Редактор реєстру (regedit)
Windows 7 : Пуск >>> введіть regedit у полі пошуку
Windows XP : Пуск >>> Виконати >>> введіть regedit
Розташування файлу на диску C: Windowsregedit.exe
Після відкриття редактора натисніть на ключ і натисніть «Додати» або «Видалити»:
Консольний інструмент REG
повний синтаксис команди можна побачити, набравши REG /? у командному рядку , Інструмент дозволяє видаляти, додавати, експортувати, імпортувати … ключі реєстру.
Ми використовуємо пункт «видалити» для видалення.
REG DELETE KeyName / v ValueName / f
Приклади:
видалення значення: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok / v flags
ключ видалення: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok
Виконання команди потребує підтвердження шляхом введення літери «т». Додавання параметра / f автоматично видаляє ключ без запиту.
Файли .Reg
Файли реєстру завжди починаються з заголовка:
Редактор реєстру Windows, версія 5.00
(для більш старих систем заголовок REGEDIT4)
Потім залиште пустий рядок з повним шляхом до ключа в квадратних дужках.
приклад додавання ключа
Редактор реєстру Windows, версія 5.00[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexploreradvanced]"SuperHidden" = DWORD: 00000001
приклад видалення ключа
Щоб видалити ключ, додайте знак мінус «-» на початку імені ключа.
Редактор реєстру Windows, версія 5.00[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]
приклад видалення значення
щоб видалити значення, встановіть знак мінус “-” в якості значення
Редактор реєстру Windows, версія 5.00[HKEY_CURRENT_USERSoftwareGame MakerScores705627]"Rank1" = -
Ми створюємо файли .reg в Блокноті. У меню «Блокнот» >>> Файл >>> Зберегти як >>> Встановіть розширення «Всі файли» >>> Збережіть файл з розширенням .reg, наприклад, fix.reg Запустіть файл і підтвердіть операцію.
Приховані ключі NULL
використовуються для приховування вмісту ключів реєстру, які використовуються руткитами.
Робота з NULL-клавішами на прикладі інструменту
Після запуску Reghide.exe (в Windows 7 ми працюємо в режимі запустити від імені адміністратора), натисніть кнопку ОК. Ми залишаємо наступне вікно відкритим, щоб інструмент завжди був активний (після закриття нульова клавіша автоматично видаляється.
Буде створено нульовою ключ. Додатки на основі Native API побачать весь створений ключ:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не чіпай мене! 0
Редактор реєстру, заснований на Win32 API, побачить тільки:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не чіпай мене! 0
Ключ не може бути відкритий, тому що ім’я не читається правильно – редактор реєстру спробує відкрити «Не можу торкнутися мене!» Без NULL в кінці (нуль «0» розглядається як маркер кінця імені, не враховується). Поширені повідомлення: «Помилка перешкоджає відкриттю ключа» / «Помилка видалення ключа»
Ключ може бути правильно виявлений додатками для пошуку руткітів.
GMER виявить приховане значення, яке називається Hidden Value:
Виявлення і видалення нульових ключів
Для перегляду / створення / видалення таких ключів нам потрібно використовувати інструменти на основі Native API. Прикладом є NtRegEdit – редактор власного реєстру , який буде бачити весь вміст ключа:
Ключ може бути відкритий і видалений – додаток відкриває «Не можу торкнутися мене!» Разом з NULL в кінці (нуль «0» розглядається як частина імені).
Інший додаток для видалення ключів працює з командного рядка .
Після завантаження скопіюйте файл у каталог C: Windows. Потім у командному рядку введіть таку команду:
regdelnull [-s]
наприклад, regdelnull hklm -s (параметр -s сканує всі підключи
Якщо виявлений ключ NULL, програма запитає, чи потрібно його видалити. Введіть Y, щоб видалити, або N, щоб залишити ключ:
Ви як і раніше можете використовувати додаток , яке є альтернативою системного редактору reg.exe, але з параметрами для перегляду, видалення і додавання ключів NULL. Підтримка командного рядка.
Наприклад, видаливши ключ з допомогою команди:
swreg null delete “HKEY_LOCAL_MACHINESOFTWARES Внутрішні компоненти системи. Не чіпай мене!”
Ключі без дозволів
Поширені повідомлення: «Доступ заборонений» / «Помилка видалення ключа»
змінити дозволи для ключів
Запускаємо редактор реєстру (в Windows 7 потрібно запускати від імені адміністратора). Для Windows 7 ви повинні спочатку взяти на себе відповідальність за ключ, ставши його власником.
Перейдіть до ключа, який ви хочете видалити, і виберіть з нього PPM, вибравши Permissions. Відкриється вікно з дозволами для окремих облікових записів:
Windows 7 натисніть кнопку «Додатково». Переходимо на вкладку Власник, вибираємо нашу обліковий запис опцію Замінити власника для подконтейнеров і об’єктів. Ми приймаємо кнопку Застосувати і ГАРАЗД.
Ми повернемося до головного вікна з дозволами для окремих облікових записів. Якщо нашій облікового запису немає у списку, натисніть кнопку Додати >>> введіть ім’я нашої облікового запису >>> OK. Тепер виберіть нашу обліковий запис і виберіть Повний контроль внизу >>> OK.
Ключ повинен бути видалений. Win XP: якщо все ще є помилка видалення ключа: Дозволи >>> Додатково >>> у першій вкладці внизу замініть Замінити записи дозволів для всіх дочірніх об’єктів
запуск редактора реєстру з дозволами облікового запису SYSTEM
Ви можете запустити редактор реєстру Windows з правами облікового запису SYSTEM: змінити права користувача . Потім ключі реєстру можуть бути видалені без надання дозволів.
Обліковий запис SYSTEM є окремим обліковим записом Windows і має дозволу, що перевищують права адміністратора. В Win XP це вища ієрархічна обліковий запис. В Win 7 TrustedInstaller є ключовою обліковим записом, але також може бути корисний запуск з облікового запису SYSTEM. Ознакою того, що редактор реєстру працює з дозволами облікового запису SYSTEM, є видимість підрозділів ключа SAM / SECURITY, які зазвичай невидимі.
Наступним способом є використання LiveCD PC Regedit .
Корисні додатки:
Ліцензія: безкоштовно
Платформа: Windows
Додаток дозволяє видаляти ключі, які повертають Відмовлено в доступі / Помилка при видаленні ключа в результаті відсутності авторизації. Програма скидає дозволу і очищає ключ. Просто запустіть програму, вставте ключ в адресний рядок, виберіть Скинути дозволу і Видалити розділ реєстру та всі підрозділи, натисніть Видалити.
В Windows 7: запуск від імені адміністратора
Завантажити: , RegASSASSIN_1.03.zip
Знімок екрана: 
Додаток MiniRegTool
інструмент дозволяє:
– ключовий експорт
– відображення поточних прав доступу
– скинути і надати ключові дозволу
– пошук в реєстрі заданого значення, заблокованих ключів і нульових ключів
– видалення ключів, у тому числі заблокованих, з-за відсутності дозволів
Скачати:
резервне копіювання – MiniRegTool_05.01.2012.zip , MiniRegTool64_05.01.2012.zip
Знімок екрана:
