Imagesforyou.ru

IMG FOR YOU — ИНТЕРЬЕРНАЯ ФОТОСТУДИЯ
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

История запуска программ и процессов в реестре Windows

История запуска программ и процессов в реестре Windows

История запуска программ и процессов в реестре Windows

Во время проведения компьютерно-криминалистической экспертизы операционной системы Windows важно понять, когда и каким образом был запущен определенный процесс. Чтобы идентифицировать эту деятельность, мы можем извлечь из целевой системы набор артефактов, полезных для сбора доказательств выполнения определенной программы.

Мы уже рассказывали как узнать какие программы запускались на компьютере. В той статье мы касались истории запуска программ в реестре Windows, но акцент больше ставили на программах. В сегодняшней статье я расскажу про ветки и ключи реестра в которых сохраняется история запуска программ и процессов Windows.

Нужно ли чистить реестр Windows?

В старые добрые времена реестр Windows 95 занимал пару мегабайт, а у Windows 7 он приближается к сотне. Актуален вопрос: как винда использует реестр. Загружает весь или только нужные части? Хранит его постоянно в памяти или выгружает после использования? Есть ли смысл чистить реестр от мусора, который оставляют после своей работы кривые приложения?

Я не стал искать на сайте мелкософта, а написал мелкую прогу, с помощью которой и получил ответы на вышеназванные вопросы. Скачать версию 1.10 вместе с исходниками можно по этому адресу. Тем, кто не любит много букв, советую переходить сразу к выводам.

Порядок проведения эксперимента
  1. После загрузки винды сохраняется снимок окна Process Explorer, показывающий размер занятой памяти. Далее несколько раз выделяется большое количество оперативки. Винда, стремясь удовлетворить запросы программы, урезает свой кэш, а измененные данные, в состав которых предположительно входит реестр, записывает в файл подкачки. После выделения оперативки сохраняются снимки окон с размером занятой памяти и использованием файла подкачки.
  2. Запускается моя прога, которая делает элементарную вещь: в ключ реестра записываются данные указанного размера. Размер данных превышает 100 MiB, что бы было проще увидеть изменения. Размер значений примерно равен 1 MiB — это максимальный размер для Windows XP. В качестве ключа был выбран HKEY_CURRENT_USERRegSizeTest — он не используется виндою и это поможет понять, загружаются или нет неиспользуемые никем данные из файла в память.
  3. Повторение пункта 1 с «распухшим» реестром.
  4. Удаление данных, записанных в пункте 2, и запуск NTREGOPT для сжатия реестра до нормального размера.
Читайте так же:
Бесплатный компилятор c для windows
Windows XP Professional 32-bit SP3

Перед записью данных в реестр:

Левый снимок сделан после загрузки винды, средний и правый — после выделения большого количества оперативной памяти. На снимке справа нам нужна цифра % Usage Peak. Это процент использования файла подкачки. Формула для перевода процентов в мегабайты:
Мегабайты = 4000 * проценты / 100.

После записи в реестр 220 Мб данных:

Файл реестра на диске увеличился на величину записанных данных.

Сравниваем Commit (желтый график) на левых снимках. Цифра подросла на те самые 220 Мб, т.е. данные загружены в память, хотя никем не используются. Об этом можно было сказать и не глядя на графики, т.к. во время загрузки винды появилась пауза в пару секунд, во время которой считываются лишние 220 Мб данных. Более интересна цифра Physical (красный график), которая показывает размер занятой оперативной памяти. Она увеличилась не на 220, а 440 Мб, так же как и System cache. Не слишком веселая картина.

Теперь посмотрим на средние снимки. Хорошая новость: цифры Physical одинаковы, значит винда неиспользуемые куски реестра выкинула из памяти. Но куда? В файл подкачки. На правых скриншотах видно увеличение занятого участка свопа на 360 Мб. Это меньше чем 440, но тем не менее распухание реестра в памяти после считывания его из файла очевидно.

Windows 7 Home Premium 64-bit

Перед записью данных в реестр:

После записи в реестр 100 Мб данных:

После записи в реестр 220 Мб данных:

После записи в реестр 500 Мб данных:

По сравнению с хрюшкой есть две новости, хорошая и плохая. Хорошая: реестр в памяти не распухает. Плохая: по непонятной причине не весь реестр сбрасывается в файл подкачки. В моем случае 50 из 100, 210 из 220 и 200 из 500. Получается странная картина: винда урезает system cache и paged pool ядра до минимума, а никому не нужное барахло продолжает пылиться в памяти. Что-то в мелкософте не докрутили…

Читайте так же:
Виндовс 10 второй рабочий стол

Что делает реестр Windows?

