Registre Windows(Registre Windows - registre système) est une base de données hiérarchique (arborescente) contenant des enregistrements qui définissent les paramètres et paramètres des systèmes d'exploitation Systèmes Microsoft Les fenêtres. Le registre, tel qu'il apparaît lorsqu'il est affiché par l'Éditeur du Registre, est créé à partir de données provenant de fichiers de registre et d'informations sur le matériel collectées lors du processus de démarrage. Dans la description des fichiers de registre sur langue anglaise terme utilisé "Ruche". Dans la documentation Microsoft, ce terme est traduit par "Buisson".

 Les principaux fichiers responsables de la création du registre

Les fichiers de registre sont créés pendant le processus d'installation système opérateur et sont stockés dans le dossier :

%SystemRoot%\system32\config (généralement C:\windows\system32\config ).

Pour les systèmes d'exploitation Windows, ces fichiers sont nommés :

système
logiciel
sam
sécurité
défaut
Composants
modèle bcd

Dans les systèmes d'exploitation Windows Vista, Windows 7, Windows8, , , , les fichiers de registre se trouvent dans le répertoire \Windows\system32\config et portent les mêmes noms, mais dans ces systèmes d'exploitation, il a été ajouté nouvelle rubrique inscrivez-vous pour le stockage ( Données de configuration de démarrage) Avec nom BCD00000000. Le fichier contenant les données de cette section est nommé cdb et est situé dans dossier caché Botte partition active (la partition à partir de laquelle le système démarre). Généralement, lors d'une installation Windows standard, une petite partition active est créée (de 100 à 500 mégaoctets selon le système d'exploitation), qui est cachée à l'utilisateur et contient uniquement les données de service pour démarrer le système - enregistrements de démarrage, Gestionnaire de téléchargement gestionnaire de démarrage, magasin de configuration de démarrage BCD, fichiers de localisation et programmes de test de mémoire. Emplacement de la brousse cdb dépend de la façon dont le chargeur de démarrage du système est configuré lors de l'installation et peut se trouver sur la même partition que le répertoire Windows.

L'emplacement des fichiers de registre dans n'importe quelle version de Windows peut être visualisé à l'aide de l'Éditeur du Registre, dans la section :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist

Cette section stocke des informations sur toutes les ruches, y compris les profils utilisateur, avec des liens vers leur emplacement dans le système de fichiers Windows.

 Structure du registre

Le registre Windows a une structure arborescente et se compose de 5 clés de registre principales :

HKEY_LOCAL_MACHINE (HKLM) est la plus grande clé de registre. Il contient tous les paramètres de base du système d'exploitation, ainsi que le matériel informatique et les logiciels. Les informations contenues dans cette section s'appliquent à tous les utilisateurs s'inscrivant sur le système.

HKEY_CLASSES_ROOT (HKCR) - contient des associations entre les applications et les types de fichiers (par extensions de fichiers). Cette section contient également des informations sur les types de fichiers enregistrés et les objets COM et ActiveX. Sauf HKEY_CLASSES_ROOT ces informations sont également stockées dans des sections HKEY_LOCAL_MACHINE Et HKEY_CURRENT_USER. Chapitre HKEY_LOCAL_MACHINE\Logiciel\Classes Contient les paramètres par défaut qui s'appliquent à tous les utilisateurs de l'ordinateur local. Options contenues dans la section HKEY_CURRENT_USER\Software\Classes, remplacez ceux par défaut et appliquez-les uniquement à l'utilisateur actuel. Chapitre HKEY_CLASSES_ROOT comprend des données provenant des deux sources.

HKEY_USERS (HKU) - contient les paramètres d'environnement pour chacun des profils utilisateur chargés, ainsi que pour le profil par défaut. DANS HKEY_USERS il y a une section imbriquée \Défaut, ainsi que d'autres sous-sections identifiées par l'identifiant de sécurité ( ID de sécurité, SID) chaque utilisateur.

HKEY_CURRENT USER (HKCU) - contient les paramètres d'environnement pour l'utilisateur actuellement connecté au système (variables d'environnement, paramètres de bureau, paramètres réseau, applications et appareils connectés).

Cette section duplique les informations dans HKEY_USERS\ID utilisateur, Où ID utilisateur- identifiant de sécurité de l'utilisateur actuellement enregistré dans le système (vous pouvez connaître le SID de l'utilisateur actuel en tapant dans la ligne de commande whoami/utilisateur).

HKEY_CURRENT_CONFIG (HKCC) - contient les paramètres du profil matériel actuel. Le profil matériel actuel comprend des ensembles de modifications apportées à la configuration standard de l'appareil spécifiée dans les sous-sections Logiciel Et Système partition racine HKEY LOCAL_MACHINE. DANS HKEY_CURRENT_CONFIG Seuls les changements sont reflétés. De plus, les informations contenues dans cette section se trouvent dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\HardwareProfiles\Current.

Les données du registre sont stockées sous forme de paramètres situés dans les clés de registre. Chaque paramètre est caractérisé par un nom, un type de données et une valeur.

 Types de données de base utilisés dans le registre

REG_DWORD - numéro 32 bits. De nombreux pilotes de périphérique et paramètres de service utilisent ce type de données. Les éditeurs de registre peuvent afficher ces données au format binaire, hexadécimal et décimal.

REG_SZ - Une chaîne de texte dans un format lisible par l'homme. Les valeurs qui représentent les descriptions de composants se voient généralement attribuer ce type de données.

REG_EXPAND_SZ - La chaîne de données à développer. Cette ligne est un texte contenant une variable qui peut être remplacée lorsqu'elle est appelée par l'application, par exemple utilisée pour enregistrer des variables d'environnement.

REG_MULTI_SZ - Champ multiligne. Des valeurs qui sont en fait des listes chaînes de texte dans un format lisible par l'homme contiennent généralement ce type de données. Les lignes sont séparées par le caractère NULL.

REG_BINARY - Données binaires. La plupart des composants matériels utilisent des informations stockées sous forme de données binaires. Les éditeurs de registre affichent ces informations au format hexadécimal.

REG_RESOURCE_LIST - Liste des ressources matérielles. S'applique uniquement à une succursale HKEY_LOCAL_MACHINE\HARDWARE.

Vous pouvez également parfois trouver les types de données de registre suivants :

 REG_RESOURCE_REQUIREMENTS_LIST- Liste des ressources matérielles requises. S'applique uniquement à une succursale HKEY_LOCAL_MACHINE\HARDWARE.

REG_FULL_RESOURCE_ DESCRIPTOR - Descripteur (descripteur) d'une ressource matérielle. S'applique uniquement à une succursale HKEY_LOCAL_MACHINE\HARDWARE.

REG_QWORD - numéro 64 bits.

REG_DWORD_ LITTLE_ENDIAN - Nombre 32 bits au format petit-boutiste, équivalent REG_DWORD.

REG_DWORD_BIG_ENDIAN est un nombre 32 bits au format big-endian.

REG_QWORD_LITTLE_ENDIAN est un nombre de 64 bits au format pointe de flèche. Équivalent REG_QWORD.

REG_NONE - Le paramètre n'a pas de type de données spécifique.

 Interaction du registre avec le système d'exploitation

Lorsque l'ordinateur démarre, le dispositif de reconnaissance matérielle ( outil de reconnaissance matérielle) place une liste des appareils qu'il détecte dans le registre. Généralement, la reconnaissance matérielle est effectuée par logiciel Ntdetect.com et le noyau du système d'exploitation Ntoskrnl.exe

Lorsque le système démarre, le noyau du système récupère des informations du registre sur les pilotes de périphérique en cours de chargement et l'ordre dans lequel ils sont chargés. De plus, le programme Ntoskrnl.exe envoie des informations le concernant au registre (par exemple, le numéro de version).

Pendant le processus de démarrage du système, les pilotes de périphérique échangent les paramètres de démarrage et les données de configuration avec le registre. Un pilote de périphérique signale les ressources système qu'il utilise, y compris les interruptions matérielles ( IRQ) et les canaux d'accès à la mémoire ( DMLA) afin que le système puisse inclure ces données dans le registre. À propos, le registre vous permet de créer plusieurs profils matériels. Profil matériel ( profil matériel) est un ensemble d'instructions qui peuvent être utilisées pour indiquer au système d'exploitation quels pilotes de périphérique doivent être chargés au démarrage de l'ordinateur. Par défaut, le système crée un profil matériel standard contenant des informations sur tout le matériel trouvé sur l'ordinateur.

Lorsqu'un utilisateur se connecte, les profils utilisateur sont chargés ( des profils d'utilisateurs). Toutes les informations relatives à un nom d'utilisateur spécifique et aux droits associés sont stockées dans le registre. Un profil utilisateur définit les paramètres système individuels (résolution d'affichage, paramètres de connexion réseau, appareils connectés et bien plus encore). Les informations sur les profils d'utilisateurs sont également stockées dans le registre.

Lors de l'installation d'applications. Chaque fois que vous exécutez le programme d'installation, de nouvelles données de configuration sont ajoutées au registre. Au démarrage, tous les programmes d'installation doivent lire les informations du registre pour déterminer si les composants dont ils ont besoin sont présents sur le système. De plus, le registre permet aux applications de partager des informations de configuration, leur offrant ainsi une plus grande interopérabilité. L'application doit utiliser activement et correctement le registre, et également être capable de le supprimer correctement sans affecter les composants pouvant être utilisés par d'autres programmes (bibliothèques, modules de programme, etc.). Ces informations sont également stockées dans le registre.

Lors de l'administration du système. Lorsqu'un utilisateur apporte des modifications à la configuration du système à l'aide d'outils d'administration système (par exemple, en utilisant Panneaux de contrôle ou claquer MMC), toutes les modifications sont immédiatement reflétées dans le registre système. Essentiellement, les outils d’administration constituent le moyen le plus pratique et le plus sûr de modifier le registre. À propos, l'éditeur de registre peut également être considéré comme un outil d'administration ( regedit.exe), car toutes les modifications apportées au système peuvent être apportées directement en modifiant le registre.

■ Pendant le chargement et le fonctionnement du système d'exploitation, les données du registre sont constamment consultées, tant en lecture qu'en écriture. Les fichiers de registre changent constamment car non seulement le système, mais aussi candidatures individuelles peut utiliser le registre pour stocker ses propres données, paramètres et paramètres. En d’autres termes, accéder au registre est l’une des opérations les plus courantes. Même si l'utilisateur ne travaille pas sur l'ordinateur, les services système, les pilotes et les applications peuvent toujours accéder au registre.

■ La violation de l'intégrité des fichiers de registre (violation de la structure des données) ou des valeurs incorrectes de paramètres critiques individuels peuvent entraîner un crash du système. Par conséquent, avant d'expérimenter avec le registre, veillez à la possibilité de le sauvegarder et de le restaurer.

