Обнаружение вируса
И именно в свете сего немаловажного обстоятельства, в критические моменты встает необходимость уметь собственноручно обнаруживать и удалять вредоносный код, и именно поэтому данная статья будет посвящена изложению методов обнаружения без использования каких-либо антивирусных средств, исключением у нас будут, разве что, небольшие сопутствующие утилиты.
«Все течет, все меняется» (© Гераклит), и операционные системы из этого постулата, конечно же, не исключение. На протяжении всей истории развития операционных систем Windows, идет их постоянное видоизменение, одни системные механизмы перестают эксплуатироваться, долгое время присутствуя в системе в виде рудиментов совместимости и в последствии исчезая, другие же появляются. Происходит бесконечное движение, вирусописатели подстраиваются под эволюционирующую среду, переписывая код, использующий устаревающие механизмы, начинают искать и эксплуатировать другие, обретающие актуальность. Учитывая меняющиеся от версии к версии особенности операционных систем и достаточно большое количество потенциальных точек активации вредоносного кода, статья эта никогда не будет завершена полностью и конечно же не будет претендовать на полное руководство по выбранной тематике. Однако, по мере получения новых знаний, будет время от времени мною дорабатываться в бесконечной попытке соответствовать современным реалиям.
Перед тем как мы начнем работать с довольно сложной темой под названием обнаружение вируса, хотелось бы отдельно сказать вот еще о чем.
Дело в том, что с момента зарождения эры компьютерных вирусов, специалистами по безопасности было введено в оборот такое великое многообразие терминов и определений, что классификация в рамках небольшой статьи выглядела бы, откровенно говоря, излишней, учитывая и тот факт, что в свете характера статьи для нас фактически не так уж и важно, как зовется та или иная разновидность вредоносного кода. В разнообразных материалах, посвященных теме компьютерных вирусов, встречаются оригинальные определения, специалисты по безопасности называют программное обеспечение, которое выполняет деструктивные действия различными именами. На заре операционной системы MS-DOS вирусами называли программы, которые реплицировали собственный код в обнаруживаемые исполняемые модули и загрузочный сектор. С появлением линейки операционных систем Windows, вредоносный код обрел истинное многообразие, на свет появилось большое количество всевозможных алгоритмических отклонений, таких как руткиты (rootkit), трояны (troyan), шпионы (spyware), рекламные программы (adware), вымогатели (ransomware), сетевые черви (worms) и прочее, прочее, прочее. И все эти вариации на вирусную тему имеют различное предназначение. Часто термины ассоциируются неправильно, и вещи называются не своими именами, в дополнение, ко всему этому многообразию применяются второстепенные термины, такие как вредоносный код, зловред, вредонос. Поэтому, дабы не вводить читателя в заблуждение, я буду использовать определение «вирус» применительно к любому вредоносному коду, поэтому встречая в тексте термин вирус, подразумеваем любой вид вредоносного кода.
По каким косвенным признакам пользователь может обнаружить вирус в операционной системе? Дело в том, что какого-то единого, вполне определенного и однозначного симптома заражения системы вирусом не существует, однако общими следствиями вирусной активности могут быть:
Внимательно изучив описанные выше первичные признаки, можно сделать однозначный вывод что зачастую довольно сложно отличить вирусную активность от типовых сбоев, вызванных аппаратными и программными проблемами. Обычно в случае подозрения на аномальную активность, пользователь прибегает к помощи антивирусов, но что же делать ему в ситуации, когда работающий антивирус при сканировании не может детектировать в системе никакой вирусной активности, а «глюки» сохраняются и подозрение на вирус остается?! В этом случае можно попробовать переустановить операционную систему, выбор безусловно за вами, но в этом случае вы теряете уникальную возможность саморазвития, не получаете дополнительных знаний по компьютерным вирусам, исключаете возможность обнаружить новые виды вирусной активности. Может все же стоит попробовать «пройтись по системе» самостоятельно с целью обнаружения вируса, изучив возможные местоположения запуска и модификации? Хорошо, для начала требуется усвоить одно простое правильно:
Сокращения, используемые далее в данной статье:
| Сокращение | Полное наименование |
|---|---|
| HKCR | HKEY_CLASSES_ROOT |
| HKCU | HKEY_CURRENT_USER |
| HKLM | HKEY_LOCAL_MACHINE |
| HCU | HKEY_USERS |
В статье я постарался свести максимальное количество известных мне методов загрузки вирусов в операционной системе Windows.
