Давным-давно, в первых версиях win большая часть настроек системы и программ хранилась в файлах *.ini. Они, по сути, были обыкновенными текстовыми файлами (открывались и правились блокнотом), в которых подряд были набиты все настройки - с минимальной сортировкой и пояснениями.

Поначалу это было более-менее удобно, но сама система и программы становились постепенно все больше и объемнее, соответственно и настроек тоже прибавлялось. В таких огромных текстовых файлах уже можно было элементарно заблудиться, а найти нужный пункт (а главное, понять, что он означает), да и сам файл, порой становилось нелегко. Для хранения настроек требовалось нечто принципиально новое.
И тогда в недрах MS родилась гениальная идея: создать центральную базу данных в виндах, где будут структурированно располагаться все настройки операционной системы, пользователей, программ, устройств и многое другое. И вот, начиная с Windows 95, все операционки стали оснащаться реестром. Конечно, переход к реестру был постепенным: файлов ini становилось все меньше (они остались и в ХР), а реестр становился все больше, и на него возлагалось все больше функций. От версии к версии реестр видоизменялся, в нем менялись кучи параметров, менялись разделы и его расположение на жестком диске. Конечно, он пробрался и в нутро ХР. По заверениям MS, ХР’шный реестр был серьезно переработан по сравнению с реестром win2k для обеспечения максимальной производительности и стабильности работы (это даже похоже на правду). Конечно, говорить о плюсах и минусах реестра можно долго, но факт в том, что он существует, и с ним нужно уметь грамотно обращаться, если, конечно, ты хочешь комфортно жить вместе с виндой.

Реестр… просто реестр!

В ХР (да и в предыдущих версиях) реестр является одним из ключевых компонентов системы: практически все настройки, влияющие на работу компьютера и его компонентов, лежат внутри реестра. Поэтому даже небольшая ошибка в нем может сделать неработоспособной не только отдельную программу или устройство, но и всю ось целиком отправить в глубокий нокдаун. Так что изменение параметров реестра наугад на своем компе вряд ли приведет к чему-нибудь хорошему, кроме синего экрана.
Итак, в реестре хранятся параметры настроек операционной системы и установленных программ, сведения о хардварных устройствах (плюс профили оборудования), данные о портах, профили пользователей, сетевые параметры, параметры загрузки, сведения о типах файлов и многое-многое другое.

Система приступает к обработке сведений из реестра сразу, начиная с этапа загрузки. Так что если в реестре найдется принципиальная ошибка, то вынь может отказаться даже грузиться. Реестр также играет одну из главных ролей в инициализации и работе оборудования. В него помещаются данные о новых найденных девайсах; драйверы устройств активно обмениваются с реестром загрузочными и конфигурационными параметрами. Начиная с Win2000, была значительно улучшена поддержка plug’n’play, и опять-таки в этом активно задействован реестр. За то, как будет выглядеть система после загрузки, полностью отвечает... правильно, тоже он . Фактически ось обращается к параметрам из реестра постоянно: при загрузке, работе и выключении. За секунду к нему может происходить не одна тысяча (!) всевозможных обращений.
По сути, подавляющие большинство твикеров Windows, а также встроенных в ХР средств редактирования всевозможных настроек (Панель управления, etc) являются обычными его редакторами с удобным и понятным визуальным интерфейсом. К тому же подобный твикер несложно написать самому, нужно только грамотно разобраться со значениями параметров. Да и если ты собираешься серьезно кодить под win, ты просто обязан уметь работать с реестром: создавать, редактировать и удалять ключи, собирать из реестра необходимую инфу (это еще не СЕРЬЕЗНЫЙ кодинг . А уж для быстрого написания вредоносного кода (или безобидных приколов) под win не найти ничего проще, чем внесение изменений в реестр. Всего несколькими строчками кода можно изменить систему до неузнаваемости.

Анатомия и физиология

Реестр представляет собой древовидную структуру, состоящую из корневых (root keys) и вложенных (subkeys) ключей, в которых, как в папках, находятся параметры. Основу реестра winХР составляют 5 корневых ключей: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.

HKEY_CLASSES_ROOT (или HKCR). Содержит информацию об OLE, сведения о типах файлов (ассоциации между ними и приложениями).

HKEY_CURRENT_USER (или HKCU). Содержит настройки текущего пользователя, вошедшего в систему (профиль пользователя). Эти настройки определяют права пользователя, внешний вид win, также настройки сети, принтеров и многие другие параметры, входящие в профиль. Это раздел является всего лишь ссылкой на подключ HKEY_USERS\USER_SecurityID\.

HKEY_LOCAL_MACHINE (или HKLM). Содержит глобальную информацию об операционной системе, установленном софте и оборудовании. Эти параметры затрагивают всех пользователей. В этом ключе хранятся самые важные настройки.

HKEY_USERS (или HKU). Содержит профили всех пользователей (в том числе включает в себя раздел HKCU).

HKEY_CURRENT_CONFIG (или HKCC): Содержит параметры текущего аппаратного профиля. Тут хранятся только изменения по сравнению со стандартной конфигурацией.
Каждый корневой ключ содержит множество вложенных подключей, в которые вложены еще ключи или параметры.

Параметры реестра могут принимать около 15 всевозможных типов значений, перечислять их все не имеет смысла. Из них чаще всего используются только 3 типа: REG_BINARY (двоичный тип данных – в regedit’e представлен в шестнадцатеричном формате), REG_DWORD (целые числа размером до 4 байт – в редакторе могут отображаться в двоичном, десятичном и шестнадцатеричном виде) и REG_SZ (обыкновенная текстовая строка). С этими типами тебе и придется работать чаще всего.
Если в прошлых версиях винды весь реестр состоял из нескольких файлов, то теперь все это добро занимает кучу папок и файлов, найти которые можно в основном в c:\windows\system32\config\, и еще немного пользовательских настроек хранятся в c:\documents and settings\user_name\ (удалять эти папки настоятельно не рекомендуется ). В win2k/ХР для хранения реестра используется система ульев (или кустов). Ульи – это постоянные составные части реестра, состоящие из главных ключей, вложенных в них подключей и параметров (динамичные ключи в улей не входят). Таким вот образом реестр делится на файлы. Основная часть реестра хранится в четырех файлах без расширений: sam, security, software и system (понять их назначение можно по названию). Плюс еще два пользовательских файла: c:\documents and settings\user_name\ntuser.dat и c:\documents and settings\user_name\local settings\application data\microsoft\windows\usrclass.dat. Резервную часть реестра составляют файлы *.sav – в них хранятся копии ульев и файлы *.log, в которых лежат логи изменений реестра. Но для того чтобы сделать бэкап, скопировать эти файлы недостаточно.

Техника безопасности

С теорией закончили, приступаем к практическим упражнениям. Альтернативных редакторов реестра существует немного (твикеры за редактор считать не будем), и, как ни странно, лучше родного microsoft regedit’a со своими прямыми обязанностями никто не справляется. Им и будем пользоваться. Как его запустить – разберешься, надеюсь, это тебе не впервой. Пользоваться regedit’ом так же элементарно, как и проводником (интерфейс один и тот же).

Но прежде чем соберешься править параметры, лучше сделай бэкап, лишним это не будет. С реестром все-таки нужно обращаться бережно - автоматического отката изменений и защиты от ввода неправильных параметров не существует, а последствия могут быть весьма плачевными. Везде (ну, почти) пишут, что прибегать к редактированию реестра стоит только в крайних случаях, а MS вообще уверяет, что пользователям нечего там делать. Но если быть внимательным, все будет ОК, думаю, ты и так не обращаешь внимания на подобного рода заявления. Весь реестр для наших целей можно не сохранять, а бэкапить только те ключи, которые будем править. Итак, выделяй нужный ключ, затем жми файл->экспорт и выбирай путь, куда сохранить файл с расширением *.reg (этим же способом можно сохранить и весь реестр). Лучше все файлы сохранений хранить в папке c:\windows\, чтобы потом не было траблов с аварийным восстановлением системы. Кстати, чтобы внести изменения из файла *.reg в реестр – достаточно его запустить. А сам reg файл можно также создавать и править в блокноте. Достаточно написать в заголовке «Windows Registry Editor Version 5.00», ниже - [ключ, в который будут вноситься изменения], еще ниже - «параметр» - «значение» (в одном файле можно обрабатывать сразу несколько ключей). Еще существует несколько способов резервного копирования реестра, в том числе его копия входит в стандартные точки восстановления ХР.

Не регедитом единым жив человек

Тем, кого откровенно тошнит от регедита, советую альтернативный редактор - Resplendent Registrar (wwwresplendence.com). От стандартного редактора респлендент (и кто такие названия придумывает?) отличается чуть более симпотным интерфейсом, встроенным монитором реестра, закладками на ключи, чистильщиком реестра (называется дефрагментатором), плюс есть undo, быстрый бэкап и совсем немного пояснений к ключам. А так - все то же самое. Не знаю, может тебе и понравится, но лично мне регедит роднее.

В прошлых версиях win в комплект входила утилита regedt32.exe (типа, advanced regedit). Теперь в ХР обе проги выполняют абсолютно идентичные функции – запускать вторую не имеет никакого смысла.

У реестра все-таки есть один существенный недостаток – он довольно быстро превращается в большую помойку, забивается бесполезными параметрами и ключами, если его регулярно не чистить. Но за каждой прожкой не уследишь, чтобы она прибрала за собой все следы после деинсталляции, а в реестре может остаться инфа об инсталляции, пользовательские настройки, фирменные типы файлов. Захламленный реестр неслабо тормозит систему, занимает кучу места (в ХР убрали ограничение на размер реестра), могут проявляться всевозможные лаги, да и разобраться в нем куда сложнее. Можно, конечно, каждый раз запускать Regmon и следить за всеми вносимыми изменениями, а потом вручную удалять весь хлам, но это, имхо, не выход. Для этих целей существуют специальные чистильщики реестра, которые помогают автоматически находить ненужные ключи и удалять их. Например, System Mechanic (wwwiolo.com) – хороший чистильщик всей системы, пожалуй, даже, один из лучших. Включает в себя неплохой уборщик реестра – находит бесполезные и неправильные ключи и после подтверждения удаляет их. Попыток затереть что-либо нужное не наблюдалось.

К тому же иногда могут потребоваться проги – что-то среднее между regedit’ом и твикерами - с которыми приятнее и нагляднее редактировать некоторые параметры реестра (но regedit они заменить все равно не смогут). Полезным инструментом при работе с реестром являются и мониторы реестра, которые следят за всеми изменениями и обращениями к реестру. Вот что тут можно порекомендовать:
jv16 power tools (wwwjv16.org) - довольно известная софтина, позволяет корректировать в реестре сведения об установленном софте, автозагрузке, о типах файлов, контекстном меню ослика и проводника – все довольно удобно и наглядно. Этим возможности проги не ограничиваются.
Regmon (Registry Monitor) (wwwsysinternals.com) – очень полезная прога, записывает все обращения к реестру: кто, когда и что сделал. В отчете ты получаешь: во сколько какая программа обратилась к какому ключу, какие произвела действия и какой получился результат. Может пригодиться при взломе шароварного софта и при слежении за подозрительной программкой. Хотя если считать, что за секунду к реестру обращаются сотни, а то и тысячи раз, найти нужную инфу порой бывает непросто (тебе помогут встроенный поиск и фильтры).

Хинты

Ну и напоследок набор полезных хинтов, надеюсь - пригодятся. Для внесения некоторых изменений необходимо ребутнуться. Понятно, что все настройки тут просто не могли уместиться (для них толстенная энциклопедия нужна), если хочешь найти больше, читай толковый справочник по реестру (http://reestr.hotmail.ru) – крайне позитивная книжка.
1. Самая стандартная фишка реестра. Запуск программ из реестра, минуя автозагрузку – любимое место троянцев. Смотри ветку HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ - из этого ключа проги будут грузиться каждый раз после входа пользователя. Или ...\RunOnce\ и …\RunOnceEx\ - отсюда программа загружается всего один раз, затем параметр удаляется. Или …\RunServices\ и …\RunServicesOnce\ - прога грузится еще до входа пользователя в систему. Также есть аналогичные параметры только для текущего пользователя, а не для всех: HKCU\Software\Microsoft\Windows\CurrentVersion\Run или …\RunOnce\. Теперь добавляй или удаляй проги на автозапуск. Для задания пути запускаемого файла используется тип данных REG_SZ или REG_EXPAND_SZ.

2. Запрет на доступ к реестру (на запуск regedit.exe). Заходи в раздел HKCU\Software\Microsoft\ Windows\CurrentVersion\Policies\System\ и создай параметр DisableRegistryTools типа REG_DWORD со значением 1. Хотя реестр все равно можно будет править другими программами. Также можно настроить разрешение на доступ к отдельным ветвям каждому пользователю персонально: кликай правой клавишей по ключу и выбирай пункт «разрешения…», в появившейся менюшке можешь настроить для каждого пользователя права на чтение и редактирование данного ключа реестра.

3. Отрубаем автозапуск CD. Заходи HKLM\System\CurrentControlSet\Services\Cdrom\ и меняй AutoRun с 1 на 0. Если хочешь наоборот – включить, то ставь 1.
4. Автоматически выгружать из памяти неиспользуемые библиотеки (увеличивает количество свободной памяти, что заметно ускоряет работу). Если полезут лаги, то придется включить снова. Залезай в HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ и делай новый параметр AlwaysUnloadDLL типа REG_DWORD со значением 1.
5. Очистка файла подкачки pagefile.sys перед выходом из системы. Если очень паришься по поводу безопасности, то включай эту опцию: файл подкачки, в котором могут остаться, например, пароли, перед выходом будет очищаться, но комп будет выключаться несколько дольше. HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\ и ставь 1 напротив ClearPageFileAtShutdown.
6. В ХР есть встроенная прога Dr.Watson для диагностики ошибок – польза от нее крайне сомнительна. Я думаю, она так и висит у тебя мертвым грузом, отжирая память. Перекроем ей кислород: HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\ ставь 0 параметру Auto.
7. Отключить надоедливое сообщение о нехватке свободного места на харде. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\. Если нет, то создавай там новый параметр NoLowDiskSpaceChecks и ставь ему значение dword равное 1.
8. Запретить бесполезные окошки с предложением отослать в MS сообщение об ошибке. Заползай в HKLM\Software\Microsoft\PCHealth\ErrorReporting и присвой 0 параметру DoReport.
9. Отображать содержимое окна при перетаскивании: выбирай либо красиво, но может притормаживать, либо наоборот. Ключ: HKCU\Control Panel\Desktop\, параметр: DragFullWindows, значение: 1.

Автор: Факториал.