    Le registre (registre système) est une base de données hiérarchique contenant des entrées qui définissent les paramètres et paramètres des systèmes d'exploitation Microsoft Windows. Le registre, tel qu'il apparaît lorsqu'il est affiché par l'Éditeur du Registre, est créé à partir de données provenant de fichiers de registre et d'informations sur le matériel collectées lors du processus de démarrage. Lors de la description des fichiers de registre en anglais, le terme « Hive » est utilisé. Dans certains ouvrages, il est traduit en russe par « ruche ». Microsoft traduit cela par « Bush » dans sa documentation. Les fichiers de registre sont créés pendant le processus d'installation du système d'exploitation et sont stockés dans le dossier %SystemRoot%\system32\config(généralement C:\windows\system32\config). Pour les systèmes d'exploitation Windows 2000/XP, il s'agit de fichiers nommés
défaut
sam
sécurité
logiciel
système
.Pendant le processus de téléchargement, le système obtient un accès exclusif à ces fichiers et, par conséquent, vous ne pouvez rien faire avec eux en utilisant les outils standard pour travailler avec des fichiers (ouvrir pour visualiser, copier, supprimer, renommer). Pour travailler avec du contenu registre du système un logiciel spécial est utilisé - des éditeurs de registre (REGEDIT.EXE, REGEDT32.EXE), qui sont des composants standard du système d'exploitation. Pour lancer le registre, utilisez "Démarrer" "Exécuter" - regedit.exe

    Dans la moitié gauche de la fenêtre, vous voyez une liste partitions racine (clés racine) enregistrement Chaque partition racine peut inclure sections imbriquées (sous-clés) Et paramètres (entrées de valeurs).
En bref sur le but des partitions racine :
HKEY_CLASSES_ROOT ( abréviation HKCR) - Associations entre applications et extensions de fichiers et informations sur les objets COM et ActiveX enregistrés.
HKEY_CURRENT_USER (HKCU)- Paramètres de l'utilisateur actuel (bureau, paramètres réseau, applications). Cette section est un lien vers la section HKEY_USERS\User Identifier (SID) sous la forme S-1-5-21-854245398-1035525444-...
Le SID est un numéro unique qui identifie un utilisateur, un groupe ou un compte d'ordinateur. Il est attribué au compte lors de sa création. Les processus internes de Windows accèdent aux comptes par leurs codes de sécurité plutôt que par les noms d'utilisateur ou de groupe. Si vous supprimez puis créez à nouveau un compte avec le même nom d'utilisateur, les droits et autorisations accordés à l'ancien compte ne seront pas conservés pour le nouveau compte car leurs codes de sécurité seront différents. L'abréviation SID est dérivée de Security ID. Pour afficher la correspondance entre le SID et le nom d'utilisateur, vous pouvez utiliser l'utilitaire PsGetSID.exe du package
HKEY_LOCAL_MACHINE (HKLM)- Paramètres globaux du système matériel et logiciel. Applicable à tous les utilisateurs. Il s’agit de la partie la plus vaste et la plus importante du registre. Les principaux paramètres du système, du matériel et des logiciels sont concentrés ici.
HKEY_USERS(HKU)- paramètres d'environnement individuels pour chaque utilisateur du système (profils utilisateur) et un profil par défaut pour les utilisateurs nouvellement créés.
HKEY_CURRENT_CONFIG (HKCC)- configuration pour le profil matériel actuel. Il n'y a généralement qu'un seul profil, mais il est possible d'en créer plusieurs en utilisant « Panneau de configuration » - « Système » - « Matériel » - « Profils matériels ». En fait, HKCC n'est pas une clé de registre à part entière, mais simplement un lien vers une clé de HKLM.
HKLM\Système\CurrentControlSet\CurrentControlSet\Profils matériels\Current

    Les capacités d'un utilisateur particulier lors de la modification des données du registre sont déterminées par ses droits dans le système. Plus loin dans le texte, il est supposé, sauf indication contraire, que l'utilisateur dispose des droits d'administrateur système.
    En fait, dans la section racine de HKLM, il y a 2 autres sous-sections nommées SAM et SECURITY, mais l'accès à celles-ci n'est autorisé que sous le compte système local, sous lequel les services système sont généralement exécutés. Autrement dit, pour y accéder, vous devez lancer l'éditeur de registre avec les droits du système local, pour lesquels vous pouvez utiliser
psexec.exe -i -s regedit.exe
Une description détaillée de l'utilitaire se trouve sur la page "Utilitaires PSTools"

    Pendant le chargement et le fonctionnement du système d'exploitation, les données du registre sont constamment consultées en lecture et en écriture. Même un paramètre incorrect dans le registre peut entraîner une panne du système, tout comme l'intégrité des fichiers individuels. Par conséquent, avant d'expérimenter avec le registre, veillez à la possibilité de le sauvegarder et de le restaurer.

Sauvegarde et restauration du registre

1. Utilisation des points de restauration

    Sous Windows XP, il existe un mécanisme par lequel, en cas de problème, vous pouvez restaurer l'état précédent de l'ordinateur sans perdre de fichiers personnels (documents Microsoft Word, liste des pages consultées, des images, des fichiers favoris et des messages E-mail). Les points de restauration sont créés automatiquement par le système lorsque l'ordinateur est inactif, ainsi que lors d'événements système importants (tels que l'installation d'une application ou d'un pilote). L’utilisateur a également la possibilité de les forcer à tout moment. Ces points de restauration vous permettent de remettre le système dans l'état dans lequel ils ont été créés.
    Pour travailler avec des points de récupération, utilisez l'application \windows\system32\restore\rstrui.exe ( Démarrer - Programmes - Accessoires - Outils système - Restauration du système).

    Les données du point de contrôle de récupération sont stockées dans le répertoire Information de volume du system disque système. Il s'agit d'un répertoire système caché, dont l'accès n'est autorisé qu'au compte système local (Système local, c'est-à-dire « Service de restauration du système »). Par conséquent, si vous souhaitez accéder à son contenu, vous devrez ajouter vos droits de compte via l'onglet « Sécurité » dans les propriétés du répertoire « System Volume Information ». Le dossier System Volume Information possède un sous-répertoire dont le nom commence par _restaurer... et à l'intérieur - des sous-répertoires RP0, RP1...: - ce sont les données des points de restauration (Restore Point - RPx). Dans le dossier RPx se trouve un répertoire instantané, contenant des copies des fichiers de registre au moment de la création du point de contrôle. Lorsque vous effectuez une opération de restauration du système, le principal fichiers système et les fichiers de registre. Le mécanisme est assez efficace, mais il ne peut être utilisé que dans Windows lui-même. Si le système est tellement endommagé que le chargement est impossible, il existe encore un moyen de sortir de la situation. Comment - lisez la section "Problèmes de chargement du système d'exploitation" de l'article

2. Utilisation de l'utilitaire de sauvegarde/restauration NTBACKUP.EXE

    Windows 2000 ne dispose pas de mécanisme de point de restauration. Cependant, comme sous Windows XP, il existe un utilitaire d'archivage, ou plutôt de sauvegarde et de restauration. NTBACKUP.EXE, qui permet de faire presque la même chose que lors de la création de points de restauration (et même bien plus). NTBACKUP vous permet de créer une archive de l'état du système à partir de 2 parties : une disquette de démarrage, qui vous permet d'effectuer une récupération même sur un système non amorçable, et l'archive réelle des données à récupérer (sous la forme fichier régulier avec l'extension .bkf, enregistré sur votre disque dur ou support amovible). Pour obtenir une copie de l'état du système, cliquez sur "Démarrer" - "Exécuter" - ntbackup.exe

Nous lançons et lui disons que nous devons archiver l'état du système.

Et où stocker les données d'archives

    Après avoir terminé l'assistant, une archive d'état du système sera créée (D:\ntbackup.bkf) En utilisant "Maîtres de la Restauration" vous pouvez toujours renvoyer l'état du système au moment de la création de l'archive.

3. Utilisation de l'utilitaire pour travailler avec le registre à partir de la ligne de commande REG.EXE

    Sous Windows 2000, l'utilitaire REG.EXE est inclus dans le package d'outils de support (vous pouvez également utiliser REG.EXE à partir de Windows XP - copiez-le simplement dans le répertoire \winnt\system32). S'exécute à partir de la ligne de commande. Lorsqu'il est lancé sans paramètres, il affiche une brève aide sur la façon de l'utiliser :

Programme d'édition du registre système à partir de la ligne de commande, version 3.0
(C) Microsoft Corporation, 1981-2001. Tous droits réservés

Fonctionnement REG [Liste des paramètres]

Opération == [ REQUÊTE | AJOUTER | SUPPRIMER | COPIE |
ENREGISTRER | CHARGEMENT | DÉCHARGEMENT | RESTAURER |
COMPARER | EXPORTATION | IMPORTER ]

Code retour : (sauf REG COMPARE)
0 - Réussi
1 - Avec une erreur

Pour obtenir de l'aide pour une opération spécifique, saisissez :
Opération REG /?

Exemples:

REQUÊTE REG /?
REG AJOUTER /?
REG SUPPRIMER /?
COPIE REG /?
ENREGISTRER /?
RESTAURER REG /?
CHARGE REG /?
DÉCHARGEMENT REG /?
REG COMPARER /?
EXPORTATION REG /?
IMPORTATION REGULATIVE /?

Pour sauvegarder le registre, utilisez REG.EXE SAVE, pour restaurer - REG.EXE RESTORE

Pour aider

REG.EXE ENREGISTRER /?
Section REG SAVE Nom du fichier

Section - Chemin complet vers la clé de registre sous la forme : ROOT\Subkey
RACINE - Section racine. Valeurs : [ HKLM | HKCU | HKCR | HKU | HKCC].
sous-clé - Chemin complet vers la clé de registre dans la section racine sélectionnée.
Nom du fichier - Le nom du fichier enregistré sur le disque. Si le chemin n'est pas précisé, le fichier
est créé par le processus appelant dans le dossier actuel.

Exemples:
REG SAVE HKLM\Software\MyCo\MyApp AppBkUp.hiv
Enregistre la section MyApp dans le fichier AppBkUp.hiv dans le dossier actuel

    La syntaxe de REG SAVE et REG RESTORE est la même et ressort assez clairement de l'aide. Il y a cependant quelques points. Dans la version Windows 2000 de l'utilitaire, il était impossible de spécifier le chemin dans le nom du fichier pour enregistrer une clé de registre et l'enregistrement était effectué uniquement dans le répertoire actuel. L'aide de l'utilitaire lui-même et des exemples de son utilisation pour l'enregistrement (REG SAVE) peuvent être utilisés pour enregistrer toutes les clés de registre, incl. HKLM\logiciel, HKLM\système, etc. cependant, si vous essayez de restaurer, par exemple, HKLM\system, vous recevrez un message d'erreur d'accès car la clé de registre est occupée, et comme elle est toujours occupée, la restauration à l'aide de REG RESTORE échouera.

Pour enregistrer la ruche SYSTEM :
REG SAVE HKLM\SYSTEM system.hiv
Pour enregistrer la ruche LOGICIEL :
REG SAVE HKLM\LOGICIEL logiciel.hiv
Pour enregistrer le buisson DEFAULT :
reg enregistrer HKU\.Default default.hiv

Si le fichier existe, REG.EXE générera une erreur et se terminera.

    Les fichiers enregistrés peuvent être utilisés pour restaurer le registre en les copiant manuellement dans le dossier %SystemRoot%\system32\config.

4. Copie manuelle des fichiers de registre.

    Si vous démarrez sur un autre système d'exploitation, vous pouvez faire ce que vous voulez avec les fichiers du dossier de registre. Si le fichier système est endommagé, vous pouvez utiliser, par exemple, celui enregistré avec REG ENREGISTRER le fichier system.hiv en le copiant dans le dossier du registre et en le renommant system. Ou effectuez la même action en utilisant une copie enregistrée du fichier système à partir du point de contrôle de récupération. Assez détaillé cette méthode la récupération du registre est décrite dans l'article "Problèmes de chargement du système d'exploitation"

5. Utilisation du mode export-import du registre.

L'Éditeur du Registre vous permet d'exporter à la fois l'intégralité du registre et des sections individuelles vers un fichier portant l'extension reg L'importation du fichier reg obtenu lors de l'export permet de restaurer le registre. Cliquez sur « Registre » -> « Exporter (Importer) le fichier de registre ». L'importation peut également être effectuée en double-cliquant sur le raccourci du fichier reg.

6. Utilisation d'utilitaires spéciaux pour travailler avec des registres tiers.

    Il existe de nombreux programmes tiers pour travailler avec le registre, qui vous permettent non seulement de sauvegarder et de restaurer les données du registre, mais également d'effectuer de nombreuses autres opérations utiles, telles que le diagnostic et la suppression de données erronées ou inutiles, l'optimisation, défragmentation, etc. La plupart d'entre eux sont payés - jv16 Outils électriques, Mécanicien de registre, Super Utilities Pro, Organisateur d'enregistrement et d'autres. Liste et brève description sur secutiylab.ru
Les principaux avantages de ces programmes incluent, en règle générale, une interface utilisateur simple, la possibilité d'effectuer réglage fin système d'exploitation et préférences de l'utilisateur, nettoyage des enregistrements inutiles, capacités avancées de recherche et de remplacement des données, sauvegarde et la récupération.
    Le logiciel le plus populaire pour travailler avec le registre est peut-être jv16 Outils électriques Société de logiciels Macecraft. Les principaux avantages sont une fiabilité élevée, une polyvalence, une simplicité et une facilité d'utilisation, la prise en charge de plusieurs langues, incl. Russe. Cependant, tout le monde ne sait pas qu'il existe option gratuite, appelé Power Tools Lite. Bien sûr, il est loin d'être un jv16 entièrement fonctionnel, mais il est tout à fait adapté pour rechercher des données, nettoyer et optimiser le registre. Je note que la sauvegarde créée par ce programme n'est qu'un fichier reg pour restaurer l'état du registre avant qu'il ne soit modifié. De nombreux programmes de registre (sinon la plupart) créent des copies similaires, utiles uniquement pour restaurer les données qu'ils modifient. Si le registre est endommagé, ils ne vous aideront pas. Par conséquent, lorsque vous choisissez un programme (particulièrement gratuit) avec la possibilité de sauvegarder le registre, comprenez quelles copies il crée. L'option idéale est un programme qui crée des copies de toutes les ruches de registre. Si vous disposez d'une telle copie, vous pouvez toujours restaurer complètement le registre en copiant simplement les fichiers. Je recommanderais l'utilitaire de console gratuit regsaver.exe Télécharger, 380 Ko
Site Web du programme.
L'utilitaire enregistre les fichiers de registre dans le répertoire spécifié comme paramètre de ligne de commande :
regsaver.exe D:\regbackup
Après avoir exécuté le programme, un sous-répertoire sera créé dans le répertoire D:\regbackup avec nom unique, composé de l'année, du mois, du jour et de l'heure de la sauvegarde des fichiers du registre (« aaaammjjhhmmss »). Une fois la sauvegarde terminée, le programme peut éteindre l'ordinateur ou le mettre en mode veille :

regsaver.exe D:\regbackup /off /ask- Éteins l'ordinateur. Le commutateur /ask nécessite une confirmation de l'utilisateur lors de la mise hors tension.
regsaver.exe D:\regbackup /veille- Mettre en mode veille sans confirmation (non /ask)
regsaver.exe D:\regbackup /hibernate /ask- Passer en mode Hibernation

Au lieu d'un arrêt standard de l'ordinateur, vous pouvez utiliser une sauvegarde du registre et un arrêt une fois terminé.

7. Restauration du registre en l'absence de copies de sauvegarde.

    Par exemple, lorsque vous démarrez le système, un message concernant l'intégrité de la ruche de registre SYSTEM s'affiche :

Windows XP n'a pas pu démarrer car le fichier suivant est manquant ou corrompu : \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Si vous n'avez pas sauvegardé les données du registre, si le mécanisme de création de points de contrôle de récupération a été désactivé ou si vous avez utilisé Win2K, où ce mécanisme n'existe tout simplement pas, il est toujours possible de relancer le système en démarrant sur un autre système d'exploitation et en restaurant le système. Même si le contenu de ce fichier n'est pas entièrement à jour, le système restera très probablement opérationnel. Vous devrez peut-être réinstaller certains produits logiciels ou mettre à jour les pilotes.

- utilisation de fichiers de registre de sauvegarde créés automatiquement par certains logiciels. Ouvrez le dossier \Windows\system32\config et vérifiez si le fichier s'y trouve système.bak(éventuellement une autre extension autre que .alt et .log). renommez-le en système et essayez de démarrer.

- utilisation du ou des fichiers enregistrés après la première installation depuis le répertoire \WINDOWS\REPAIR. Cette option n’est pas la plus optimale, en dernier recours.

- utilisation fonctions de récupérationÉditeur de registre Windows XP lors du chargement d'une ruche endommagée.
L'Éditeur du Registre vous permet d'ouvrir non seulement « vos » fichiers de registre, mais également les fichiers qui constituent le registre d'un autre système d'exploitation. Sous Windows 2000, l'éditeur regedt32.exe était utilisé pour charger un fichier de registre (ruche) enregistré sur le disque ; sous Windows XP, les fonctions regedt32.exe et regedit.exe étaient combinées et, en outre, il devenait possible de restaurer une ruche endommagée. pendant le démarrage. Pour ça

Démarrez Windows XP ( Windows Live, Winternals ERD Commander installé dans un autre répertoire WinXP, un autre ordinateur avec la possibilité de charger la ruche de registre problématique sur le réseau ou depuis médias externes). Lancez l’Éditeur du Registre.
Sur le côté gauche de l'arborescence du registre, sélectionnez l'une des sections :
HKEY_USERS ou HKEY_LOCAL_MACHINE.
au menu Enregistrement(Dans d'autres versions de l'Éditeur du Registre, cet élément de menu peut être appelé " Déposer") sélectionnez la commande "Charger la ruche".
Trouvez la douille endommagée (dans notre cas - le système).
Cliquez sur le bouton Ouvrir.
Sur le terrain Chapitre Saisissez le nom qui sera attribué à la ruche chargée. Par exemple BadSystem.
Après avoir cliqué D'ACCORD un message apparaîtra :

Dans la fenêtre de gauche de l'Éditeur du Registre, sélectionnez la ruche montée (BadSystem) et exécutez la commande "Décharger le buisson". Le système endommagé sera restauré. De plus, l'éditeur de registre de Windows XP restaurera avec succès le registre de l'ancien système d'exploitation Windows 2000.

Surveillance du registre.

    L'un des meilleurs programmes pour la surveillance du registre, de mon point de vue, c'est Mon Reg Mark Russinovich est un petit utilitaire fonctionnel qui ne nécessite aucune installation et fonctionne sous Windows NT, 2000, XP, 2003, Windows 95, 98, Me et les versions 64 bits de Windows pour l'architecture x64. Télécharger RegMon.exe v7.04, 700 Ko

    Regmon vous permet de surveiller en temps réel quelles applications accèdent au registre, quelles sections et quelles informations elles lisent ou écrivent. Les informations sont présentées sous une forme pratique que vous pouvez personnaliser en fonction de vos besoins - excluez des résultats de surveillance les données sur l'utilisation du registre des applications qui ne vous intéressent pas, mettez en surbrillance avec la couleur sélectionnée ce que vous considérez particulièrement important, incluez uniquement processus sélectionnés dans les résultats du suivi. Le programme vous permet de lancer rapidement et facilement l'éditeur de registre et d'accéder à une section ou un paramètre spécifié. Il est possible d'effectuer une surveillance pendant que le système d'exploitation charge et enregistre les résultats dans un journal spécial, %SystemRoot\Regmon.log.
    Après avoir démarré RegMon, vous pouvez définir des critères de filtrage pour les résultats de surveillance du registre :

Par défaut, tous les événements d'accès au registre sont enregistrés. Le filtre est spécifié par les valeurs des champs :

Inclure- Si * - effectuer une surveillance de tous les processus. Les noms de processus sont séparés par ";" . Par exemple - FAR.EXE ; Winlogon.exe- les accès au registre seront enregistrés uniquement pour les processus far.exe et winlogon.exe.
Exclure- quels processus exclure des résultats du suivi.
Souligner- quels processus sont mis en évidence dans la couleur sélectionnée (rouge par défaut).

    Les valeurs du champ de filtre sont mémorisées et affichées au prochain démarrage de Regmon. Lorsque le bouton est enfoncé Valeurs par défaut Le filtre est réinitialisé à ses paramètres par défaut - enregistrez tous les accès au registre. Il est plus pratique de former les valeurs des champs de filtre non pas au début de RegMon, mais pendant le processus de surveillance, en utilisant le menu contextuel du processus sélectionné - Inclure le processus - inclure ce processus dans la surveillance, Exclure le processus - exclure ce processus de la surveillance. Après avoir démarré Regmon avec les filtres par défaut, vous verrez un grand nombre de enregistre sur l'accès au registre et, à l'aide du processus Inclure/Exclure, vous pouvez configurer la sortie des résultats uniquement du ou des processus dont vous avez besoin.

Objectif des colonnes :

# - numéro dans l'ordre
Temps- Temps. Le format de l'heure peut être modifié à l'aide de l'onglet Possibilités
Processus- nom du processus : identifiant du processus (PID)
Demande- type de demande. OpenKey - ouvrir une clé de registre (sous-clé), CloseKey - fermer, CreateKey - créer, QueryKey - vérifier la présence d'une clé et obtenir le nombre de clés imbriquées (sous-clés), EnumerateKey - obtenir une liste de noms de sous-clés de la section spécifiée , QueryValue - lire la valeur d'un paramètre, SetValue - noter la valeur.
Chemin- chemin dans le registre.
Résultat- le résultat de l'opération. SUCCÈS - réussi, NON TROUVÉ - clé (paramètre) introuvable. ACCÈS REFUSÉ - l'accès est refusé (droits insuffisants). Parfois, il y a un BUFFER OVERFLOW - un débordement de tampon - le résultat de l'opération ne rentre pas dans le tampon du programme.
Autre- des informations complémentaires - le résultat de la demande exécutée.

    Le programme est très simple à utiliser. Après le démarrage, il est préférable de sélectionner le filtre par défaut, c'est-à-dire enregistrez tous les accès au registre, puis, dans la fenêtre principale du programme, sélectionnez un processus inutile et utilisez le bouton droit de la souris pour appeler le menu contextuel - Exclure le processus - informations sur l'accès au registre ce processus ne sera pas émis. Et de la même manière, filtrez les autres processus qui ne vous intéressent pas.

    Lorsque vous travaillez avec le programme, vous pouvez utiliser le menu Fichier, Modifier, Options ou le raccourci clavier :

CTRL-S - enregistrer les résultats
CTRL-P - propriétés du processus sélectionné
CTRL-E - activer/désactiver la surveillance
CTRL-F - recherche par contexte
CTRL-C - copier la ligne sélectionnée dans le presse-papiers
CTRL-T - changer le format de l'heure
CTRL-X - effacer la fenêtre des résultats de surveillance
CTRL-J - lancez l'éditeur de registre et ouvrez la branche spécifiée dans la colonne Chemin. La même action est effectuée lorsque double-cliquez bouton gauche de la souris. Très opportunité utile, vous permet de gagner beaucoup de temps.
CTRL-A - activer/désactiver le défilement automatique
CTRL-H - vous permet de définir le nombre de lignes de résultats de surveillance

    Une autre fonctionnalité très utile est d'obtenir un journal des accès au registre pendant le processus de démarrage du système d'exploitation.
Pour ce faire, sélectionnez le menu Options-Log Boot. Le programme affichera un message indiquant que Regmon est configuré pour écrire les accès au registre dans un fichier journal lors du prochain redémarrage du système d'exploitation :

    Après le redémarrage du système d'exploitation, le fichier Regmon.log contenant un journal des résultats de surveillance sera situé dans le répertoire racine du système (C:\Windows). Le mode de journalisation continuera jusqu'à ce que l'utilisateur connecté exécute Regmon.exe et ne se produira que pour un seul redémarrage du système. Bien entendu, le contenu du journal ne reflétera pas entièrement tous les accès au registre. Étant donné que Regmon en mode Log Boot est installé sur le système et, après un redémarrage, démarre en tant que pilote, tous les accès au registre effectués avant son démarrage ne seront pas enregistrés dans le journal. Cependant, la plupart d’entre elles y parviendront quand même, et vous verrez qu’il y aura plusieurs centaines de milliers de demandes de ce type.

Pour enregistrer et restaurer le registre, utilisez la section "Disque et fichiers" - "SystemSaver". Pour maintenir et optimiser le registre - "System Registry" - "RegistryFixer" et "RegistryDefrag".

En plus du dossier Démarrage, les clés de registre suivantes sont utilisées pour lancer des programmes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Exécuter
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Les 2 dernières sections (...Une fois) diffèrent en ce que les programmes qui y sont écrits ne sont lancés qu'une seule fois et après exécution, les paramètres clés sont supprimés.

Les entrées dans HKLM s'appliquent à tous les utilisateurs de l'ordinateur. Pour l'utilisateur actuel, le démarrage est déterminé par les clés de la section HKU :
HKCU\Software\Microsoft\Windows\CurrentVersion\Exécuter
Exemple de section HKLM\...\RUN :

    Dans la fenêtre de droite, vous voyez une liste paramètres, dont les valeurs sont une chaîne faisant référence au programme. Lorsque l'utilisateur se connecte, tous les programmes répertoriés seront exécutés. Supprimez le paramètre - le programme ne démarrera pas. Mais tout ne peut pas être supprimé. Expérimentez en changeant l’extension exe en ex_.

    En plus des programmes qui sont lancés lorsqu'un utilisateur s'inscrit dans le système, un grand nombre d'autres sont lancés, qui ne sont pas toujours évidents - il s'agit de services système (services), de divers pilotes, de programmes shell (Shell), etc. . En plus des programmes utiles (et parfois inutiles), ils peuvent être exécutés à l'aide de démarrages automatiques et de virus entrés dans le système. Plus de détails sur les virus. Points possibles démarrage automatique Il existe un grand nombre de modules exécutables, et pour les rechercher dans le registre, il est plus pratique d'utiliser programmes spéciaux- des moniteurs de démarrage, dont le plus populaire est celui qui offre une gamme de capacités plus large que l'utilitaire MSConfig inclus dans Windows.

Aucune installation requise. Téléchargez simplement Autoruns, décompressez-le et exécutez le fichier Autoruns.exe (autorunsc.exe - version console). Le programme affichera quelles applications sont configurées pour démarrer automatiquement et présentera également une liste complète des clés de registre et des répertoires du système de fichiers pouvant être utilisés pour définir le démarrage automatique. Les éléments affichés par Autoruns appartiennent à plusieurs catégories : éléments qui démarrent automatiquement à la connexion, composants supplémentaires de l'Explorateur, composants supplémentaires. Internet Explorer(y compris les objets d'aide au navigateur (BHO)), les DLL d'initialisation d'application, les substitutions d'éléments, les objets de démarrage anticipé, les DLL de notification Winlogon, Services Windows et les fournisseurs de services multiniveaux Winsock.
Pour afficher les objets lancés automatiquement de la catégorie requise, sélectionnez simplement l'onglet souhaité.

    Pour rechercher des entrées dans le registre liées à l'objet sélectionné, utilisez simplement l'élément "Aller à" menu contextuel, appelé par le bouton droit de la souris. L'éditeur de registre se lancera et la clé qui lui permet de se lancer s'ouvrira.

Chauffeurs et services.

Les informations sur les pilotes et les services système (services) se trouvent dans la section
HKLM\Système\CurrentControlSet\Services
Chaque chauffeur ou service a sa propre section. Par exemple, "atapi" - pour un pilote standard Contrôleur IDE disques durs, "DNScache" - pour le service "Client DNS". Objectif des clés principales :
Afficher un nom- nom d'affichage - ce que vous considérez comme un nom significatif lorsque vous utilisez, par exemple, des éléments du panneau de commande.

Contrôle d'erreur- mode de gestion des erreurs.
0 - ignorer (Ignorer) s'il y a une erreur de chargement ou d'initialisation du pilote, aucun message d'erreur ne s'affiche et le système continue de fonctionner.
1 - mode de traitement des erreurs normal (normal). Le fonctionnement du système continue après l'affichage du message d'erreur. Les paramètres ErrorControl pour la plupart des pilotes de périphérique et des services système sont définis sur 1.
2 - mode spécial (sévère). Utilisé pour garantir que la dernière bonne configuration connue est chargée (LastKnownGood).
3 - erreur critique. Le processus de téléchargement s'arrête et un message d'échec s'affiche.

Groupe- le nom du groupe auquel appartient le pilote, par exemple - "Adaptateurs vidéo"

Chemin d'image chemin et nom du pilote exécutable. Les fichiers de pilotes ont généralement une extension .sys et se trouvent dans le dossier \Windows\System32\DRIVERS\. Les fichiers de service sont généralement .exe et se trouvent dans \Windows\System32\.

Commencer contrôle de démarrage et d’initialisation. Détermine à quel moment du démarrage du système le pilote ou le service est chargé et initialisé. Valeurs de départ :
0 - BOOT - le pilote est chargé par le chargeur de démarrage.
1 - SYSTEM - le pilote est chargé lors de l'initialisation du noyau.
2 - AUTO - le service démarre automatiquement au démarrage du système.
3 - MANUEL - le service est démarré manuellement.
4 - DÉSACTIVER - désactivé.
Les pilotes sont chargés et les services sont démarrés avec les paramètres de démarrage de 0 à 2 avant que l'utilisateur ne s'enregistre dans le système. Pour désactiver un pilote ou un service, définissez simplement la valeur Démarrer sur 4. La désactivation des pilotes et des services en modifiant cette clé de registre est une opération plutôt dangereuse. Si vous désactivez accidentellement ou sans le savoir un pilote ou un service sans lequel le chargement ou le fonctionnement est impossible, vous obtiendrez un crash du système (le plus souvent un écran bleu). mort BSOD).

Pilotes et services pour le mode sans échec.

Lorsque le système d'exploitation démarre, un ensemble de paramètres de contrôle de la section de configuration actuelle est utilisé pour initialiser les pilotes et les services.
HKLM\Système\CurrentControlSet
Si des problèmes surviennent avec le fonctionnement du système d'exploitation, le mode de démarrage sans échec est souvent utilisé ( Mode sans échec). Différence ce modeà partir d'un démarrage normal, c'est que la configuration minimale requise des pilotes et des services système est utilisée, dont la liste est précisée dans la section :
HKLM\Système\CurrentControlSet\Control\SafeBoot
Sous-sections :
Minimal- liste des pilotes et services qui démarrent en mode sans échec
Réseau- le même, mais avec support réseau.

En plus de la section HKLM\System\CurrentControlSet, le registre contient également
HKLM\Système\CurrentControlSet001
HKLM\Système\CurrentControlSet002
Dans leur structure, ils sont identiques à HKLM\System\CurrentControlSet et sont destinés à la possibilité supplémentaire de restaurer les fonctionnalités du système en chargeant la dernière bonne configuration connue du système. Les options possibles pour charger les ensembles de contrôles sont déterminées par le contenu de la section :
HKLM\Système\Sélectionner

Actuel- l'ensemble de contrôle qui a été utilisé pour la charge actuelle.
Défaut- ensemble de contrôles qui sera utilisé au prochain démarrage.
DernierConnuBien- ensemble de contrôles qui sera utilisé si le mode de démarrage Dernière bonne configuration connue est sélectionné.
Échoué- un jeu de contrôles défaillant qui sera créé si le mode de démarrage Dernière bonne configuration connue est sélectionné.
    Après un téléchargement réussi et une connexion utilisateur, les données de CurrentControlSet et ControlSet001 sont copiées vers ControlSet002. Lorsque la configuration change, les données sont écrites dans CurrentControlSet et ControlSet001. Si la modification des paramètres a provoqué un crash du système, il est possible de le restaurer en utilisant la dernière option de démarrage réussie, qui récupère les données de ControlSet002. Après avoir démarré avec succès dans ce mode, une nouvelle sous-clé apparaîtra avec un jeu de contrôles, ControlSet003, au cas où vous auriez besoin d'utiliser à nouveau la dernière bonne configuration connue. Chaque fois que vous utilisez la dernière configuration connue, la valeur de ControlSet00x sera incrémentée.

Nous limitons l'accès des utilisateurs aux ressources.

Dans la plupart des cas, pour que les modifications apportées au registre prennent effet, vous devez redémarrer ou vous déconnecter et vous reconnecter. Les paramètres de la section HKEY_CURRENT_USER s'appliquent à l'utilisateur actuel du système. Les paramètres de la section HKLM s'appliquent à tous les utilisateurs.

Masquer les lecteurs logiques

Ouvrez la rubrique :
HKCU\LOGICIEL\Microsoft\Windows\CurrentVersion\Policies\Explorer
et ajoutez-y le paramètre Pas de lecteurs Tapez DWORD. La valeur du paramètre détermine les lecteurs A-Z à masquer. La présence d'un "1" commençant par le bit le moins significatif du double mot signifie qu'il n'y a pas de lecteur logique dans "Poste de travail"
00000001 - pas de lecteur A, 00000002 - pas de lecteur B, 00000004 - pas de lecteur C, 0000000F - pas de lecteurs A-F
J'ajouterai que les disques ainsi cachés ne sont pas visibles uniquement par l'Explorateur et peuvent être accessibles dans d'autres programmes (dans FAR par exemple). Mais d'autres programmes peuvent être masqués ou interdits - nous en reparlerons plus tard.

Changer le menu du bouton "START"

Pas d'exécution=dword:00000001 il n'y a pas de bouton "Exécuter"
NoLogOff=hex:01 00 00 00(pas dword mais hex) pas de "Fin de session"
Aucun résultat=dword:00000001 - il n'y a pas d'élément « Rechercher »
Aucun menu Favoris=dword:00000001 pas de "Favoris"
NoRecentDocsMenu=dword:00000001 pas de "Documents"
NoSetFolders=dword:00000001 il n'y a pas de "Panneau de configuration" dans le sous-menu "Paramètres"
NoSetTaskbar=dword:00000001 pas de "Barre des tâches" ici
Aucune imprimante=dword:00000001 pas d'"Imprimantes" dans le Panneau de configuration
NoAddPrinter=dword:00000001 non "Ajouter une imprimante"
AucuneSuppressionImprimante=dword:00000001 non "Supprimer l'imprimante"
Aucun bureau=dword:00000001 Bureau vide
Pas de NetHood=dword:00000001 non "Voisinage réseau"
AucuneIcôneInternet=dword:00000001 il n'y a pas d'icône Internet sur le bureau Windows
NoTrayContextMenu=hex:01,00,00,00 -Désactiver le menu contextuel sur la barre des tâches
NoViewContextMenu=hex:01,00,00,00 - Désactivez le menu contextuel sur le bureau : Pour le réactiver, remplacez 01 par 00.
Aucun menu de fichier=hex:01,00,00,00 masquer "Fichier" dans ligne supérieure Menu Explorateur
ClearRecentDocsOnExit=hex:01,00,00,00 ne sauvegarde pas la liste des documents récemment ouverts en quittant le système.

Les paramètres suivants s'appliquent à la clé de registre
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ Réseau

Aucune configuration réseau=dword:00000001 désactive l'accès à l'icône Réseau dans le Panneau de configuration
Aucun contrôle de partage de fichiers=dword:00000001 masque la boîte de dialogue de gestion du partage de fichiers et d'imprimantes, empêchant les utilisateurs de gérer la création de nouveaux partages de fichiers ou d'imprimantes
NoNetSetupIDPage=dword:00000001 masque l'onglet "Identité"
NoNetSetupSecurityPage=dword:00000001 masque l'onglet "Contrôle d'accès"
Aucun réseau entier=dword:00000001 masque l'élément « Réseau entier » dans Voisinage réseau
Aucun contenu de groupe de travail=dword:00000001 masque tout le contenu Groupe de travail dans le Voisinage Réseau

Les paramètres suivants s'appliquent aux restrictions pour tous les utilisateurs car la clé HKLM est utilisée plutôt que la clé HKEY_CURRENT_USER. Pour modifier des données, vous devez disposer des droits d'administrateur système
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Système

NoSecCPL=dword:00000001 désactive l'accès à l'icône Mots de passe dans le Panneau de configuration
Aucune page d'administration=dword:00000001 masque l'onglet "Télécommande"
Aucune page de profil=dword:00000001 masque l'onglet "Profils utilisateur"
Pas de page de mot de passe"=dword:00000001 masque l'onglet "Modifier les mots de passe"
Pas de DispCPL=dword:00000001 désactive l'accès à l'icône d'affichage dans le Panneau de configuration
NoDispAppearancePage=dword:00000001 masque "Apparence" dans la fenêtre des propriétés de l'écran
NoDispBackgroundPage=dword:00000001 masque "Arrière-plan" dans la fenêtre des propriétés de l'écran
NoDispScrSavPage masque "l'économiseur d'écran" dans la fenêtre Propriétés d'affichage
NoDispSettingsPage=dword:00000001 masque les "Paramètres" dans la fenêtre des propriétés de l'écran
Aucune page de configuration=dword:00000001 masque les « Profils matériels » dans la fenêtre Propriétés système
NoDevMgrPage=dword:00000001 masque l'onglet "Périphériques" dans la fenêtre des propriétés système
Aucune page système de fichiers=dword:00000001 masque le bouton " Système de fichiers... " dans l'onglet "Performances" de la fenêtre des propriétés système
NoVirtMemPage=dword:00000001 masque le bouton " Mémoire virtuelle... " dans l'onglet "Performances" de la fenêtre des propriétés système
=dword:00000001 interdire Regedit.exe ou Regedt32.exe

    Certaines des interdictions répertoriées sur les actions des utilisateurs sont utilisées non seulement par les administrateurs système, mais également par les virus qui sont entrés dans le système. En règle générale, les données sont écrites dans le registre, ce qui bloque la possibilité de rechercher et de supprimer les logiciels malveillants intégrés et, comme touche finale, interdit le lancement de l'éditeur de registre (DisableRegistryTools). Par conséquent, même avec les droits d’administrateur, l’utilisateur ne peut rien faire avec son propre registre. Une tentative de lancement de l'éditeur se termine par un message comme celui-ci :

Bien entendu, un utilisateur, en particulier un administrateur, devrait être offensé lorsque « la modification du registre est interdite par l'administrateur système ». J'ai donc ajouté une autre petite section :

Nous contournons les restrictions d'accès des utilisateurs aux ressources.

    Toutes les restrictions ci-dessus peuvent s'appliquer soit à un utilisateur spécifique, soit à tous les utilisateurs du système, ou plutôt à leurs comptes. Cependant, dans chaque système d'exploitation Windows, il existe un autre compte dont les droits, dans une certaine mesure, sont encore plus élevés que les droits de l'administrateur local - le compte système local (compte système local) au nom duquel les services système sont lancés avant même l'utilisateur se connecte au système. Si le programme (le même regedit.exe) est exécuté avec les droits du système local, aucune restriction associée aux comptes des utilisateurs réels ne s'appliquera. J'ai déjà décrit comment lancer l'éditeur de registre avec les droits d'un compte système local à l'aide de l'utilitaire PSExec au début de l'article, et j'y ai également publié un lien vers la page de téléchargement et une description du package PSTools. Pour ceux qui n'ont pas besoin de télécharger l'intégralité du package et qui ont besoin, sans en comprendre les subtilités, de simplement contourner les restrictions - instructions étape par étape :

Téléchargez PSexec à partir du package Microsoft PSTools (Sysinternals). (télécharger PSTools.zip)

copiez-le dans le dossier \WINDOWS\SYSTEM32

lancez l'éditeur de registre en utilisant psexec :
psexec -s -i regedit.exe
Pour utiliser psexec.exe, vous devez disposer des droits d'administrateur, c'est-à-dire l'utilisateur doit être membre du groupe Administrateurs

Nous apportons les corrections nécessaires au registre - définissez DisableRegistryTools sur 0 ou supprimez-le complètement. Après quoi, nous utilisons l'éditeur de registre comme d'habitude, supprimant les restrictions sur le lancement du gestionnaire de tâches, le blocage des programmes antivirus et tout ce que le virus a fait.

    Bien sûr, vous pouvez proposer d'autres options pour contourner les restrictions, telles que le téléchargement à l'aide de Winternals ERD Commander et la modification du registre problématique, ou l'utilisation de l'utilitaire de ligne de commande REG.EXE (téléchargez un fichier bat pour déverrouiller l'éditeur de registre et gestionnaire de tâches), ou un éditeur de registre d'un fabricant tiers, mais cette méthode est la plus inhabituelle, la plus simple et la plus rapide. En règle générale, le caractère unique de la solution au problème donne l'avantage qu'il n'y a aucune restriction à vos actions à contourner, ou qu'il n'y a pas encore de contre-mesures préparées à l'avance.
D'ailleurs, cette méthode peut être utilisée non seulement pour lancer regedit.exe, mais aussi d'autres programmes - Explorer (Explorer.exe) par exemple
psexec -s -i C:\WINDOWS\EXPLORER.EXE
qui vous permettra d'accéder à des répertoires et fichiers inaccessibles à un utilisateur réel, comme un dossier système caché Information de volume du system.

Un très bon moyen de contourner les restrictions consiste à utiliser un éditeur de registre tiers.

Resplendent Registrar Registry Manager - environ 3 Mo - dans la "Lite Edition" - éditeur de registre gratuit avec interface conviviale et des fonctionnalités supplémentaires utiles pour la recherche, la surveillance, la défragmentation, la sauvegarde et la restauration du registre.

Un programme supprimé depuis longtemps apparaît dans la liste des programmes installés.

Cela se produit généralement si vous avez supprimé le programme manuellement plutôt que de le désinstaller, ou si le programme de désinstallation a rencontré un problème. Vous pouvez corriger la situation en éditant la section :
HKLM\Software\Microsoft\Windows\CurrentVersion\Désinstaller

Je dois constamment spécifier le chemin d'accès à la distribution Windows

Trouver une rubrique
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup
et dans le paramètre Chemin Source spécifiez le chemin d'accès à votre distribution - la valeur de chaîne "D:\install" . Si vous modifiez souvent les paramètres système et disposez de beaucoup d'espace disque, déposez la distribution dans un répertoire et enregistrez-la dans SourcePath.

Problèmes avec la police russe sur certains programmes

Cela est particulièrement vrai sur les systèmes d'exploitation non russes, tels que Windows NT 4.0 Server. Même si vous avez installé des polices russifiées et spécifié la Russie dans les paramètres régionaux, des problèmes avec les polices cyrilliques peuvent survenir. Section ouverte
HKLM\Software\Microsoft\Windows\CurrentVersion\FontSubstitutes
et entrez les paramètres :
paramètre Système,0 Système de valeurs,204
paramètre Courrier,0 Valeur de messagerie,204
paramètre Arial,0 Valeur arial,204
paramètre Courrier Nouveau,0 Courrier Nouvelle valeur,204
paramètre Times New Roman,0 Valeur Times New Roman,204
Très probablement, ces paramètres sont déjà là, mais au lieu de 204, ils sont 238. Pour Windows 9X, il n'existe pas de section de registre de ce type et vous devez modifier la section du fichier WINDOWS\win.ini.
Il peut également être utile d'ajouter un paramètre à la section HKLM\System\CurrentControlSet\Control\Nls\CodePage "1252" ="CP_1251.nls"

Suppression du mot de passe de l'économiseur d'écran (ScreenSaver)

Les paramètres de bureau par défaut pour un profil sont définis par les paramètres de la clé de registre
HKEY_USERS\.DEFAULT\Panneau de configuration\Bureau
Paramètres de bureau de l'utilisateur actuel - clé de registre
HKCU\Panneau de configuration\Bureau
Pour supprimer le mot de passe de l'économiseur d'écran du bureau de l'utilisateur actuel, vous devez ouvrir la clé de registre
HKCU\Panneau de configuration\Bureau
et définissez la valeur clé L'économiseur d'écran est sécuriséégal à zéro.

Pour désactiver l'économiseur d'écran - définissez la valeur sur 0 ScreenSaveActive

Créer votre propre fenêtre lors de la connexion

Ceci est utile lorsque vous devez avertir l'utilisateur de quelque chose. Section HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Possibilités :
Mentions légalesLégende= par exemple "Attention !" texte du titre de la fenêtre
Texteavisjuridique ="Du 25 au 30 de chaque mois vous devez changer votre mot de passe" texte dans la fenêtre

Effacer le nom d'utilisateur précédent

Section HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon
DontDisplayLastUserName=mot de passe :00000001

Interdiction de lancer l'éditeur de registre et le gestionnaire de tâches.

Pour empêcher tout utilisateur de démarrer l'éditeur de registre, utilisez la section HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\système
=dword:00000001 n'est pas autorisé à s'exécuter
=dword:00000000 autorisé à s'exécuter
DésactiverTaskMgr- =dword:00000001 ne peut pas s'exécuter
DésactiverTaskMgr- =dword:00000000 autorisé à s'exécuter
Pour limiter le lancement de l'Éditeur du Registre et du Gestionnaire des tâches pour l'utilisateur actuel, des valeurs similaires sont définies dans la section
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Saisie du mot de passe requis dans Windows 9X

Le client doit être installé Réseau Microsoft. Vous ne pouvez plus vous connecter en appuyant sur ESC
Section HKLM\Réseau\Connexion
Paramètre Doit être validé=mot de passe :00000001

Changer le comportement de votre ordinateur lors de l'arrêt

Section HKLM\Système\CurrentControlSet\Control\Shutdown
Paramètre Redémarrage rapideégal à 0 - arrêt normal, égal à 1 - accéléré, conduisant souvent à un redémarrage

Changer la langue par défaut dans la fenêtre de connexion

Si la disposition du clavier russe est utilisée dans la fenêtre de saisie du mot de passe, vous pouvez la modifier en modifiant la section HKEY_USERS\.DEFAULT\Keyboard Layout\Preload. Il possède 2 paramètres de chaîne : "1" et "2".
Si les valeurs sont égales :
1=00000409
2=00000419
alors la mise en page dans la fenêtre de connexion deviendra l'anglais.
Si vous attribuez les valeurs aux paramètres dans l'autre sens ("1"=00000419, "2"=00000409) - alors la mise en page deviendra russe.

Aujourd'hui, nous allons essayer d'accéder au registre Windows par la porte dérobée, sans utiliser les fonctions WinAPI standard prévues à cet effet. Qu'est-ce que cela nous donnera au final ? La possibilité d'écrire et de lire directement depuis le registre, en contournant les restrictions fixées par les développeurs de solutions antivirus !

Pour l’avenir, je noterai : ce sujet est intéressant, mais il y a ici toute une série de problèmes sérieux. Mais qui a dit que nous ne pouvions pas y faire face ? 🙂

Qu'est-ce qu'un registre ou des paroles

D'un point de vue opérationnel Systèmes Windows, le registre est une unité de stockage unique. Cette base de données hiérarchique unique stocke les paramètres, les données, les informations d'enregistrement et d'autres conneries sur presque tout dans le système, des programmes aux paramètres d'un utilisateur spécifique. Presque tout est stocké dans le registre. Malgré le fait que certains programmes préfèrent stocker leurs paramètres dans les ini-configs (en particulier les programmes écrits pour Win 3.11 - NDLR), Windows lit lui-même toutes les informations nécessaires le concernant dans le registre. Pour être honnête, nous notons que dans les systèmes d'exploitation de type * nix, le système de stockage des paramètres dans toutes sortes de configurations domine toujours.

Lorsqu'ils commencent à travailler avec le registre, les administrateurs système débutants sont effrayés par leurs camarades seniors qui réglage incorrect et la modification des paramètres du registre peut faire planter complètement le système lors de sa réinstallation ultérieure. Et c’est effectivement le cas.

Par exemple, les points de récupération sont des copies du registre. Ils sont largement utilisés par les utilisateurs lorsqu'ils rencontrent divers problèmesà la fois avec le système d'exploitation et avec les logiciels et le matériel.

Il faut dire que 99% des informations sur le registre Windows sont une description des clés principales ainsi que des conseils sur la façon de les utiliser. Mais comment le système d’exploitation lui-même fonctionne-t-il avec le registre ? Et pouvons-nous imiter ses actions ? Spéculons un peu.

Et alors?

Le registre est à la fois une force et une faiblesse de Windows. La force du registre réside dans le fait que les développeurs de logiciels n’ont pas besoin de manipuler un grand nombre de configurations, comme c’est le cas, par exemple, dans Nix. Le registre est également pratique pour les créateurs de composants COM - le système enregistre automatiquement un tel composant dans le registre et facilite la tâche de son utilisation ultérieure.

La faiblesse du registre est que l'accès à la modification des zones sensibles du registre permet à tout programme écrit par un nouveau malware de contrôler Windows. Rappelez-vous simplement la branche la plus connue du registre Windows, qui permet de lancer des programmes au démarrage de l'OS :).

Si sous Windows 98 le registre pouvait être réparé par quiconque y pensait, alors à partir de Windows XP, seuls les utilisateurs avec compte administrateur. Sous Vista+, l'accès au registre est protégé par l'UAC. C'est compréhensible.

Il faut admettre qu'avec la sortie de Win7, les concepts de sécurité lors de l'utilisation du registre ont été révisés en meilleur côté. Par exemple, la branche de registre de clés HKEY_LOCAL_MACHINE est protégée. En général, une tentative d'écriture de quelque chose sera redirigée vers la branche HKEY_CURRENT_USER appropriée pour l'utilisateur actuel.

Interface

Pour travailler directement avec le registre, Windows propose au programmeur tout un ensemble de WinAPI, qui devraient être familières à tout développeur système - ce sont des fonctions Reg*, telles que RegOpenKey, RegQueryValue, etc. Dans le noyau Win, il s'agit de NtOpenKey, NtQueryValueKey et plusieurs autres. Il n'y a aucun intérêt particulier à les décrire, toute la documentation sur le bon usage de ces fonctions est disponible sur MSDN.

Voici quelque chose à noter. Pour contrôler les actions des utilisateurs, des antivirus et des programmes proactifs ont installé des interceptions sur les fonctions mentionnées, à la fois dans le noyau et en mode utilisateur.

Avec la sortie de Win7 x64, la situation a changé et j'en ai déjà parlé une fois. Développeurs Windows a décidé d'abandonner la possibilité d'intercepter les fonctions potentiellement dangereuses dans le noyau Win. Désormais, la variable KeServiceDescriptorTable est davantage exportée en x64 et peut être réécrite zone requise le code ne sortira pas - PatchGuard ne le donnera pas. Il existe bien sûr des solutions sadomasochistes pour contourner ces restrictions – mais cela entraînera plus de problèmes que de profits. De plus, Microsoft propose des ObRegisterCallbacks pratiques pour surveiller le registre.

INFO

Il existe très peu d'informations sur Internet sur les structures qui décrivent les principaux fichiers du registre. Et presque tous sont en anglais. Notions de base peut être trouvé . De plus, il est bien écrit sur le registre dans la bible de l’ingénieur système » Organisation interne Windows" des camarades M. Russinovich et D. Solomon.

Et maintenant - sur le plus intéressant

Mais qu’est-ce qu’un registre réellement ? Si vous regardez dans le dossier WINDOWSsystem32config, vous pouvez y voir plusieurs fichiers : système, logiciel, sécurité, SAM et plusieurs autres.

Ce sont des fichiers de registre.

Cependant, il serait injuste de parler du registre simplement comme d'une combinaison de fichiers chargés en mémoire. Une grande partie de ce que contient le registre est de nature dynamique, c'est-à-dire qu'un certain nombre de valeurs sont calculées au stade du chargement du système lui-même, cela concerne principalement certains paramètres matériels. Par exemple, il s'agit de la sous-clé de registre HKEY_DYN_DATA dont les données, au démarrage du système d'exploitation, sont placées dans la RAM et y restent jusqu'à l'arrêt du système d'exploitation. Soit dit en passant, la même chose peut être dite à propos de la sous-clé de clé HKEY_LOCAL_MACHINE, qui n'a pas son propre fichier correspondant sur le disque, mais est en fait formée à partir d'autres fichiers de registre, tels que le logiciel, le système et autres.

Ainsi, le registre de l’intérieur peut être appelé de manière très vague une « combinaison virtuelle de fichiers de registre ». Après le démarrage du système, ces fichiers se trouvent à la fois dans le fichier d'échange (pool paginé) et dans la mémoire non paginée (non paginée).

Structure du registre

Afin d'apprendre à travailler directement avec le registre, vous ne pouvez pas vous passer de la connaissance de sa structure interne. En général, Microsoft n'a jamais divulgué la structure interne des fichiers qui composent le registre car cela présente un risque pour la sécurité. D'après mes observations, toutes les descriptions disponibles des fichiers du registre et de leur structure (et d'ailleurs il y en a très peu) sont le résultat des recherches de chercheurs pionniers. La «recherche» la plus complète, à mon avis, qui soit possible, appartient au camarade Peter Norris.

Nous n'entrerons pas maintenant dans les détails de l'organisation et de la structure du registre ; c'est une question longue et fastidieuse et n'entre certainement pas dans le cadre de l'article. Il est important de comprendre ici que le registre est une structure hiérarchique arborescente, parfois appelée « nid d’abeilles ».

Et que faire de tout ça maintenant ?

Je vais vous décevoir tout de suite : vous ne pourrez pas jouer facilement des tours directement avec le registre en mode utilisateur ; le système ne vous permettra pas de le faire, comme c'est généralement le cas avec les fichiers occupés par d'autres processus. Si vous essayez de l'esquiver, vous ne pouvez lire un tel fichier « occupé », et seulement si vous devinez les drapeaux avec lesquels il a été ouvert. Malheureusement, il ne sera pas possible d'écrire les informations qui nous intéressent dans le « dossier de registre ». À propos, la fonctionnalité d'écriture des informations nécessaires dans le registre peut fonctionner si vous écrivez dans le registre des fichiers *.BAK, ils sont définitivement accessibles en écriture.

Alors, surveillez votre main :).

La première chose qui pourrait vous venir à l’esprit est d’ouvrir directement le fichier de registre et d’y écrire quelque chose.

Théoriquement, cela peut être fait, pour cela, vous devez, d'une part, être capable de travailler avec des fichiers « occupés » (rechercher des méthodes sur Internet) et, d'autre part, comme je l'ai dit plus haut, vous devez connaître la structure interne du registre. des dossiers. Cette méthode est plutôt maladroite, mais malgré son absurdité, elle est tout à fait viable, même si elle est difficile à mettre en œuvre dans la pratique (essayez de l'expérimenter vous-même).

Ici, je vais proposer deux méthodes qui vous aideront à découper le registre en petits morceaux.

La première est que pour le gestionnaire de configuration (Configuration Manager, qui fait partie du système d'exploitation, si vous ne le savez pas), le registre n'est rien de plus qu'un ensemble de structures strictement définies dans mémoire opérationnelle, qui, en fin de compte, sont très faciles à utiliser. Quelles sont ces structures, demandez-vous ? HBASE_BLOCK, HHIVE, HBIN, HCELL, HMAP_ENTRY, HMAP_DIRECTORY, un tas de structures CM_* utilisées par le gestionnaire de configuration pour gérer le registre. Du point de vue du système d'exploitation, le registre est simplement un ensemble de structures réglementées dans la RAM. Par exemple, la signature « regf », qui définit un « fichier de registre », est une constante prédéfinie :

Définissez HBASE_BLOCK_SIGNATURE 0x66676572 typedef struct _HBASE_BLOCK ( ULONG Signature; //0x66676572 ULONG Sequence1; ULONG Sequence2; LARGE_INTEGER TimeStamp; .... ) Et voici la signature « regf »...

Autrement dit, le but de tout mon monologue est qu'il existe une excellente opportunité de manipuler le registre au niveau du système d'exploitation, mais sans utiliser ses outils standard. Comment est-ce possible? Nous émulons simplement les actions du système d'exploitation lui-même, exactement de la même manière qu'il fonctionne avec le registre ! Il est important, comme je l'ai déjà dit, de comprendre que pour le système d'exploitation lui-même, le registre n'est rien de plus qu'un ensemble de structures correspondantes en mémoire.

Si nous avons accès aux fichiers de registre au niveau du noyau, alors pourquoi sommes-nous pires que le système d'exploitation lui-même pour établir son ordre ?

Et ici le plus intérêt Demander- comment retrouver ces mêmes structures en mémoire ? Droite, fonds réguliers Il n'existe aucun système pour résoudre ce problème, vous devrez donc vous en sortir de manière astucieuse.

Sachant à quoi ressemblent les structures, vous devez vous rappeler que chaque fichier, la ruche du registre, possède sa propre signature constante. Par exemple, « regf » vaut 0x66676572. Pour une ruche, la signature sera 0xBEE0BEE0. Avec l'accès à la mémoire depuis le noyau, nous pouvons retrouver ces signatures en mémoire assez facilement en les scannant simplement. Vous pouvez également scanner la mémoire à la recherche de la signature "CM10" - c'est celle-ci qui est attribuée par le gestionnaire de configuration au bloc de mémoire d'échange, qui est alloué à la structure CMHIVE. Je crois qu'une fois que vous aurez trouvé un élément qui nous intéresse dans votre mémoire, vous saurez quoi en faire ensuite :).

