Редактор реестра (regedit)
Windows 7 : в меню Пуск >>> введите regedit в поле поиска
Windows XP : меню Пуск >>> Выполнить >>> введите regedit
Расположение файла на диске: C: Windowsregedit.exe
После открытия редактора нажмите на ключ и выберите «Добавить» или «Удалить»:
Консольный инструмент REG
полный синтаксис команды можно увидеть, набрав REG /? в командной строке , Инструмент позволяет удалять, добавлять, экспортировать, импортировать … ключи реестра.
Мы используем параметр «удалить» для удаления.
REG DELETE KeyName / v ValueName / f
Примеры:
удаление значения: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok / v flags
ключ удаления: reg delete HKEY_CURRENT_USER_Software_aignes_amnotebok
Выполнение команды требует подтверждения путем ввода буквы «т». Добавление параметра / f автоматически удаляет ключ без запроса.
Файлы .Reg
Файлы реестра всегда начинаются с заголовка:
Редактор реестра Windows, версия 5.00
(для более старых систем заголовок REGEDIT4)
Затем оставьте пустую строку с полным путем к ключу в квадратных скобках.
пример добавления ключа
Редактор реестра Windows, версия 5.00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] "SuperHidden" = DWORD: 00000001
пример удаления ключа
Чтобы удалить ключ, добавьте знак минуса «-» в начале имени ключа.
Редактор реестра Windows, версия 5.00 [-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]
пример удаления значения
чтобы удалить значение, установите знак минус “-” в качестве значения
Редактор реестра Windows, версия 5.00 [HKEY_CURRENT_USERSoftwareGame MakerScores705627] "Rank1" = -
Мы создаем файлы .reg в Блокноте. В меню «Блокнот» >>> Файл >>> Сохранить как >>> Установите расширение «Все файлы» >>> Сохраните файл с расширением .reg, например, fix.reg Запустите файл и подтвердите операцию.
Скрытые ключи NULL
используются для скрытия содержимого ключей реестра, используемых руткитами.
Работа с NULL-клавишами на примере инструмента
После запуска Reghide.exe (в Windows 7 мы работаем в режиме запуска от имени администратора), нажмите кнопку ОК. Мы оставляем следующее окно открытым, чтобы инструмент всегда был активен (после закрытия нулевая клавиша автоматически удаляется).
Будет создан нулевой ключ. Приложения на основе Native API увидят весь созданный ключ:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не трогай меня! 0
Редактор реестра, основанный на Win32 API, увидит только:
HKEY_LOCAL_MACHINESOFTWARESEs InternalsCount не трогай меня! 0
Ключ не может быть открыт, потому что имя не читается правильно – редактор реестра попытается открыть «Не могу коснуться меня!» Без NULL в конце (ноль «0» рассматривается как маркер конца имени, не учитывается). Распространенные сообщения: «Ошибка препятствует открытию ключа» / «Ошибка удаления ключа»
Ключ может быть правильно обнаружен приложениями для поиска руткитов.
GMER обнаружит скрытое значение, которое называется Hidden Value:
Обнаружение и удаление нулевых ключей
Для просмотра / создания / удаления таких ключей нам нужно использовать инструменты на основе Native API. Примером является NtRegEdit – редактор собственного реестра , который будет видеть все содержимое ключа:
Ключ может быть открыт и удален – приложение открывает «Не могу коснуться меня!» Вместе с NULL в конце (ноль «0» рассматривается как часть имени).
Другое приложение для удаления ключей работает из командной строки .
После загрузки скопируйте файл в каталог C: Windows. Затем введите в командной строке следующую команду:
regdelnull [-s]
например, regdelnull hklm -s (параметр -s сканирует все подключи
Если обнаружен ключ NULL, приложение спросит, нужно ли его удалить. Введите Y, чтобы удалить, или N, чтобы оставить ключ:
Вы по-прежнему можете использовать приложение , которое является альтернативой системному редактору reg.exe, но с параметрами для просмотра, удаления и добавления ключей NULL. Поддержка командной строки.
Например, удалив ключ с помощью команды:
swreg null delete “HKEY_LOCAL_MACHINESOFTWARES Внутренние компоненты системы. Не трогай меня!”
Ключи без разрешений
Распространенные сообщения: «Доступ запрещен» / «Ошибка удаления ключа»
изменить разрешения для ключей
Запускаем редактор реестра (в Windows 7 требуется запуск от имени администратора). Для Windows 7 вы должны сначала взять на себя ответственность за ключ, став его владельцем.
Перейдите к ключу, который вы хотите удалить, и щелкните по нему PPM, выбрав Permissions. Откроется окно с разрешениями для отдельных учетных записей:
В Windows 7 нажмите кнопку «Дополнительно». Переходим на вкладку Владелец, выбираем нашу учетную запись и опцию Заменить владельца для подконтейнеров и объектов. Мы принимаем кнопку Применить и ОК.
Мы вернемся к главному окну с разрешениями для отдельных учетных записей. Если нашей учетной записи нет в списке, нажмите кнопку Добавить >>> и введите имя нашей учетной записи >>> OK. Теперь выберите нашу учетную запись и выберите Полный контроль внизу >>> OK.
Ключ теперь должен быть удален. Win XP: если все еще есть ошибка удаления ключа: Разрешения >>> Дополнительно >>> в первой вкладке внизу замените Заменить записи разрешений для всех дочерних объектов
запуск редактора реестра с разрешениями учетной записи SYSTEM
Вы можете запустить редактор реестра Windows с правами учетной записи SYSTEM: изменить права пользователя . Затем ключи реестра могут быть удалены без предоставления разрешений.
Учетная запись SYSTEM является отдельной учетной записью в Windows и имеет разрешения, превышающие права администратора. В Win XP это высшая иерархическая учетная запись. В Win 7 TrustedInstaller является ключевой учетной записью, но также может быть полезен запуск с учетной записи SYSTEM. Признаком того, что редактор реестра работает с разрешениями учетной записи SYSTEM, является видимость подразделов ключа SAM / SECURITY, которые обычно невидимы.
Следующим способом является использование LiveCD PC Regedit .
Полезные приложения:
Лицензия: бесплатная
Платформа: Windows
Приложение позволяет удалять ключи, которые возвращают Отказано в доступе / Ошибка при удалении ключа в результате отсутствия авторизации. Программа сбрасывает разрешения и очищает ключ. Просто запустите программу, вставьте ключ в адресную строку, выберите Сбросить разрешения и Удалить раздел реестра и все подразделы, нажмите Удалить.
В Windows 7: запуск от имени администратора
Загрузить: , RegASSASSIN_1.03.zip
Снимок экрана: 
Приложение MiniRegTool
инструмент позволяет:
– ключевой экспорт
– отображение текущих прав доступа
– сбросить и предоставить ключевые разрешения
– поиск в реестре заданного значения, заблокированных ключей и нулевых ключей
– удаление ключей, в том числе заблокированных, из-за отсутствия разрешений
Скачать:
резервное копирование – MiniRegTool_05.01.2012.zip , MiniRegTool64_05.01.2012.zip
Снимок экрана:
