Криминалистический анализ реестра операционной системы Windows

операционной системы компьютера, который в иерархической базе данных хранит важнейшие

установки и информацию о приложениях, системных операциях и пользовательской конфигурации.

базой данных параметров операционной системы, приложений и драйверов оборудования. Реестр

содержит огромный объем информации, начиная с параметров учетных записей пользователя и заканчивая цветами рабочего стола.

системой. В MS-DOS конфигурация системы контролировалась двумя следующими файлами:
• Config.sys

содержал конфигурационную информацию, необходимую для функ­ционирования MS-DOS. В основном, это были общие параметры оборудования, используемого различными приложениями, например работа верхней и нижней памяти.
• Autoexec.bat был пакетным файлом, служившим для выполнения процедур ав­тозагрузки.

установки, включая такие ресурсы, как запросы на прерывания (IRQ) и

номера каналов прямого доступа памяти (DMA).
 Работает как база данных, которая унифицирует функционирование приложений.
 Проверяет наличие необходимых драйверов для инсталируемого оборудования. При добавлении нового переферийного устройства Диспетчер конфигурации (Configuration manager) операционной системы помещает конфигурационные данные устройства в реестр.
 Предоставляет системные сервисы, которые необходимы для работы многих приложений.
 Обеспечивает запуск необходимого приложения при щелчке мышью.
 Сохраняет информацию относящуюся к системным правилам, профилям пользователей и средствам администрирования.

другими приложениями использование таких устройств, как принтер и звуковая карта.

Параметры хранились в текстовых файлах, называемых файлами инициализации (.INI).

обеспечивающего графический интерфейс пользователя (graphical user interface - GUI), для

работы в Windows.
Control.ini - содержал множество пользовательских настроек Windows, включая параметры рабочего стола, звука и принтера.
Win.ini -этот файл содержал информацию о визуальном оформлении Windows и параметры установленных приложений.
System.ini - содержал параметры конфигурации оборудования и определял, как Windows будет с ним взаимодействовать.

кб огра­ничение было снято, и теперь Реестр мог занимать столько

места, сколько ему было необ­ходимо.
Один файл был заменен несколькими, но при этом сохранилась единая иерархи­ческая структура, объединяющая вместе все записи.
С момента появления Windows NT Реестр практически не изменился.

хранится в следующих файлах:
DEFAULT,
SAM,

(находятся по адресу
SECURITY, С:\WINDOWS
SOFTWARE, \System32\Config)
SYSTEM
NTUSER.DAT (по адресу C:\Documents
andSettings\[Профиль пользователя])

HKCR содержит информацию об ассоциациях файлов -т.е. какие приложения открывают

определенные типы файлов. Более важным для многих людей является то, что HKCR содержит определения всех объектов среды Windows ХР. Ключи, контролирующие эти определения, контролируют информацию о внешнем интерфейсе объекта, как, например, команды, доступные в контекстном меню данного объекта.
32-битные приложения обращаются к этим данным через их копию в подключе Software\Classess подкаталога HKEY_LOCAL_MACHINE. На самом деле - это не совсем копии, а просто информация, хранящаяся в одном кусте, но рассматриваемая как бы с двух разных точек. Если изменить параметр в одном месте, то он изменится и в другом.
В HKCR преобладают два следующих типа ключей:
Ключи расширений файлов названы так же, как и представляемые ими расширения (.doc, .txt и так далее). Параметры этих ключей определяют, какие приложения открывают файлы с соответствующим расширением. Эти ключи могут содержать и подключи, контролирующие дополнительные функции, такие как список программ меню Открыть с помощью (Open With).
Ключи определения класса содержат информацию об объектах, соответствующих Общей модели объектов (Component Object Model - COM) - модели, позволяющей программистам разрабатывать объекты, доступные всем СОМ - совместимым приложениям. Технологии Внедрения и связывания объектов (Object Linking and Embedding - OLE) и ActiveX основаны на COM.

определяемую пользователем (например, пользовательские настройки рабочего стола): установки по умолчанию (HKEY_USERS\.DEFAULT)

для рабочего стола, меню Пуск (Start), приложений и т. д.
Когда новый пользователь входит в систему, установки по умолчанию копируются в отдельный подраздел, название которого совпадает с именем пользователя. Все изменения, которые пользователь в дальнейшем произведёт с этими установками сохраняются в этом подразделе.

пользователя в систему. При этом содержимое подраздела HKEY_USERS\name, где name

- имя текущего пользователя, или подраздела HKEY_USERS\.DEFAULT копируется в раздел HKEY_CURRENT_USER.
Раздел HKEY_CURRENT_USER содержит несколько подразделов:
AppEvents - содержит пути звуковых файлов, используемых для озвучивания системных событий.
Control Panel - содержит различные данные, которые могут быть изменены в панели управления.
Display - содержит пользовательские установки экрана для текущего пользователя (этот подраздел доступен, только если разрешены пользовательские профили (user profiles)).
InstallLocationsMRU - содержит пути, использованные в процессе последней инсталляции.
keyboard layout - содержит информацию о раскладке клавиатуры. Текущая раскладка клавиатуры устанавливается с использованием пункта Клавиатура (Keyboard)панели управления.
Network - содержит подразделы, описывающие постоянные и недавно установленные сетевые соединения, а также состояние сети.
RemoteAccess - необязательный подраздел, доступный только в случае, если установлен сервис удалённого доступа.
SOFTWARE - содержит пользовательские настройки приложений. Этот раздел ссылается на раздел HKEY_LOCAL_MACHINE, в которой также хранятся настройки приложений. 

локальному компьютеру, такую как драйверы, установленное программное обеспечение, наименование портов

и конфигураций программного обеспечения. Эта информация верна для всех пользователей, подключённых к системе.

Состоит из нескольких подразделов:
Config - хранит конфигурацию компьютера. Содержимое данного подраздела обновляется в процессе установки и запуска Windows.  
Enum - Windows использует так называемую шинную нумерацию (bus enumeration) для учёта всех установленных компонента оборудования. Данные для этих компонентов хранятся в этом подразделе и используются для построения "дерева оборудования" на вкладке Устройства (Drevices) диалога Система(System), вызываемого из панели управления. 

Подраздел Description содержит записи для устройств в системе. 
Network - когда

Windows работает в сети, этот подраздел содержит регистрационную информацию пользователя (т.е. имя пользователя, сетевого провайдера, подтверждения регистрации и т.д.) 
Security - доступен для сетевых машин и содержит информацию о провайдере безопасности. 
Software - вся информация о программах, установленных на компьютере. Подраздел \Classes этого раздела используется для построения раздела HKEY_CLASSES_ROOT. 
System - содержит всю необходимую информацию для запуска Windows. Здесь содержится подраздел CurrentControlSet, в котором содержатся подразделы Control и Servicer. Подраздел Control содержит такую информацию, как имя компьютера, параметры файловой системы и т.д.

текущей конфигурации компьютера с переменным составом аппаратных средств. Установки этого

раздела, соответствуют конфигурационным установкам, хранящимся в разделе HKEY_LOCAL_MACHINE\Config

значения, так как информация об оборудовании не хранится на диске.

SAM-соответствует

подключу HKLM\SAM.
Security - соответствует подключу HKLM\SECURITY.
Software - соответствует подключу HKLM\Software.
System - соответствует подключу HKLM\System.
Default - соответствует подключу HKU\Default.

программа REGEDIT


при исследовании отдельного накопителя

программа MiTEC Windows
Registry Recovery

значении параметра WriteProtect :
1 - режим чтения (readonly)
0 - режим записи

- блокировка USB накопителя
3 - стандартный режим (без блокировок)

сайтах:
flashboot.ru
driverslab.ru

write value), аналогично дате последнего изменения для файлов.

Это значение

хранится в структуре FILETIME и показывает дату и время того, когда ключ реестра был изменен. Это значение обновляется, когда ключ был создан, изменен или удален. Временная метка есть только у ключей реестра, значения реестра такого поля не содержат.