Comment, par exemple, modifier la valeur d’une cellule de registre ? La valeur est stockée dans le champ CM_KEY_VALUE->Data, donc si vous avez pour tâche de modifier un champ dans une clé de registre spécifique, recherchez la valeur ici :

Typedef struct _CM_KEY_VALUE ( Signature WORD ; // #define CM_KEY_VALUE_SIGNATURE 0x6B76 WORD NameLength ; ULONG DataLength ; ULONG Data ; //<---------- данные ячейки будут здесь ULONG Type; WORD Flags; WORD Spare; WCHAR Name; } CM_KEY_VALUE, *PCM_KEY_VALUE;

La deuxième option est une sorte de modification de la première. Si vous le savez, il y a une particularité lorsque vous travaillez avec le registre - toutes les modifications, c'est-à-dire "créer de nouvelles clés / écrire / supprimer des clés", en règle générale, prennent effet après le redémarrage du système (enfin, ou après l'explorateur). redémarré, c'est une telle méthode de hack). Avant cela, tous les changements semblent être dans un état suspendu et « sale ». De plus, lorsque le système accède au registre, il communique avec lui via le cache du système de fichiers. C'est compréhensible - il peut y avoir des centaines d'appels au registre par seconde, il est donc déraisonnable de se fier à la vitesse du système de fichiers ; aucune vitesse ne vous sauvera. Par conséquent, le système fonctionne avec le registre, comme on dit, virtuellement, via le cache du système de fichiers. Et ici, pour mettre en lumière les entrailles du registre, vous devez accéder au cache ! La manière dont cela est effectué a déjà été décrite dans des Tyrnets, notamment dans.

Avantages et inconvénients, ou plutôt une conclusion

Que puis-je dire au final ? La variation sur le thème du contrôle direct sur le registre proposée au lecteur dans l'article est de nature exclusivement expérimentale. Je ne discute pas, c'est un peu difficile à mettre en œuvre dans la pratique, et beaucoup diront qu'il est préférable d'utiliser les fonctions WinAPI normales conçues pour fonctionner avec le registre - et ils auront raison à certains égards. Cependant, la bibliothèque implémentée par die_hard dans la pratique, basée sur les principes énoncés dans l'article, aura un véritable pouvoir thermonucléaire, échappant au contrôle ni des serveurs ni du système d'exploitation lui-même.

Ensuite, je terminerai. Bonne compilation et que la Force soit avec vous !

WWW

L'article de Mark Russinovich sur le registre « Inside the Registry » est une lecture incontournable ; il y avait même une traduction en russe. Un merveilleux outil pour collecter des informations de registre : http://goo.gl/iSSVy.

Si le système d'exploitation a été installé sur l'ordinateur pendant une période assez longue et qu'il n'a jamais été réinstallé pendant tout ce temps, les utilisateurs constatent généralement une diminution de la vitesse de son fonctionnement et l'apparition de pannes périodiques. Cela peut se manifester par un chargement lent, une ouverture prolongée de certains programmes et l'apparition de boîtes de dialogue sur les erreurs survenues. Et plus une personne travaille longtemps sur un ordinateur, plus elle remarque des problèmes et des dysfonctionnements, et avec le temps, travailler sur un tel ordinateur peut se transformer en un véritable cauchemar.

Le coupable de tous ces problèmes répertoriés peut être le registre système - un composant très important du système d'exploitation. Par conséquent, même les utilisateurs novices feraient bien de connaître son objectif, son impact sur le fonctionnement global du système d'exploitation, ainsi que les moyens de le surveiller et d'en prendre soin.
Ainsi, tôt ou tard, l'utilisateur est confronté à la question soit de réinstaller le système d'exploitation avec tous les programmes et de reconfigurer son interface utilisateur, soit d'essayer de « nettoyer » le système et de lui redonner ses anciennes performances.

DESCRIPTION ET OBJECTIF

Le registre Windows est essentiellement une base de données arborescente qui contient des informations sur tous les paramètres requis pour le fonctionnement correct et fluide du système d'exploitation. Il contient les paramètres du matériel et des logiciels installés, les profils personnels des utilisateurs ayant accès à l'ordinateur, les types de fichiers que les programmes peuvent créer et des informations sur les propriétés des dossiers.

L'importance du registre du système d'exploitation Windows ne peut guère être surestimée. L'efficacité avec laquelle tous les composants du PC, tant logiciels que matériels, fonctionneront dépend de l'exactitude de leurs informations. Si l'utilisateur commence à remarquer des problèmes dans le fonctionnement de son ordinateur, c'est un signe clair qu'il y a eu une défaillance dans le registre et que certains de ses paramètres sont erronés. Si une défaillance grave se produit dans le registre système, l'utilisateur ne pourra pas charger Windows et le système d'exploitation devra être réinstallé.

Le registre système est stocké dans X:\Windows\System32\сonfig, où X est la lettre du lecteur système.

PARTITIONS DE REGISTRE RACINE

Le registre du système d'exploitation Windows se compose de plusieurs sections principales :

• - HKEY_CURRENT_CONFIG (HKCC) - la section contient toutes les informations sur le profil matériel utilisé sur la machine locale lors du démarrage du système ;
• - HKEY_CURRENT_USER (HKCU) - la section stocke des informations sur un utilisateur spécifique qui est connecté au système et qui y travaille à l'heure actuelle. Cette branche stocke ses dossiers, paramètres d'écran et paramètres du panneau de configuration ;
• - HKEY_CLASSES_ROOT (HKCR) - la section contient des données sur les extensions de type de fichier et les applications qui s'ouvriront lors de leur lancement ;
• - HKEY_USERS (HKU) - cette branche stocke des informations sur tous les profils d'utilisateurs actifs chargés d'un PC particulier ;
• - HKEY_LOCAL_MACHINE (HKLM) - branche pour stocker des informations sur le chargement du système d'exploitation Windows, des informations sur les pilotes de périphériques et le matériel informatique ;
• - HKEY_USERS (HKU) - la succursale stocke les paramètres de profil individuels pour chaque utilisateur enregistré dans le système. Des informations sur le profil « par défaut » des nouveaux utilisateurs créés sont également stockées ici.

Chaque section de registre racine contient de nombreuses sous-clés, qui à leur tour peuvent avoir leurs propres sous-sections dans lesquelles les paramètres système sont stockés. La hiérarchie du registre est très complexe et le nombre de sections qu'elle contient est tout simplement énorme. Par conséquent, dans le cadre de ce document, il suffit de comprendre le principe même de construction de sa structure, afin que, si nécessaire, vous puissiez trouver le paramètre dont vous avez besoin.

IMPACT DU REGISTRE SUR LE TRAVAILLES FENÊTRES

Comme indiqué précédemment, la vitesse du système et sa stabilité dépendent directement de l'état du registre. Le plus souvent, le système commence à ralentir lorsque la taille du registre augmente. Et plus il est grand, plus le démarrage de l'ordinateur est long, car au démarrage du système d'exploitation, le registre système est toujours vérifié pour détecter les erreurs, après quoi une copie de sauvegarde est effectuée. De plus, plus il y a de logiciels sur un ordinateur, plus le registre est volumineux.

Dans le même temps, Windows est conçu de telle manière que le fonctionnement de tout logiciel, qu'il s'agisse d'un simple utilitaire ou d'un super jeu, nécessitera toujours une interaction avec le registre système pour rechercher les paramètres nécessaires, ce qui devient de plus en plus difficile et plus long à trouver, plus la taille du registre et le nombre de succursales qu'il contient sont grands.

Il existe un autre facteur important qui affecte la vitesse de Windows, mais avant d'en parler, faisons une petite remarque. Il existe deux principaux types de mémoire dans les ordinateurs : la RAM (mémoire vive), également appelée mémoire vive, et la ROM (mémoire morte), qui comprend les disques durs, les lecteurs flash et d'autres composants qui stockent vos données. La RAM est une mémoire très rapide qui permet d'échanger instantanément des informations avec le processeur central, mais la ROM est beaucoup plus lente.

Maintenant, continuons, le ralentissement à l'ouverture des programmes est très souvent causé par le fait qu'il n'y a pas assez de RAM pour les charger rapidement. Et souvent, afin de fournir la quantité de mémoire requise pour un certain programme, le système la prélève sur son volume total (une combinaison de RAM et de ROM), commençant à accéder à l'espace du disque dur, c'est-à-dire ce que l'on appelle le « swap » se produit (une partie des informations est écrite sur le disque dur). En conséquence, lorsque, lors du chargement ou de l'exécution d'une application, celle-ci a besoin d'écrire les informations nécessaires sur le disque, sa lecture prend beaucoup plus de temps que si le système les prenait dans la RAM.

Pour éviter que cette situation ne se produise, vous devez empêcher tous les programmes inutiles ou rarement utilisés d'entrer dans la RAM.

Mais le fait est que l’une des principales sources de déchets dans la RAM de votre ordinateur est le registre, des données à partir desquelles le système Windows se charge au démarrage, sans savoir si vous en aurez besoin ou non. Parmi eux, il peut y avoir des « traces » de programmes, d'applications ou de paramètres supprimés depuis longtemps dont vous n'aurez probablement plus besoin. Ainsi, si vous ne prêtez pas attention à l'état du registre système, toutes ces ordures encombreront l'espace précieux de la RAM.

Très souvent, lorsqu'ils utilisent un ordinateur, les utilisateurs commencent à voir des boîtes de dialogue contenant toutes sortes d'erreurs qui se produisent sous Windows. Beaucoup d'entre eux sont le résultat de modifications incorrectes apportées au registre, qui entrent en conflit avec les paramètres du système. Cela peut se produire en raison du remplacement des bibliothèques standard par des versions plus anciennes ou après leur suppression soudaine, par exemple après une infection virale et un nettoyage ultérieur de l'ordinateur.

FAÇONS DE MODIFIER LE REGISTRE

L'utilisateur peut résoudre tous les problèmes liés à un registre « gonflé » de deux manières : manuellement ou à l'aide de programmes, mais dans tous ces cas, des modifications seront apportées au registre système.

Les utilisateurs inexpérimentés ne doivent pas apporter de modifications manuellement. Dans ce cas, il est préférable d'utiliser des programmes spéciaux qui peuvent être utilisés pour modifier sans douleur la base de données du registre pour le fonctionnement du système d'exploitation. Heureusement, il existe désormais suffisamment de tels utilitaires sur le marché, et il existe à la fois des programmes payants et des programmes gratuits, avec des fonctionnalités tout à fait décentes. L'objectif principal de ces utilitaires est de rechercher et de supprimer les clés cassées qui ne sont plus utilisées et qui ne font qu'obstruer le registre, ainsi que de le défragmenter.

Et pourtant, si vous décidez d'apporter vous-même des modifications au registre, la meilleure solution serait d'utiliser l'utilitaire Éditeur du Registre intégré à Windows. Pour accéder à l'éditeur de registre, il existe une commande spéciale "regedit", qui doit être saisie dans la fenêtre Exécuter (appelée en appuyant sur les touches Windows + R).

Après avoir lancé l'utilitaire, l'utilisateur verra une fenêtre divisée en deux parties, dont l'une affiche les sections, sous-sections et branches du registre système, et l'autre - les paramètres de l'élément que l'utilisateur a sélectionné dans le registre.

Également dans l'Éditeur du Registre, dans l'onglet Modifier, il existe une option de recherche (appelée en appuyant sur Ctrl + F), qui recherche les mots spécifiés dans les noms de section, les noms de paramètres et leurs valeurs. Il s'agit d'une fonction très pratique qui permet, par exemple, d'effacer le registre des traces d'un programme inutile par son nom.

Lorsque vous ajustez manuellement le registre, vous devez être très prudent. Une mauvaise action et les performances du système seront complètement perturbées et Windows devra être réinstallé.

Les utilisateurs qui commencent tout juste à comprendre comment travailler avec un ordinateur demandent souvent dans quels cas ils peuvent apporter eux-mêmes des modifications au registre et quand ils doivent se tourner vers un professionnel pour obtenir de l'aide. Si possible, si des problèmes surviennent avec le registre, vous devez toujours appeler un spécialiste ou au moins inviter un ami expérimenté. Il n’est absolument pas souhaitable qu’un non-professionnel apporte des modifications aux enregistrements réels. De plus, avant de procéder à des réglages, il est nécessaire de faire copie de sauvegarde registre, puis en cas d'actions incorrectes entraînant l'inopérabilité du système, il sera possible de restaurer le registre à partir d'une sauvegarde en utilisant le même utilitaire que celui utilisé pour apporter des modifications. Il faut également se rappeler que vous ne devez en aucun cas remplacer le registre d'une version de Windows par le registre système d'une autre version.

Les erreurs les plus courantes et leurs conséquences lorsque des amateurs ajustent le registre incluent la suppression ou la modification des sections et clés nécessaires, après quoi certains programmes peuvent cesser de fonctionner, le compte utilisateur peut ne pas se charger ou une panne complète du système peut se produire.

SURVEILLANCE DU REGISTRE

Le registre Windows est le reflet du système d'exploitation. Et pour comprendre que tout dans le système fonctionne sans interruption, il est nécessaire de le surveiller en permanence. L'option idéale consiste à utiliser pour surveiller un utilitaire populaire créé spécifiquement à cet effet. Pourquoi avez-vous besoin de l’installer et de l’utiliser ? Afin d'analyser le fonctionnement des programmes. L'utilisateur pourra toujours voir quels processus se déroulent dans le système, quels programmes sont en cours d'exécution et lesquels d'entre eux accèdent le plus souvent au registre, et s'il voit quelque chose de suspect, il pourra prendre des mesures pour éliminer le problème.

Les utilitaires de surveillance sont assez faciles à utiliser. Même une personne qui n'a pas reçu d'éducation spéciale peut les comprendre. Et c'est leur gros avantage, puisqu'il est souhaitable que tous les utilisateurs, expérimentés comme débutants, sachent au moins approximativement ce qui se passe dans le registre du système d'exploitation de leur ordinateur. Par exemple, vous pouvez utiliser l'un des utilitaires de surveillance du registre les plus populaires - Registry Monitor (RegMon).

SOIN DU REGISTRE

Lors de l'installation puis de la désinstallation de divers programmes, un utilisateur du système d'exploitation Windows ne sait pas toujours qu'en règle générale, les informations les concernant ne sont pas complètement supprimées du registre. Il y a toujours des « queues » qui ralentissent encore davantage le fonctionnement du système. Pour éviter que cela ne se produise, il est nécessaire non seulement de surveiller le registre, mais également d'en prendre soin. Pour ce faire, vous n'avez pas besoin de rechercher vous-même les entrées restantes dans le registre, cela peut être fait à l'aide de programmes spéciaux dont l'existence a déjà été mentionnée ci-dessus. jv16 PoverTools, CCleaner, Reg Organizer, RegCleaner et d'autres font bien ce travail. Avec leur aide, l'utilisateur peut non seulement nettoyer le registre des « déchets », mais également défragmenter le disque dur, modifier le démarrage, effacer l'historique du navigateur, supprimer les fichiers de récupération système obsolètes, etc.

CONCLUSION

La possibilité de gérer le registre est un énorme avantage pour un utilisateur de tout niveau. Dans ce cas, sans attendre une aide extérieure, vous pourrez améliorer ou restaurer de manière autonome les fonctionnalités de votre système d'exploitation en cas de problèmes graves. Certes, il est encore plus important de ne pas amener votre système d'exploitation fonctionnel dans un état déplorable en surveillant le registre ou au moins en le débarrassant constamment des « déchets ».

En général, la plupart des problèmes avec Windows qui surviennent en raison de problèmes de registre peuvent être résolus de manière indépendante à l'aide de conseils d'experts, qu'ils publient aimablement sur Internet. Certes, pour les utiliser, vous devez dans tous les cas savoir, au moins en termes généraux, ce qu'est le registre et comment y apporter des modifications. Eh bien, si vous n'avez pas réussi à résoudre vous-même les problèmes survenus, vos connaissances de base vous aideront à expliquer correctement l'essence du problème à un spécialiste du service informatique, ce qui accélérera considérablement le processus de résolution.

Très souvent, un utilisateur novice de PC est désorienté par une situation dans laquelle des informaticiens expérimentés demandent à apporter des modifications au registre afin de résoudre un problème avec le système d'exploitation.

Oui, il y en a déjà des prêts Rég-fichiers (fichiers avec l'extension name.reg), qui sont utilisés pour exporter et importer des données de registre en double-cliquant simplement dessus. Par défaut, pour les fichiers avec l'extension .reg, la commande permettant de saisir leur contenu dans le registre est définie. Ils sont exécutés au format texte. Ils peuvent être visualisés et modifiés dans le Bloc-notes ou un autre éditeur de texte.

Mais il existe des situations où il n'existe pas de fichier prêt à l'emploi ou où il est nécessaire d'examiner certains paramètres du registre. Alors un tas de petites questions se posent :

Qu'est-ce qu'un registre ?

Où le chercher ?

Comment y entrer ?

et à la fin

Essayons de résoudre ces problèmes ensemble.

Tout de suite, il ne s'agit pas d'une description détaillée du registre avec une description détaillée de chaque paramètre. Il existe des Talmuds entiers à cet effet, sous forme imprimée et électronique.

Qu'est-ce qu'un registre ?

Le registre, ou registre système, est une base de données permettant de stocker les informations de configuration de l'ordinateur et les paramètres du système d'exploitation.

Le registre contient des données auxquelles Windows XP accède constamment pendant le démarrage, le fonctionnement et l'arrêt, à savoir :

• les profils de tous les utilisateurs, c'est-à-dire leurs paramètres ;
• configuration des équipements installés dans le système d'exploitation ;
• des informations sur les programmes installés et les types de documents créés par chaque programme ;
• propriétés des dossiers et des icônes de programme ;
• informations sur les ports utilisés.

Le registre a une structure arborescente hiérarchique composée de sections, sous-sections et clés (paramètres).

Comment y entrer ?

Pour travailler avec le registre, un utilitaire Regedit simple et compréhensible, familier depuis l'époque de Windows 3.1, est utilisé.

Pour ouvrir le registre système, vous devez procéder comme suit : cliquez sur Commencer-> sélectionnez Exécuter...-> sur le terrain Ouvrir… entrer regedit-> cliquez D'ACCORD.

La fenêtre de l'utilitaire Regedit s'ouvrira avec les noms des partitions.

Les sections et sous-sections sont, en gros, des dossiers dans la fenêtre de gauche de Regedit. Une clé de registre, ou paramètre, est une certaine variable à laquelle est attribuée une certaine valeur ; en d’autres termes, c’est ce que nous voyons dans la fenêtre de droite de Regedit.

Buisson (section principale, section standard, dans la documentation anglaise - ruche, de l'anglais. ruche) est une clé de registre qui apparaît sous forme de fichier sur votre disque dur.

Une ruche est un ensemble de clés, de sous-clés et de paramètres et est enracinée au niveau supérieur de la hiérarchie du registre. Par défaut, la plupart des fichiers de ruche (Default, SAM, Security et System) sont enregistrés dans le dossier %SystemRoot%\System32\Config (par exemple, C:\Windows\System32\Config\). Le dossier %SystemRoot%\Profiles contient des profils (paramètres) pour chaque utilisateur de l'ordinateur. Une ruche étant un fichier, elle peut être déplacée d’un système à un autre. Pour modifier ce fichier, vous devez utiliser un éditeur de registre.

Le registre Windows XP se compose de 5 sections principales :

HKEY_CLASSES_ROOT

Est une sous-clé de HKEY_LOCAL_MACHINE\Software\Classes. Cette branche contient des informations sur les extensions de tous les types de fichiers enregistrés dans le système (les informations stockées ici sont responsables du lancement programme nécessaire lors de l'ouverture d'un fichier à l'aide de l'Explorateur Windows)

HKEY_CURRENT_USER

Cette section contient les paramètres de l'utilisateur actif actuellement connecté au système. C'est ici que sont stockés les dossiers utilisateur, les couleurs de l'écran et les paramètres du panneau de configuration. Ces informations sont associées au profil de l'utilisateur. Bien que cette section ressemble à l'une des principales de l'Éditeur du Registre, il ne s'agit que d'un lien vers l'un des profils HKEY_USERS\.

HKEY_LOCAL_MACHINE

La section contient des paramètres spécifiques à votre ordinateur et valables pour tous les utilisateurs, ainsi que des informations sur la configuration matérielle et les logiciels installés.

HKEY_USERS

Cette section contient tous les profils utilisateur d'ordinateur chargés actifs et contient les paramètres pour tous les utilisateurs d'ordinateur.

HKEY_CURRENT_CONFIG

Cette section contient des informations sur le profil matériel utilisé ordinateur local lorsque le système démarre.

Les abréviations sont souvent utilisées pour désigner les principales sections du registre :

HKEY_CLASSES_ROOT – HKCR
HKEY_CURRENT_USER – HKCU
HKEY_LOCAL_MACHINE – HKLM
HKEY_USERS – HKU
HKEY_CURRENT_CONFIG – HKCC

Comment puis-je modifier le paramètre souhaité ?

Nous devons vérifier la valeur du paramètre Coquille sous-section Connexion Win section HKEY_LOCAL_MACHINE.

Le paramètre Shell dans le registre se trouve dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Voyons comment cela doit être fait. Faites cela avec moi et vous verrez dans la pratique qu'il n'y a rien de difficile à cela.

Attention! Avant d'apporter des modifications au registre, il est conseillé de faire une copie de sauvegarde de l'intégralité du registre ou de la branche à laquelle vous allez apporter des modifications. Pour cela, dans l'éditeur de registre, exécutez : Fichier -> Exporter... -> donner un nom au fichier -> Enregistrer. Si quelque chose se produit, vous pouvez toujours restaurer les paramètres de registre précédents via Fichier -> Importer... Ou en exécutant le fichier que vous avez enregistré pour exécution.

Lancez l'éditeur de registre : Commencer-> sélectionnez Exécuter...-> sur le terrain Ouvrir… entrer regedit-> cliquez D'ACCORD.

Dans l'éditeur de registre, cliquez d'abord sur le signe plus (ou double-cliquez sur le dossier) à côté de la section HKEY_LOCAL_MACHINE, puis sur le dossier LOGICIEL, plus loin Microsoft, et ainsi de suite jusqu'à ce que nous arrivions à la sous-section dont nous avons besoin Connexion Win.

Cliquez sur la sous-section Connexion Win et dans la partie droite de la fenêtre de l'éditeur de registre, nous recherchons le paramètre Coquille. Partie droite L'Éditeur du Registre est divisé en trois colonnes : Nom, Type, Valeur. C'est exactement là que nous arrivons à la valeur que nous devons vérifier.

Dans notre exemple spécifique La valeur du paramètre Shell doit être Explorer.exe

Si cela diffère de ce dont nous avons besoin, nous apportons des modifications. Pour ce faire, double-cliquez sur le nom du Shell avec le bouton gauche de la souris (ou une fois avec le bouton droit de la souris et sélectionnez dans le menu contextuel Changement). Une fenêtre s'ouvrira Modification d'un paramètre de chaîne, où dans la ligne Signification apportez les modifications dont nous avons besoin et cliquez sur OK.

Fermez l'éditeur de registre.

Ça y est, nous avons vérifié les paramètres du registre et l'avons modifié si nécessaire.

P.S. Très souvent, vous devez redémarrer votre ordinateur pour que les modifications prennent effet. N'oubliez pas ça.