Автозагрузка
Автозагрузка в реестре
Индивидуальные пути Windows 98/98SE/ME:
Индивидуальные пути Windows XP:
Автозагрузка групповой политики (в реестре)
Автозагрузка в файловой системе
Однако, автозагрузка вовсе не ограничивается ключами реестра. Как мы все прекрасно знаем, в Windows существует еще один (пожалуй основной) способ автоматически загрузить программу при старте операционной системы. В интерфейсе пользователя присутствует раздел Автозагрузка, который аккумулирует списки программ из специализированных расположений в файловой системе: каталогов с именем Startup в профиле конкретного пользователя и профиле пользователя по-умолчанию. Помещая в это расположение ярлык программы либо непосредственно саму программу, можно легко добиться автозагрузки программы на стадии запуска. Меня всегда вот удивляло, почему нельзя универсализировать механизмы реестровой автозагрузки и пользовательской и объединить их? Почему в Windows присутствует именно несколько различных методов загрузки, мало того, что представлены специальные ветви реестра, так еще и предоставили каталоги? Немного поразмыслив, понял, что механизм с реестром позиционируется как «системный», а механизм с автозагрузкой в качестве «пользовательского», чтобы пользователю можно было тривиально, в два клика обеспечить своему приложению автозапуск. Представляете ситуацию объединения этих механизмов.. неподготовленный (рядовой) пользователь получал бы возможность видеть все специализированные утилиты, которые загружаются через реестр и мог бы (не)преднамеренно просто их поудалять. К тому же, не каждая программа способна загрузиться посредством записи в ключах реестра.
Конечно же, и этот механизм не смог обойтись без внимания вирусописателей, и некоторые вирусы используют механизм автозагрузки из каталога для добавления исполняемых модулей при первичном получении управления собственным кодом. Поэтому специалисту не лишним будет проверить следующие местоположения:
| Версия | Размещение |
|---|---|
| Windows Vista/7 | Для текущего пользователя: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup Для всех пользователей системы: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup |
| Windows 2000/XP | Для текущего пользователя: %UserProfile%\Start Menu\Programs\Startup Для всех пользователей системы: %AllUsersProfile%\Start Menu\Programs\Startup |
Однако описанные местоположения могут быть изменены через ключи реестра.
Для всех пользователей системы:
Для текущего пользователя системы:
Поэтому стоит иногда заглядывать в упомянутые ключи с целью проверки корректных значений установленных путей как составляющей общей стратегии по обнаружению вируса.
Загрузка на ранних стадиях
По задумке разработчиков некоторые сервисные утилиты, к примеру дефрагментаторы, программы проверки дисков, антивирусные сканеры, должны запускаться на раннем этапе процесса загрузки Windows, когда стартовали драйвера этапа загрузки (тип BOOT_START ) и этапа системы (тип SYSTEM_START ), но еще не инициализирован файл подкачки, переменные среды и не запущены некоторые подсистемы. В данной точке Диспетчер сеансов (Session Manager, smss.exe ) только начинает разбирать переменные окружения пользовательского режима, поэтому никаких других процессов, понятное дело, еще не запущено. Однако, на данном этапе возможен запуск специально написанных образов, поддерживающих нативный (native) режим (использующих функции Native API).
Загрузка через Диспетчер сеансов настраивается в ключе реестра:
InprocServer32
Регистрирует 32-разрядный внутрипроцессный сервер и задает потоковую модель апартамента, в которой может работать сервер.
Запись реестра
Комментарии
| Значение | Описание |
|---|---|
| Разделение | Однопотоковое подразделение |
| both | Однопотоковое или многопоточное подразделение |
| Бесплатный | Многопоточное подразделение |
| нейтральное выражение. | Нейтральное подразделение |
Для каждого объекта, предоставленного внутрипроцессного сервером, необходимо использовать одно и то же значение.
Если ThreadingModel отсутствует или не задано значение, сервер загружается в первый апартамент, инициализированный в процессе. Этот апартамент иногда называют основным однопотоковым апартаментом (STA). Если первый поток STA в процессе инициализируется моделью COM, а не явным вызовом CoInitialize или CoInitializeEx, он называется главным STA. Например, COM создает главный STA, если внутрипроцессный сервер, который требуется загрузить, требует STA, но в данный момент в процессе нет STA.
Когда это возможно, внутрипроцессный сервер загружается в тот же апартамент, что и клиент, который его загружает. Если потоковая модель подразделения клиента несовместима с указанной моделью, сервер загружается, как показано в следующей таблице.
| Потоковая модель сервера | Сервер подразделения запущен в |
|---|---|
| Главный STA | |
| both | Тот же апартамент, что и клиент |
| Бесплатный | Многопоточное подразделение |
| нейтральное выражение. | Нейтральное подразделение |
Если потоковая модель сервера является Апартаментной, то подразделение, в котором загружен сервер, зависит от апартамента, в котором выполняется клиент, как показано в следующей таблице.
| Клиент подразделения запущен в | Сервер подразделения запущен в |
|---|---|
| Многопоточных | Главный STA |
| Нейтральный (в потоке STA) | Тот же апартамент, что и клиент |
| Нейтральный (в потоке MTA) | Главный STA |
COM также может создать многопотоковый апартамент узла (MTA). Если клиент в однопотоковом апартаменте запрашивает внутрипроцессный сервер, модель потоков которого свободна, если в процессе нет агента передачи сообщений, COM создает агент передачи узла и загружает в него сервер.
Для 32-разрядного внутрипроцессного сервера необходимо зарегистрировать InprocHandler32, инпроксервер, InprocServer32 и вставляемые ключи. Запись инпроксервер необходима только для обеспечения обратной совместимости. Если он отсутствует, класс по-прежнему работает, но не может быть загружен в 16-разрядные приложения.
Если контейнер выполняет поиск в реестре внутрипроцессного сервера, 16-разрядная версия имеет приоритет с 16-разрядным контейнером, а 32-разрядная версия имеет приоритет с 32-битным контейнером.
InprocServer32
Registers a 32-bit in-process server and specifies the threading model of the apartment the server can run in.
Registry Entry
Remarks
ThreadingModel is a REG_SZ value the specifies the threading model. The possible values are shown in the following table.
| Value | Description |
|---|---|
| Apartment | Single-threaded apartment |
| Both | Single-threaded or multithreaded apartment |
| Free | Multithreaded apartment |
| Neutral | Neutral apartment |
You must use the same value for every object provided by the in-process server.
If ThreadingModel is not present or is not set to a value, the server is loaded into the first apartment that was initialized in the process. This apartment is sometimes referred to as the main single-threaded apartment (STA). If the first STA in a process is initialized by COM, rather than by an explicit call to CoInitialize or CoInitializeEx, it is called the host STA. For example, COM creates a host STA if an in-process server to be loaded requires an STA but there is currently no STA in the process.
Whenever possible, the in-process server is loaded in the same apartment as the client that loads it. If the threading model of the client apartment is not compatible with the model specified, the server is loaded as indicated in the following table.
| Threading model of server | Apartment server is run in |
|---|---|
| Main STA | |
| Both | Same apartment as client |
| Free | Multithreaded apartment |
| Neutral | Neutral apartment |
If the threading model of the server is Apartment, the apartment the server is loaded in depends on the apartment the client is running in, as indicated in the following table.
| Apartment client is run in | Apartment server is run in |
|---|---|
| Multithreaded | Host STA |
| Neutral (on STA thread) | Same apartment as client |
| Neutral (on MTA thread) | Host STA |
COM can also create a host multithreaded apartment (MTA). If a client in a single-threaded apartment requests an in-process server whose threading model is Free when there is no MTA in the process, COM creates a host MTA and loads the server into it.
For a 32-bit in-process server, the InprocHandler32, InprocServer, InprocServer32, and Insertable keys must be registered. The InprocServer entry is needed only for backward compatibility. If it is missing, the class still works but it cannot be loaded in 16-bit applications.
If a container is searching the registry for an in-process server, the 16-bit version has priority with a 16-bit container and the 32-bit version has priority with a 32-bit container.
Windows Немного о CLSID
Кирилл
Здесь можно найти информацию о CLSID:
Итак,что же есть по сути CLSID?
Из справки microsoft следует,объект clsid имеет право на то,что бы его называли программой-оболочкой для глобального уникального идентификатора (GUID) для COM-класса.
А так же приведу цитату следующего содержания:
Так,давайте немного практики.
Здесь я описал несколько примеров использования ключей CLSID.
Кроме того разного рода функционал может быть добавлен в автозагрузку,использован в каких то своих целях.
Что бы сравнить возможности,я попрошу вас заглянуть в эти три темы по очереди:
Параметры команды shell
Краткий справочник по CLSID
И например вот эта
Посмотрев эти темы мы убедимся,что функционал CLSID довольно обширен и мощный.
раздел реестра |Описание
AppID |Зависимые AppID с CLSID.
AutoConvertTo | Задает автоматическое преобразование данного класса объектов, в новый класс объектов.
AutoTreatAs | Автоматически устанавливает CLSID для TreatAs ключ к указанному значению.
AuxUserType |Определяет короткие имена и отображаемое имя приложения.
Control | Определяет объект как элемент Управления ActiveX.
Conversion | Используется Conversion диалоговое окно для определения форматов.
DataFormats |Определяет форматы по умолчанию и данные, которые поддерживаются приложением.
DefaultIcon | Иконка используемая по умолчанию для объекта.
InprocHandler | Указывает, использует ли приложение пользовательский обработчик.
InprocHandler32 | Указывает, использует ли приложение пользовательский обработчик.
InprocServer | Задает путь к in-process server DLL.
InprocServer32 | Регистрация 32-bit in-process server и определяет модель потоков на сервере,которые могут работать в домашней группе.
Insertable | Указывает на то, что у объекта этого класса должно появиться в Insert Object диалоговое окно списка при использовании COM-контейнер приложений.
Interface | Указывает, что у объекта этого класса должен появиться в Insert Object диалоговом окне списка, когда используется приложениями COM контейнеров.
LocalServer |Задает полный путь к 16-бит локального сервера приложений.
LocalServer32 | LocalServer32 определяет местоположение приложения COM-сервера для запуска приложений локального сервера.
MiscStatus |Определяет, как создать и отобразить объект.
ProgID | Ассоциированные ProgID с CLSID.
ToolBoxBitmap32 | Определяет имя модуля и идентификатор ресурса для изображения (16 х 16) используемого для панели инструментов или кнопки панели инструментов.
TreatAs | Определяет CLSID класса, могут имитировать текущий класс.Эмуляция проявляется в способности одного приложения открывать и редактировать объект другого класса, сохраняя исходный формат объекта.
Verb | Определяет глаголы, которые будут зарегистрированы для приложения.
Version | Указывает номер версии управления.
VersionIndependentProgID | Ассоциированные ProgID с CLSID. Это значение используется, чтобы определить последнюю версию объекта application.
Секреты системного реестра
А если вместо строки «c:\windows\explorer…» указать путь к какой-нибудь программе, то тогда получится, что ярлык этой программы вы поместите в окно «Мой компьютер» и сможете запускать ее прямо оттуда!
Некоторые обьекты операционной системы, кроме идентификаторов, имеют еще и словесные имена. В этом случае эти имена отображаются в качестве имен разделов в той же части HKEY_CLASSES_ROOT, что и «внутренние» имена типов файлов и содержат в себе данные об идентификаторе в одном из своих параметров. Их остальные параметры могут хранить различную служебную информацию.
Совет
Для того, чтобы изменить параметры (внешний вид и имя, в частности) системных иконок, найдите разделы с именами, соответствующим их идентификаторам в разделе HKEY_CLASSES_ROOT\CLSID и поменяйте нужные вам параметры в них. Вот идентификаторы некоторых из системных иконок:
Если в «Проводнике» вы создадите папку с именем Имя.Идентификатор, то она превратится в соответствующую папку (верно не для всех идентификаторов, скажем, новый «Мой компьютер» вам так создать не удастся). А добавив параметр InfoTip с строкой в качестве значения в один из таких разделов, можно организовать всплывающую подсказку для соответствующей папки. Добавив некоторые подобные папки в «Главное меню», можно получить весьма интересные результаты.
В параметре «По умолчанию» каждого подраздела раздела CLSID располагается название обьекта, так что вы можете в какой-то степени узнать, для чего тот или иной раздел предназначен.
С помощью идентификаторов можно редактировать контекстное меню правой кнопки мыши различных файлов, добавляя туда команды работы с этими файлами. Так, к примеру, происходит при установке программы WinZip, после которой в контекстном меню каждого файла и папки появляется пункт «Add to Zip». Многие антивирусные программы, например, Antiviral Toolkit Pro, позволяют вызывать их из контекстного меню какого-либо файла для проверки именно его, помещая команду своего вызова в это меню.
тобы добавить возможность вызова программы из какой-либо библиотеки для работы с тем или иным типом файлов, в разделе CLSID создается подраздел вида
Рис.14.5. Возможность появления в меню «Свойства» каждой папки такого
окна, как справа, дана параметром в разделе PropertySheetHandler,
показанном слева
Параметры и разделы, изменяющие контекстное меню, вносятся программами в реестр при их инсталляции или из диалоговых окон самих программ.
Вряд ли, конечно, тем, кто профессионально не занимается программированием, эти данные пригодятся непосредственно в работе. Но, во всяком случае, теперь вы не будете в реестре гостем, незнакомым с местностью, а сможете понимать назначение его записей. Ну, а если когда-нибудь вы возьметесь за изучение технологии составления программ, то эта информация вам в какой-то степени поможет ее освоить.
В операционных системах Windows 2000 и Windows XP данный раздел реестра устроен практически так же, как описано выше.
Краткий вывод. Каждый тип файлов, зарегистрированный в системе, представлен в разделе HKEY_CLASSES_ROOT системного реестра в двух местах:
1. В начале раздела, в подразделе с именем расширения этого типа файлов с точкой вначале. Здесь приводится «внутреннее» имя этог типа файлов, а также информация о включении данного типа в меню «Создать. «.
2. В подразделе с именем, соответствующим «внутреннему» имени. Здесь указывается «официальное» имя этого типа файлов, а также указывается его иконка и определяются пункты контекстного меню правой кнопки мыши для него.
В реестре встречаются «обломки» предыдущих регистраций в виде подразделов с уже утратившими актуальность «внутренними» именами типов файлов.
Пользовательский модуль
В разделе AppEvents записана информация о звуковых схемах и назначенных звуках в системе. Именно здесь хранятся те данные, что вы вводите в диалоге Звук Панели управления.
Рис.14.6. А вот и схемы оформления.
В подразделе Cursors хранится информация о выбранном наборе изображений курсора и о всех стандартных наборах таких изображений.
Другие подразделы раздела Control Panel имеют чисто служебное значение. Там могут храниться данные о назначении кнопок мыши и т.д.
В HKEY_CURRENT_USER могут быть и другие разделы, созданные разными установленными программами.
В подразделе Microsoft расположены настройки установленных на компьютере программ, выпущенных этой фирмой. В его подразделе Internet Account Manager находятся настройки учетных записей текущего пользователя программы Outlook Express. Рядом с ним можно видеть подраздел с именем этой программы, тоже полный всяческих настроек.
Рис.14.7. Программа Msconfig даст вам возможность редактировать разделы Run, не запуская Редактор реестра.
В составе Windows98 есть программа msconfig.exe (рис.14.7). Она работает и в Windows95. С помощью этой программы можно просмотреть список автозагружаемых программ и удалить явно лишние.
В подразделах RunMRU и Doc Find Spec MRU содержится то, что вы когда-либо вводили в окна «Выполнить. » и «Найти. » (рис.14.8). Почистите эти разделы или, наоборот, дополните их согласно вашей необходимости, если желаете.
Рис.14.8. А вот где находится содержимое окна Пуск-Выполнить.
В подразделах Shell Folders и User Shell Folders содержится информация о расположении служебных папок Windows, например, Cookies или History. Если вы пожелаете переместить их в другое место или переименовать, то внесите сюда изменения.
Остальные подразделы и параметры подраздела Explorer настраивают мелкие особенности «Проводника».
В разделе HKEY_CURRENT_USER\Software\VB and VBA Program Settings по умолчанию располагаются настройки для всех программ, написанных на языках Visual Basic и VBA. Поэтому загляните и сюда, если вы не нашли имени интересующей вас программы в остальной части раздела Software.
Системный блок
В разделе HKEY_LOCAL_MACHINE\Config находятся и некоторые настройки операционной системы. Например, в ключе Сonfig\0001 (номер конфигурации)\display\settings указываются шрифты, используемые Windows по умолчанию, например, в «Блокноте». А в параметре Resolution этого раздела расположено указание на экранное разрешение. (Можете его поменять на любые цифры, хоть на 1000*200, и, если ваша видеокарта позволит, то именно такое разрешение экрана и будет.)
Подраздел DesktopManagement посвящен работе системы с библиотекой deskmgmt.dll из каталога Windows\System, отвечающей за работу операционной системы с процессором, памятью и другими устройствами материнской платы компьютера. Здесь записаны команды, обратившись с которыми из другой программы к этой библиотеке, можно получить соответствующие данные.
Подраздел Enum содержит информацию о распознанных операционной системой устройствах компьютера.
Подраздел HKEY_LOCAL_MACHINE\Hardware, несмотря на многообещающее название, хранит в себе немного информации о имеющихся последовательных портах и установленных на них модемах.
Подразделы Network и Security содержат малозначащие параметры сети Microsoft Network (интересно, в России кто-нибудь хоть когда-нибудь ей пользовался?).
Рис.14.9. Укажите в этом разделе имя для запуска программы и путь
к ней и не заботьтесь о задании правильного пути в окне «Выполнить»
В параметрах подразделов LastCheck и LastOptimize (подраздела Explorer подраздела CurrentVersion) содержится информация о последнем моменте дефрагментации или проверки жестких дисков компьютера.
В подразделе Tips вы найдете все советы, отображающиеся при первом запуске компьютера с Windows (рис.14.10). Их можно просмотреть и с помощью программы welcome.exe из каталога Windows.
Рис.14.10. Склад полезных советов для окна «Добро пожаловать в Windows». (Когда вы, кстати, видели это окно в последний раз?)
Рис.14.11. Сравните окна слева внизу и справа внизу.
В чем причина разницы? В окне сверху.
В подразделе MS-DOS Emulation, в его подразделе AppCompat находится список программ MS-DOS, которые могут работать только в «Режиме MS-DOS», а не в окне «Сеанса MS-DOS» и требуют выгрузки Windows для своей работы (рис.14.12).
Из следующего подраздела реестра, MS-DOS Options, берутся параметры для диалоговых окон при настройке ярлыков программ MS-DOS для особой конфигурации «Режима MS-DOS». Именно с помощью этих параметров можно удобно настроить файлы autoexec.bat и config.sys для каждого ярлыка программы, работающей в «Режиме MS-DOS». Только настраивать их, разумеется, лучше все же через Свойства ярлыка.
Если вы хотите изменить путь к установочным файлам Windows (например, если вы поставили Windows с компакт-диска, а затем поместили ее дистрибутив на винчестер и желаете, чтобы при любой установке драйверов или своих компонентов она обращалась именно туда), то введите в параметр SourcePath раздела HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\Current Version\Setup нужный путь.
В подразделе Time Zones приведен список настроек всех возможных часовых зон из меню настройки местного времени. (Параметры же установленной временной зоны размещаются ниже, в разделе HKEY_LOCAL_MACHINE\ System\CurrentControlSet\control\TimeZoneInformation.)
Если вы хотите напугать какого-нибудь любителя «Color Lines» или «Сапера», кто включит ваш компьютер без вашего ведома, вставьте в раздел HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\ CurrentVersion\Winlogon параметры LegalNoticeCaption и LegalNoticeText с каким-нибудь текстом. Тогда при загрузке Windows будет отображаться окошко с этими данными (рис.14.13).
В подразделе FileSystem записаны некоторые параметры работы операционной системы с носителями информации с другой файловой системой вроде CD-ROM.
Подраздел Keyboard layouts содержит список возможных раскладок клавиатуры и имена соответствующих им файлов с раскладками (установлены могут быть отнюдь не все эти файлы).
Рис.14.13. Любителя без спросу поиграть на вашем компьютере в «Сапера»
подобная надпись может здорово напугать.
Подраздел PerfStats посвящен состоянию системы и несколько подробнее описан ниже.
Рис.14.14. Для любой программы MS-DOS можно создать здесь раздел, и тогда при попытке ее запуска будет выводиться подобное предупреждение.
Подраздел CheckBadApps400 имеет то же самое предназначение, что и предыдущий, но в нем размещены имена программ для Windows 3.х, а не для MS-DOS.
Подраздел TimeZoneInformation (подраздела System\Current ControlSet\control) хранит в себе информацию о текущей временной зоне.
В следующем большом подразделе HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services содержится в основном служебная системная информация. Некоторые из его подразделов очень важны для операционной системы.
Подраздел Arbitrators содержит информацию программ-арбитров, о которых шла речь выше.
В разделах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Class и HKEY_LOCAL_MACHINE\Enum размещается информация лишь об имеющихся устройствах, об их характеристиках и назначенных ресурсах. Информация же о конкретной работе устройств, о том, исправны они или нет, находится в разделе реестра HKEY_DYN_DATA, который постоянно находится в оперативной памяти.
Остальная часть раздела HKEY_LOCAL_MACHINE\System\CurrentControl Set\Services содержит данные некоторых программ и особого интереса для пользователя не представляет.
В системном реестре Windows 2000/XP по сравнению с реестром Windows 9х похожую структуру имеет лишь подраздел HKEY_LOCAL_MACHINE\Software, однако настройки операционной системы, в частности, таблица соответствия имен шрифтов и их файлов, находятся не только в его подразделе Microsoft\Windows, но и в подразделе Microsoft\WindowsNT. Остальные подразделы имеют другую структуру и другое предназначение. Кроме того, к перечисленным выше местам реестра, указанные в которых программы запускаются автоматически при старте Windows, в Windows 2000/XP добавились еще параметры Userinit раздела HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Winlogon и Load раздела HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows.
Общий модуль
Ключи конфигурации
В системном реестре Windows 2000/XP этот раздел устроен совершенно по-другому, хоть и выполняет похожую функцию.
Железный ключ
В отличие от всех остальных разделов, содержимое которых хранится в файлах системного реестра на жестком диске и загружается в оперативную память лишь в случае необходимости его считывания или изменения, все данные HKEY_DYN_DATA при загрузке операционной системы размещаются в оперативной памяти и находятся там вплоть до завершения работы операционной системы.
В системном реестре Windows 2000/XP данный раздел отсутствует.
Куски реестра в файлах
Рис.14.17. Фрагмент реестра, экспортированный в текстовый файл.
Если в значении строкового параметра встречается символ «\», то он заменяется (в экспортированном файле реестра) на пару таких символов. Сам символ «\» используется для переноса слишком длинных строк. Имя каждого раздела или подраздела, вносимого в реестр, независимо от его иерархического расположения, должно писаться полностью и на отдельной строке. Между описаниями каждого из разделов и в конце файла должно находиться по одной пустой строке. Символ «@» соответствует параметру «По умолчанию».
С помощью такого файла можно также и удалять записи из системного реестра. Для этого нужно перед именем раздела поставить знак «-«: «[-HKEY_LOCAL_MACHINE\. ]».
Немного полезных советов
1 То есть те, которые будут загружены, если в ответ на запрос имени пользователя и пароля при загрузке операционной системы Windows9x нажать клавишу Esc.
2 Очень много полезных советов по работе с реестром вы можете найти на сайтах Андрея Зенченко /_vaz, Александра Рыжова http://www.akhiney. com.ua (раздел «Sovety»), Игоря Лейко /
3 В моей копии дистрибутива они были в файлах Precopy1.cab и Win98_44.cab.
5 Отображаться в Редакторе реестра оно будет в шестнадцатиричной системе счисления, а в самом реестре находиться.в двоичной.
6 Если в разделе, относящимся к графическому файлу, в этом параметре указать команду «%1», то при отображении такого файла в «Проводнике» вместо его иконки будет показываться уменьшенное изображение содержимого файла, как, скажем, в программе ACDSee в режиме Thumbnails. По умолчанию в Windows так сделано для самих иконок, а также для программ и курсоров.
8 Для того, чтобы разрешить редактирование параметров контекстного меню какого-либо типа файлов, защищенного от изменения таким способом, укажите в его параметре EditFlag значение 00 00 00 00 для файлов и 02 00 00 00 для каталогов и логических дисков.
10 В каталоге Windows есть файл tips.txt, в нем приведен пример создания нескольких аппаратных конфигураций для ноутбука.
11 Сами имена конфигураций, отображаемые в окне Система, хранятся в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\IDConfigDB вместе с номерами этих конфигураций.
