Видалення ключів реєстру

    38

    Редактор реєстру (regedit)

    Windows 7 : Пуск >>> введіть regedit у полі пошуку
    Windows XP : Пуск >>> Виконати >>> введіть regedit

    Розташування файлу на диску C: Windowsregedit.exe

    Після відкриття редактора натисніть на ключ і натисніть «Додати» або «Видалити»:

    Консольний інструмент REG

    повний синтаксис команди можна побачити, набравши REG /? у командному рядку , Інструмент дозволяє видаляти, додавати, експортувати, імпортувати … ключі реєстру.

    Ми використовуємо пункт «видалити» для видалення.

     REG DELETE KeyName / v ValueName / f 

    Приклади:
    видалення значення: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok / v flags

    ключ видалення: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok

    Виконання команди потребує підтвердження шляхом введення літери «т». Додавання параметра / f автоматично видаляє ключ без запиту.

    Файли .Reg

    Файли реєстру завжди починаються з заголовка:

     Редактор реєстру Windows, версія 5.00 

    (для більш старих систем заголовок REGEDIT4)

    Потім залиште пустий рядок з повним шляхом до ключа в квадратних дужках.

    приклад додавання ключа

     Редактор реєстру Windows, версія 5.00[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexploreradvanced]"SuperHidden" = DWORD: 00000001 

    приклад видалення ключа
    Щоб видалити ключ, додайте знак мінус «-» на початку імені ключа.

     Редактор реєстру Windows, версія 5.00[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2] 

    приклад видалення значення
    щоб видалити значення, встановіть знак мінус “-” в якості значення

     Редактор реєстру Windows, версія 5.00[HKEY_CURRENT_USERSoftwareGame MakerScores705627]"Rank1" = - 

    Ми створюємо файли .reg в Блокноті. У меню «Блокнот» >>> Файл >>> Зберегти як >>> Встановіть розширення «Всі файли» >>> Збережіть файл з розширенням .reg, наприклад, fix.reg Запустіть файл і підтвердіть операцію.
    Удаление ключей реестра

    Приховані ключі NULL

    використовуються для приховування вмісту ключів реєстру, які використовуються руткитами.

    Робота з NULL-клавішами на прикладі інструменту Reghide

    Після запуску Reghide.exe (в Windows 7 ми працюємо в режимі запустити від імені адміністратора), натисніть кнопку ОК. Ми залишаємо наступне вікно відкритим, щоб інструмент завжди був активний (після закриття нульова клавіша автоматично видаляється.

    Буде створено нульовою ключ. Додатки на основі Native API побачать весь створений ключ:
    HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не чіпай мене! 0

    Редактор реєстру, заснований на Win32 API, побачить тільки:
    HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не чіпай мене! 0

    Ключ не може бути відкритий, тому що ім’я не читається правильно – редактор реєстру спробує відкрити «Не можу торкнутися мене!» Без NULL в кінці (нуль «0» розглядається як маркер кінця імені, не враховується). Поширені повідомлення: «Помилка перешкоджає відкриттю ключа» / «Помилка видалення ключа»

    Удаление ключей реестра

    Ключ може бути правильно виявлений додатками для пошуку руткітів.
    GMER виявить приховане значення, яке називається Hidden Value:
    Удаление ключей реестра

    Виявлення і видалення нульових ключів

    Для перегляду / створення / видалення таких ключів нам потрібно використовувати інструменти на основі Native API. Прикладом є NtRegEdit – редактор власного реєстру , який буде бачити весь вміст ключа:
    Удаление ключей реестра

    Ключ може бути відкритий і видалений – додаток відкриває «Не можу торкнутися мене!» Разом з NULL в кінці (нуль «0» розглядається як частина імені).

    Інший додаток для видалення ключів працює з командного рядка RegDelNull .

    Після завантаження скопіюйте файл у каталог C: Windows. Потім у командному рядку введіть таку команду:

     regdelnull [-s] 

    наприклад, regdelnull hklm -s (параметр -s сканує всі підключи

    Якщо виявлений ключ NULL, програма запитає, чи потрібно його видалити. Введіть Y, щоб видалити, або N, щоб залишити ключ:

    Удаление ключей реестра

    Ви як і раніше можете використовувати додаток SWReg , яке є альтернативою системного редактору reg.exe, але з параметрами для перегляду, видалення і додавання ключів NULL. Підтримка командного рядка.

    Наприклад, видаливши ключ з допомогою команди:

    swreg null delete “HKEY_LOCAL_MACHINESOFTWARES Внутрішні компоненти системи. Не чіпай мене!”

    Ключі без дозволів

    Поширені повідомлення: «Доступ заборонений» / «Помилка видалення ключа»

    Удаление ключей реестра

    Удаление ключей реестра

    змінити дозволи для ключів

    Запускаємо редактор реєстру (в Windows 7 потрібно запускати від імені адміністратора). Для Windows 7 ви повинні спочатку взяти на себе відповідальність за ключ, ставши його власником.
    Перейдіть до ключа, який ви хочете видалити, і виберіть з нього PPM, вибравши Permissions. Відкриється вікно з дозволами для окремих облікових записів:

    Удаление ключей реестра

    Windows 7 натисніть кнопку «Додатково». Переходимо на вкладку Власник, вибираємо нашу обліковий запис опцію Замінити власника для подконтейнеров і об’єктів. Ми приймаємо кнопку Застосувати і ГАРАЗД.

    Ми повернемося до головного вікна з дозволами для окремих облікових записів. Якщо нашій облікового запису немає у списку, натисніть кнопку Додати >>> введіть ім’я нашої облікового запису >>> OK. Тепер виберіть нашу обліковий запис і виберіть Повний контроль внизу >>> OK.

    Ключ повинен бути видалений. Win XP: якщо все ще є помилка видалення ключа: Дозволи >>> Додатково >>> у першій вкладці внизу замініть Замінити записи дозволів для всіх дочірніх об’єктів

    запуск редактора реєстру з дозволами облікового запису SYSTEM
    Ви можете запустити редактор реєстру Windows з правами облікового запису SYSTEM: змінити права користувача . Потім ключі реєстру можуть бути видалені без надання дозволів.

    Обліковий запис SYSTEM є окремим обліковим записом Windows і має дозволу, що перевищують права адміністратора. В Win XP це вища ієрархічна обліковий запис. В Win 7 TrustedInstaller є ключовою обліковим записом, але також може бути корисний запуск з облікового запису SYSTEM. Ознакою того, що редактор реєстру працює з дозволами облікового запису SYSTEM, є видимість підрозділів ключа SAM / SECURITY, які зазвичай невидимі.
    Наступним способом є використання LiveCD PC Regedit .

    Корисні додатки:

    RegASSASSIN

    Ліцензія: безкоштовно
    Платформа: Windows

    Додаток дозволяє видаляти ключі, які повертають Відмовлено в доступі / Помилка при видаленні ключа в результаті відсутності авторизації. Програма скидає дозволу і очищає ключ. Просто запустіть програму, вставте ключ в адресний рядок, виберіть Скинути дозволу і Видалити розділ реєстру та всі підрозділи, натисніть Видалити.
    В Windows 7: запуск від імені адміністратора

    Завантажити: остання версія , RegASSASSIN_1.03.zip

    Знімок екрана:
    Удаление ключей реестра

    Додаток MiniRegTool

    інструмент дозволяє:
    – ключовий експорт
    – відображення поточних прав доступу
    – скинути і надати ключові дозволу
    – пошук в реєстрі заданого значення, заблокованих ключів і нульових ключів
    – видалення ключів, у тому числі заблокованих, з-за відсутності дозволів

    Скачати: 32-бітна версія, 64-бітна версія
    резервне копіювання – MiniRegTool_05.01.2012.zip , MiniRegTool64_05.01.2012.zip

    Знімок екрана:
    Удаление ключей реестра