Вообще механизм его работы достаточно прост. При установке программы (или изменении какого-либо параметра Windows в любом из меню настроек) система сама разыскивает нужные параметры и вносит коррективы в одно из значений реестра.

Например, сие происходит при удалении приложений с помощью инструмента « Установка и удаление программ » (« Панель управления »).

Кстати, когда Вы по безалаберности удаляете папку с установленной программой посредством простого нажатия Удалить в Мой компьютер , а не через соответствующие инструменты в системе, пункты реестра, отвечающие (а именно содержащие настройки программы, информацию о расположении и тд и тп) за эту программу, не исчезают, а остаются в системе и таким образом захламляют её.

Вот почему так важно грамотно удалять приложения, своевременно очищать жёсткий диск и ухаживать за системой, о чем я неоднократно писал в своих статьях — «Чистим реестр, временные файлы и “следы” после удаления программ» или, скажем, «Удаляем любые программы начисто».

Как выглядит реестр? Это некая таблица, содержащая в себе все записи реестра, которая хранится на жёстком диске в виде нескольких файлов, но заныкана она так, что единственный путь работы с ней – использование встроенных инструментов Windows или сторонних программ.

Вариант первый: из консоли восстановления или с загрузочной флешки

Если вам необходимо попасть в удалённый реестр Windows, когда система не загружается, вас, вероятно, выручит встроенная консоль команд cmd, запускаемая из Консоли восстановления. Выйдите на ту известным вам способом…

автоматическое восстановление windows 10

выбор действия после автоматического восстановления windows 10

диагностика - дополнительные параметры windows 10

дополнительные параметры windows 10

и просто наберите в строке:

редактор реестра из-под cmd консоли восстановления

Подсветим, например, куст

HKEY_LOCAL_MACHINE

В меню Файл выберем Загрузить куст… и укажем путь в папке config по адресу

D:WindowsSystem32

загрузить куст в реестр из ремонтной консоли

Ещё раз напоминаю, что буква диска будет другой в зависимости от количества установленных систем и имеющихся разделов. Это узнать будет нетрудно: окном поиска по папкам будет управлять знакомый вам проводник.

Читайте так же:
Виндовс 10 не реагирует кнопка пуск

Далее. Если мне нужно отредактировать значения в разделе SOFTWARE, я укажу на одноимённый файл папки config:

config system32 windows

И так я могу показать на любой из генеральных кустов реестра. После того, как выбор сделан, редактор попросит указать имя загружаемого куста. В одной из предыдущих статей я назвал его как SOFTWARE1, вы можете придать любое другое имя:

загруженный куст удалённого реестра software1

Если загрузка куста прошла без ошибок, вы увидите его тут же слева. И это полноценный куст реестра уже не флешки, а той самой побитой Windows. Все параметры и разделы в кусте доступны для изменения и удаления. И по окончании работ просто подсветите инжектированный куст и выгрузите его:

выгрузить куст удалённого реестра

Можно выйти из консоли и пройти по кнопке загрузки Windows (если та доступна) или просто перезагрузить компьютер с выходом на Windows на жестком диске. И проверить, прокатили ли ваши изменения.

Но нередки случаи, когда или консоль восстановления не справляется со своими задачами, или редактор реестра не запускается. Вобщем, что происходит — неизвестно, но в удалённый реестр попасть есть смысл. На этот случай у вас также есть пара вариантов; первым из них этот абзац и продолжим. Вам понадобится загрузочная флешка с любой версией Windows: 7, 8 или 10. Разницы нет. И с помощью этого способа мы сможем отредактировать параметры, нам известные, в отдельных кустах реестра. В статье о проверке версии неработающей Windows, мы плотно разобрали именно этот вариант. Мне остаётся лишь воспользоваться материалами той статьи.

    или через F8 меню выбора диска выставляем загрузку с загрузочной флешки Windows 7/8/10 по инструкции со статьи Как выйти на консоль cmd минуя Windows.
  • таким же образом выходим на командную консоль. Работая с флешки, для этого нужно зажать Shift+F10 при появлении окна с Установкой Windows:

установка операционной системы Windows 7-2

shift +f10 для выхода в cmd

Быстрый переход в консоль из флешки/диска с Windows 7. В Windows 10 — всё то же самое.

Читайте так же:
Вин аэро для виндовс 10

Далее действуем по той же схеме: укажем на нужный файл в папке config нужного тома с файлами Windows. И также по окончании работ выгружаем загруженный куст обратно.

Восстановление реестра из среды восстановления Windows RE — 1 способ

В запущенной операционной системе Windows вы не сможете заменить файлы реестра из резервной копии из-за того, что система работает, вам откажут в доступе.

Для замены файлов реестра необходимо загрузить на компьютере среду восстановления Windows. Также запуск WinRE необходим в случае невозможности загрузки системы. Запустить среду восстановления Windows RE можно несколькими способами, которые описаны в статье на моем сайте.

Войти в Windows RE можно из работающей операционной системы, или загрузиться с внешнего носителя: Диска восстановления Windows, с загрузочной флешки Windows, или с DVD диска, на который записан дистрибутив Windows.

В среде восстановления нам понадобиться командная строка. Интерфейс среды восстановления немного отличается в разных системах. В окне выбора инструментов, нажмите на системное средство «Командная строка».

Если вы используете загрузочную флешку или установочный диск Windows, в программе установки Windows, во втором окне выберите «Восстановление системы», а затем, среди предложенных инструментов, командную строку.

Сначала нам необходимо узнать имя диска, на котором установлена операционная система, потому что в среде восстановления, имя (буква) системного диска не всегда совпадает с именем, отображаемом на работающем компьютере.

  1. В окне интерпретатора командной строки введите команду «diskpart» (без кавычек), а затем нажмите на клавишу «Enter».
  2. Введите команду «list volume» (без кавычек) для показа всех дисков компьютера.

проверка имен дисков

  1. Для выхода из утилиты «Diskpart», введите команду «exit» (без кавычек).

Запустите восстановление реестра из архивной копии:

  1. Выполните команду для копирования файлов системного реестра с заменой поврежденных файлов:
  1. В ответе на вопрос введите «a», после этого произойдет замена файлов реестра.
Читайте так же:
Виндовс закрывает игру что делать

файлы скопированы

Закройте окно командной строки, выйдите из среды восстановления WinRE, выполните перезагрузку Windows на компьютере.

Восстановление реестра с помощью Windows RE — 2 способ

В первом случае мы восстановили файлы реестра из резервной копии с помощью выполнения команды. Вторым способом можно сделать тоже самое копированием файлов.

  1. В среде восстановления WinRE запустите командную строку.
  2. В окне командной строки введите команду «notepad» (без кавычек), для запуска программы Блокнот.
  3. В окне Блокнота войдите в меню «Файл», выберите «Открыть…».
  4. В открывшемся окне войдите поочередно в папки «Windows», «System32», «config».
  5. В опции «Тип файлов» выберите «Все файлы». В папке вы увидите файлы реестра: «DEFAULT», «SAM», «SECURITY», «SOFTWARE», «SYSTEM».

выбор файлов реестра

  1. Добавьте расширение «.old» или «.bak» к именам файлов для их переименования.
  2. Выделите файл, кликните по нему правой кнопкой мыши, в контекстном меню выберите «Переименовать», добавьте расширение к имени файла.

переименование файлов

  1. Войдите в папку «RegBack», выделите файл.
  2. С помощью сочетания клавиш клавиатуры «Ctrl» + «C» скопируйте файл из папки «RegBack».

копирование файлов

  1. Откройте папку «config», вставьте туда скопированный файл, с помощью клавиш «Ctrl» + «V».

вставка файлов

Выйдите из среды восстановления, перезагрузите компьютер.

Заключение

Итак, в этом уроке мы разобрались с устройством реестра Windows 10/8/7/XP.

Давайте повторим: реестр состоит из пяти разделов, которые могут содержать подразделы (как папки в проводнике). В разделах и подразделах находятся параметры (строковые и числовые). Изменяя значения параметров, мы можем изменять настройки операционной системы, программ и пользователя.

Не слишком сложно?

Жду ваших отзывов и вопросов в комментариях!

В следующем уроке мы узнаем, где хранится реестр на жестком диске. Подписывайтесь на новости, делитесь с друзьями в социальных сетях.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector