника и причину.

22.10.2018

Отслеживание изменений в реестре – один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров.

Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок.

Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о “встроенных” возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.

В Windows аудитом изменений реестра “занимается” специальная служба под наименованием Object Access Audit Policy, а за конкретным ключом будет присматривать Audit Security. После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.

Вся процедура подразумевает три пункта:

• активация политики Аудита
• активация SACL
• просмотр Журнала событий и поиск по фильтрам

Перед тем, как начать…

Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки.

Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров.

Так что:

А мы приступаем.

Что изменило реестр: настраиваем групповую политику

с помощью быстрой команды отправляемся в редактор политики

secpol.msc

найдём настройку Политики Аудита и справа выберем Аудит доступа к объектам:

выставим пару галочек для формирования событий:

Соглашаемся, закрываем окна и выходим из редактора

Что изменило реестр: настраиваем события в самом реестре

заходим в редактор реестра

regedit.exe

ищем ключ, изменения в котором нужно отслеживать. Для примера я возьму параметр, в который часто лезут программы (раздел огромный, в Журнале ему будет тесно, конечно):

через Разрешения выходим на окно Безопасности, в котором выберем кнопку Дополнительно. И окажемся в окне Дополнительных параметров безопасности для искомого ключа. Следуем по пути, мною указанному (вкладка Аудит – кнопка Добавить – в окне имён пишем Все и закрепим кнопкой Проверить имена):

появится окно Объекта для элемента аудита. Выставляем Полный доступ на Успех и Отказ:

Применить и ОК. Можно из реестра выходить, здесь закончили.

Что изменило реестр: проверяем

Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:

eventvwr.msc

В левой части консоли раскрываем Журналы Windows ->Безопасность:. Событий там много из без того, так что нам лишь стоит выставить необходимы фильтры по идентификационным номерам (все вам вряд ли понадобятся, читайте описание для каждого). Это:

• 4656 – это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем. 
• 4657 – параметр реестра изменился
• 4660 – параметр удалён
• 4663 – это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел

Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:

Подробности события – в одноимённой вкладке для каждого из них:

Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.

Успехов.

Загрузка и выгрузка куста¶

Допустим, имеется жесткий диск с нерабочего компьютера. Чтобы получить доступ к определенным веткам реестра, который хранится на этом жестком диске, необходимо:

1. Подключить жесткий диск к рабочему компьютеру;
2. Открыть реестр на рабочем компьютере;
3. Выбрать необходимую ветку реестра;

Рис. 6 – Выбор ветки

1. Перейти в меню «Файл → Загрузить куст»;

Рис. 7 – Выбор ветки

1. В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера;

Рис. 8 – Выбор ветки

1. Задать произвольное имя загруженному кусту.

Рис. 9 – Присвоение произвольного имени разделу

В соответсвии с примером, в ветку работающего компьютера была загружена ветка с неработающего компьютера.

Для загрузки других веток реестра, необходимо выбирать соответствующие файлы на жестком диске. Таблица соответсвия веток реестра и файлов на жестком диске приведена в главе данного руководства.

Примечание

Также допустимо скопировать папку на обыкновенную флешку и загружать требуемые кусты с нее.

Совет

При работе с загруженными кустами есть нюанс, который заключается в разрешениях (правах) на доступ к тем или иным разделам. Подробнее о разрешениях написано в разделе данной главы.

Более простой способо обойти подводные камни с разрешениями на ветки заключается в использовании утилиты , работа с которой описана в разделе .

Регистрация во временном профиле

Когда вы пытаетесь войти в свою обычную учетную запись пользователя, а она не работает, то вы попадаете во временную учетную запись. Это обычно происходит, если критическое обновление операционной системы «Windows» было принудительно прекращено в середине процесса.

Вы увидите одну из двух возможных ошибок (или иногда обе ошибки сразу):

• Первая сообщает, что вы вошли в систему под временным профилем. В этом случае вы не сможете получить доступ к своим пользовательским файлам. А файлы, созданные в этом профиле, будут удалены при выходе из системы. Чтобы исправить это, вам будет предложено выйти из системы и попробовать выполнить вход позже. А также просмотреть журнал событий или обратится за помощью к системному администратору.
• Вторая уведомит, что система не может выполнить вход в вашу учетную запись. Как вариант решения проблемы система посоветует выйти из учетной записи, а затем снова зайти в нее. Причем, если вы не выйдете из системы, то все файлы, которые вы создадите, или все внесенные вами изменения, будут потеряны.

Как восстановить реестр операционной … Восстановление реестра Windows 10 из … Как восстановить реестр Windows 10

Очевидно, первое, что нужно выполнить, это прислушаться к совету и попытаться выйти из своей учетной записи, а затем войти обратно. Иногда такого действия бывает достаточно, однако шансы на успех невелики, но вы должны попробовать этот вариант в любом случае.

Как использовать обходной хак

Вы можете следовать приведенному ниже руководству, чтобы использовать способ обхода реестра в своей системе. После того как вы отредактируете необходимые значения реестра, вы сможете использовать следующий раздел для установки Windows 11 в вашей системе. Давайте начнем.

Вариант 1. Отключите реестр регистрации доверенного платформенного модуля вручную

Нажмите Windows + R на клавиатуре, введите regedit и затем нажмите Enter на клавиатуре, чтобы открыть редактор реестра.

Перейдите по следующему пути. Вы также можете скопировать и вставить адрес ниже в адресную строку вверху.

HKEY_LOCAL_MACHINE SYSTEM Setup MoSetup

Теперь щелкните правой кнопкой мыши пустую область справа и выберите «Создать».

Выберите «Значение DWORD (32 бита)».

Введите следующее имя для нового значения и нажмите Enter на клавиатуре, чтобы подтвердить изменения.

AllowUpgradesWithUnsupportedTPMOrCPU

Дважды щелкните вновь созданное значение и введите «1» в качестве данных значения.

Нажмите «ОК», чтобы сохранить изменения.

Теперь вы можете установить Windows 11 в своей системе, и вы больше не будете ограничены во время установки.

Вариант 2. Отключить реестр регистрации доверенного платформенного модуля автоматически с помощью сценария реестра.

Если вы хотите автоматически редактировать значения реестра, вы можете просто использовать файл, указанный ниже.

Загрузите файл на свой компьютер и запустите файл DisableTPMcheck.

Нажмите «Да», чтобы подтвердить изменения.

Теперь вы можете установить Windows 11 на свой компьютер, и вы больше не будете ограничены из-за требований TPM. Если вы когда-нибудь захотите отменить свои изменения, просто запустите файл EnableTPMcheck в архиве .zip, ссылка на который приведена выше.

Следующий шаг: обновление до Windows 11

Теперь вы можете легко перейти на Windows 11, не беспокоясь о проверке TPM. Мы рекомендуем вам использовать Помощник по установке Windows 11, специальный инструмент от Microsoft, разработанный, чтобы помочь вам выполнить обновление без потери каких-либо файлов или настроек. Вы можете использовать это руководство от нас, если хотите использовать Помощник по установке.

Читайте: Как использовать Помощник по установке Windows 11 для обновления с Windows 10

Вы также можете использовать ISO от Microsoft. Это позволит вам создавать загрузочные USB-накопители, которые можно использовать для установки Windows 11 в более продвинутых системах, создавать двойные загрузочные диски или, если вы просто хотите начать с нуля, отформатировав все свои диски. Используйте это руководство для обновления до Windows 11 с помощью ISO от Microsoft.

Прочтите: Как загрузить и установить официальный Windows 11 ISO

Отслеживание изменений в реестре программой Regshot

Как сделать снимки реестра Windows для сравнения и отслеживания изменений?

Отследить изменения реестра можно разными способами, в ручную или с помощью специальных программ. В данной статье я расскажу как это сделать  с помощью программ, что на мой взгляд намного удобнее.

Как я и обещал, в статье «Где скачать вирусы», этой публикацией мы начинаем цикл статей посвященных анализу вредоносных программ. В этих статьях буду рассказывать об инструментах, которые позволяют исследовать вирусы и их поведение.

Сегодняшняя статья будет полезна не только исследователям вирусов, но и просто обычным пользователям, которые хотят стать более продвинутыми в использовании компьютера.  Я расскажу как с помощью программы Regshot делать снимки реестра Windows для сравнения и отслеживания изменений.

Что такое реестр Windows?

Реестр — это одна из основных частей операционной системы Microsoft Windows. Несмотря на это, большинство пользователей используют операционную систему и не подозревают о существования реестра.

Неопытный пользователь даже не догадывается, что при изменении всех параметров: установки программ, изменения самой Windows и подключаемых к ней устройств все изменения вносятся в реестр Windows.

Одним словом реестр — это в каком-то смысле ядро операционной системы, в которой сохраняются все настройки и изменения.

Отслеживание изменений в реестре

Зачем анализировать реестр и отслеживать изменения?

Допустим вы уже не просто пассивный пользователь компьютера-чайник и хотите узнать что там происходит за кулисами во время установки новой программы или на виртуальной машине анализировать поведение вируса. Для того чтобы узнать какие изменения делает весь софт, и нужны программы для отслеживания реестра. Одним из таких инструментов является программа RegShot.

Снимок реестра с помощью RegShot

RegShot — небольшая бесплатная с открытым исходным кодом программа, которая позволяет делать снимки реестра и сравнить их. Все изменения, которые произошли в реестре можно сохранить в текстовом файле или файле html.

Скачать программу RegShot бесплатно вы можете по этой прямой ссылке.

Авторы утилиты: XhmikosR, M. Buecher.

Установка RegShot

После того как программа скачалась, разархивируйте архив и перейдите в папку с файлами. В папке будет несколько файлов.

Выбирая исполняемый файл обратите внимание на разрядность вашей операционной системы

Настройка и использование RegShot

После запуска появится небольшое окно программы, в котором сразу меняем язык шкурки на Русский. Есть также и Украинский язык интерфейса.

Теперь приступим к работе. Отслеживание изменений реестра начинается со снятия первого снимка реестра. Нажимаем на кнопку снимок и в выпадающем окне видим 3 опции:

• Снимок — Только снимок
• Снимок + Сохранить — Снимок и бекап реестра
• Открыть — Открыть уже сделанный снимок реестра

Выбираем необходимый вариант. В моем случае для примера нет необходимости делать бекап реестра, поэтому я нажимаю на кнопку «Снимок». Программа оживится и начнет создавать первый снимок реестра. Внизу окна вы увидите как меняются цифорки.

Когда цифры остановятся, и программа успокоится, можно приступать к работе со стороними программами, установка и все такое.

После окончания нажимаем на кнопку «Второй снимок» и через несколько секунд можно нажимать на кнопку «Сравнить».

Я не устанавливал никаких программ, а только изменил несколько параметров в панели управления Windows. Как вы видите утилита Regshot зафиксировала все изменения.

Во время установки софта отчет будет конечно побольше.

Если нужно сделать повторный анализ реестра, то жмем на кнопку «Очистить» и начинаем по новой.

Как вы видите сделать снимок реестра для отслеживания изменений очень просто, особенно когда под рукой правильная программа. Это очень удобно если вам необходимо узнать, какие изменения в реестр вносит программа во время инсталляции. Кстати данным способом можно узнать какие элементы реестра отвечают за ту или иную настройку Windows.

Используя ОС Windows не плохо было бы узнать ее получше. Можно начать со статьи про мистический файл Thumbs.db, о котором вы просто обязаны знать!

На этом все, друзья. В будущем будем изучать и другие инструменты. И да, я не забыл про то, что обещал сделать подробную инструкцию о том, как сделать надежную изолированную лабораторию на виртуальной машине для проверки софта и вирусов. Так что милости просим в наши паблики вконтакте и других соцсетях, чтоб нечего не пропустить.

Скачиваем и используем Regshot

В сети есть несколько разных зеркал для скачивания программы Regshot, но мы будем скачивать программу с официального сайта проекта Regshot на SourceForge.

Когда вы скачаете архив с программой и распакуете его, зайдите в папку с файлами из архива. Так как программа не требует установки, то запустить ее можно сразу, как портативную. В зависимости от разрядности вашей операционной системы (х86 или х64) откройте соответствующий исполняемый файл.

Лучше всего открывать программу в режиме администратора, для этого по клику правой клавишей выберем пункт «Запустить от имени Администратора».