"Чужой" реестр

базовая настройка Ос Windows XP Prof, эффективные приемы работы, проблемы, подавление вирусни & etc.

Модераторы: МураХа, :NJ:

"Чужой" реестр

Сообщение :NJ: » Чт дек 26, 2013 10:00 am

Изображение
Вступление.
Для чего написан этот обзор?
Эта инструкция иллюстрирует как подключить реестр одной Windows системы на другой Win-системе или через wine(*1) на Linux/xBSD дистрибутиве.
Это может понадобится в сотнях ситуаций. Некоторые приведу в пример.
Вы поставили программу для поддержки своего гаджета/девайса, драйвер для подключения которого не был должным образом написан/тестирован. И тут бум - получаете BSOD(голубой экран смерти). Причем система уже не грузится даже в "безопасном" режиме. Многие скажут - переустановить/перебить/снести систему(и возможно будут правы, если им нечего терять). Опытные "виндоводы" вам на это скажут, что каждая программка в моей системке настроена как часики, а некоторые - вообще - эксклюзив. Так вот, если Вы идете по пути просветления ;) - "винду" надо реанимировать(Настоящая "винда" при бережном обращении умирает только со смертью носителя, т.е. винчестера/raid/ssd). Следующий вариант - вы геймер, у Вас - миллион игр, тяжелых игр, которые вместе с обновлением драйвера видеокарты умирают на негрузящейся системе. Либо вы подцепили ненароком вирусню, которая вам спасу не дает.
Или вы зеленый админ, которому достался в опеку старенький 2к3 сервак, который после установки обнавлений от M$ или при каких других ситуациях перестает нормально работать и показывает BSOD.

Что такое реестр Windows?
У M$ написано: https://support.microsoft.com/ru-ru/kb/256986.
МЫ от сюда выцепим необходимое - это:
Куст реестра - это группа разделов, подразделов и параметров реестра с набором вспомогательных файлов, содержащих резервные копии этих данных. Вспомогательные файлы для всех кустов за исключением HKEY_CURRENT_USER хранятся в системах Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista в папке %SystemRoot%\System32\Config. Вспомогательные файлы для куста HKEY_CURRENT_USER хранятся в папке %SystemRoot%\Profiles\Имя_пользователя. Расширения имен файлов в этих папках указывают на тип содержащихся в них данных. Отсутствие расширения также иногда может указывать на тип содержащихся в файле данных.
___Куст реестра ________________Вспомогательные файлы
Код: Выделить всё
HKEY_LOCAL_MACHINE\SAM        Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\Security    Security, Security.log, Security.sav   
HKEY_LOCAL_MACHINE\Software   Software, Software.log, Software.sav
HKEY_LOCAL_MACHINE\System     System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG           System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS\DEFAULT            Default, Default.log, Default.sav

Что еще нам понадобиться ?

Таблица содержит перечень и краткое описание стандартных разделов. Максимальная длина имени раздела составляет 255 символов.

Папка/стандартный раздел Описание
HKEY_CURRENT_USER Данный раздел является корневым для данных конфигурации пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU.
HKEY_USERS Данный раздел содержит все активные загруженные профили пользователей компьютера.
Раздел HKEY_CURRENT_USER является подразделом раздела HKEY_USERS. Вместо полного имени раздела иногда используется аббревиатура HKU.

HKEY_LOCAL_MACHINE Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Вместо полного имени раздела иногда используется аббревиатура HKLM.
HKEY_CLASSES_ROOT Является подразделом HKEY_LOCAL_MACHINE\Software. Хранящиеся здесь сведения обеспечивают выполнение необходимой программы при открытии файла с использованием проводника. Вместо полного имени раздела иногда используется аббревиатура HKCR. Начиная с Windows 2000, эти сведения хранятся как в HKEY_LOCAL_MACHINE, так и в HKEY_CURRENT_USER. Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes, переопределяют принятые по умолчанию и относятся только к текущему пользователю.
Раздел HKEY_CLASSES_ROOT включает в себя данные из обоих источников. Кроме того, раздел HKEY_CLASSES_ROOT предоставляет эти объединенные данные программам, разработанным для более ранних версий Windows. Изменения настроек текущего пользователя выполняются в разделе HKEY_CURRENT_USER\Software\Classes. Модификация параметров по умолчанию должна производиться в разделе HKEY_LOCAL_MACHINE\Software\Classes. Данные из разделов, добавленных в HKEY_CLASSES_ROOT, будут сохранены системой в разделе HKEY_LOCAL_MACHINE\Software\Classes. Если изменяется параметр в одном из подразделов раздела HKEY_CLASSES_ROOT и такой подраздел уже существует в HKEY_CURRENT_USER\Software\Classes, то для хранения информации будет использован раздел HKEY_CURRENT_USER\Software\Classes, а не HKEY_LOCAL_MACHINE\Software\Classes.
HKEY_CURRENT_CONFIG Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.


Ну как-то так, для общего понимания.
Как открыть реестр с другой машины для просмотра изменения?
Что нам понадобиться ?
1. Нам нужна Windows машина с административным доступом, иначе мы не сможем на ней загрузить "чужой" куст реестра.
2. Нам также необходимо скопировать файлы реестра из исследуемой машины.
3. Правильно и целеустремленно подойти к процессу. Ровные руки и холодный разум еще ни кому не мешали %)

Поехали.
Запускаем "Редактор реестра".
Переходим на позицию раздела "HKEY_LOCAL_MACHINE".
Изображение
Выбираем меню "Файл" -> "Загрузить куст..."
Изображение
К примеру глянем что стоИт в автозагрузке "чужой" системы.
Для этого обновим в памяти где у нас живут элементы автозагрузки.
Вспомним про:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\
- это для локальной машины.
Затем для текущего пользователя:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\

Мы выбираем место где лежат файлы реестра. Читая выше можно понять,что они должны распологаться
%OFFLINE_SYSTEM_DRIVE%\WINDOWS\system32\config\* ,
где %OFFLINE_SYSTEM_DRIVE% - условное имя диска, который является системным для исследуемой системы;
WINDOWS - папка по умолчанию, куда устанавливается дистрибутив Windows(может отличаться, можно изменить при инсталяции ос).
У меня эта папка на диске - скопированная с другой системы, так как мне не надо было вносить изменения в реестр другой ос. А тут она показана только для академического опыта.

Изображение


Тут мы выбираем файл "software", олицетворяющий куст SOFTWARE, но загрузить его под именем "SOFTWARE" в пространство "HKLM" мы не сможем, так как в нашей системе уже существует ветка "SOFTWARE"(тавтология, куда ж без нее).

Изображение


Поэтому даем какое-то сходное название - либо вообще рандом.

Изображение


Но сходное - удобней для импорта / правки и последующего экспорта данных в чужой реестр.

Изображение


А что у нас внутри?

Изображение


Путь автозапуска локальной системы! А-а-а-м-ням-ням!

Изображение


[далее...]
mosk loaded, but checksum wrong...(c)
Аватара пользователя
:NJ:
 
Сообщения: 15
Зарегистрирован: Пт сен 25, 2009 12:52 pm
Откуда: Краматорск, Донецкая обл., Украина

Вернуться в Конфигурация Windows

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1