3-1 Основи побудови та захисту сучасних операційних систем / 10 Реестр / 10

Міністерство освіти і науки України

Харківський національний університет

радіоелектроніки

Звіт з роботи №10

з дисципліни «Основи побудови та захисту сучасних операційних систем»

з теми: «Дослiдження системного реестру в ОС Windows»

Харків 2019

Мета: Ознайомитись з назначенням та органiзацiей системного реестра в ОС Windows. Дослiдити засоби архивацiї, перегляду та корректировки реестра.

Всi дослiди проводились на ОС Windows 10 v10.0.14393.

1 Ознайомлення з редактором реестра regedit в ОС Windows

1. Запустити редактор реестра та вiдкрити гiлку HKCR

2. У древi, що вiдкрилось перейти до ключа .exe

3. Перейти до пiдроздiла вiдкритого ключа .exe, до PersistentHandler

4. В панелi параметрiв вiдобразиться список всiх параметрiв та значень, що вони мають

2. Створення резервной копiї реестру Windows

   1. Створення контрольной точки вiдновлення системи

Вiдновити реестр до раннього стану можно за допомогою творення точки вiдновлення. Вона може бути створена у програмi Восстановление в налаштуваннях вiдновлення системи. Потiм потрiбно налаштувати для яких дискiв будуть створюватись точки вiдновлення.

В налаштуваннях можно задати максимальний об’ем диску, що буде вiдведений пiд точки вiдновлення. Пiсля налаштування всiх параметрiв потрiбно буде створити точку.

Пiсля створення можна скористатись вiдновленням системи та знайшовши потрiбну точку вiдновити систему. Пiсля пiдтвердження вiдновлення системи ПК буде перезагружений.

2. Експорт необхiдних параметрiв реестру

Експорт тiльки реестру (чи його частини) бiльш безпечний спосiб ручного редагування реестру. За допомогою нього можна скопiювати тiльки частину реестру, чи навiть весь. Для цього потрiбно знайти програму regedit, потiм нажати файл – експорт файла реестра.

Iмпорт реестра теж не представляе складностi. Пiсля натиску на iмпорт потрiбно знайти знаходження файлу зi снимком реестра, та натиснути на нього, пiсля невеликого промiжку часу реестр буде вiдновлений.

3. Дослiдження основних принципiв роботи з реестром

   1. Перегляд роздiлiв та пiдроздiлiв

В rigedit не вiдкритi ключi та пiдроздiли позначенi в древi знаком бiльше (>), а вiдкритi, внутрiшню структуру яких можно спостерiгати позначенi перевернутим донизу символу карету (^).

2. Пошук iнформацiї в реестрi

Для пошуку iнформацiї в реестрi доцiльно використовувати функцiю пошуку, за допомогою якой можна знайти роздiли, пiдроздiли, параметри по iменi, а також можна шукати навiть значення самих параметрiв. Також можно переключити флаг шукати тiльки весь рядок. Цей флаг вiдповiдає за те, чи буде пошук шукати тiльки заданий текст, чи буде шукати цей текст разом з не вказаними включеннями.

Пiсля початку пошуку для його продовження потрiбно нажати f3.

3. Швидкий перехiд до вибраного роздiлу реестра

Для зручностi доступу до каталогiв реестра regedit має функцiю добавлення обраних каталогiв до фаворитiв, для яких створюються посилання на вибраний каталог. Пiсля добавлення каталогу до фаворитiв, на нього можно перейти в меню Избранное, де буде знаходитись iм’я роздiлу. Там же знаходиться опцiя видалення каталогу з фаворитiв.

4. Добавлення нових роздiлiв i параметрiв реестра

Для створення каталогу потрiбно нажати ПКМ на баткiвському каталогi та створити новий роздiл. Також можно створити новий параметр за заданим алгоритмом.

5. Перейменування роздiлу чи параметра

Для перейменування роздiлу чи параметра треба натиснути пкм по об’екту, та нажати перейменувати, потiм потрiбно написати нове iм’я.

6. Видалення iснуючого роздiла чи параметра

Видалити iнформацiю можно нажатям del на клавiатурi по iнтересуючому каталогу чи параметру. Об’ект видаляеться рекурсивно, та без можливостi на вiдновлення.

7. Копiювання iменi роздiлу

Для запам’ятовування шляху та iменi роздiлу можна скопiювати його повний шлях до буфера обмiну. Для цього потрiбно нажати пкм – комiювати iм’я роздiлу.

HKEY_USERS\S-1-5-21-3626448824-2203660917-1950051465-1001\SOFTWARE\Testing

8. Пошук параметрiв безпеки системи

Параметри безпеки знаходятся в ключi HKLM в пiдроздiлi SAM, в котрому вони можуть бути вiдредагованi.

Для тестування редагування реестру я буду використовувати програму paint.net. В нiй, я за допомогою редагування параметрiв спробую змiнити мову.

9. Пошук зареестрованих розширень файлiв

Продивитись якi розширення розпiзнає система, та якi програми вона використовуе для того, щоб вiдкрити файл з тим, чи iншим розширенням можна в реестрi HKLM\ \SOFTWARE\Classes. Як видно зi скриншота, для обробки простого bat файла е 4 типи програм, що можуть це обробляти. Наприклад, для редагування можна налаштувати використання ide, в якому була бы пiдсвiдка синтаксису, для комфортной роботи. Команда запуск запускала би бат файл для виконання в cmd i тд.

В самому реестрi можна змiнюючи значення параметрiв змiнювати, якi програми, якi розширення будуть запускати, але для цього е бiльш дружелюбнi програми.

10. Пошук налаштувань обладнання

В реестрi за шляхом HKLM\HARDWARE можна отримати iнформацiю про системну апаратну частину. Найбiльш важлива iнформацiя знаходиться в каталогi DESKRIPTION, в якому можна отримати важливу системну iнформацiю, а також iнформацiю про BIOS.

11. Пошук iнформацiї про запуск Windows

Вся iнформацiя про запуск системи зберiгається в реестрi HKLM\SYSTEM в якому знаходиться i iнформацiя у якому порядку треба завантажувати i якi драйвера треба використовувати, та де вони зберiгаються.

12. Установка параметрiв безпеки для реестра

Налаштування доступу для реестру практично не вiдрiзнаються вiд налаштування доступу до iнших об’ектiв, за виключенням, що вони налаштовуються тiльки для 1 гiлки реестру, мають менше прав доступа, також бажано виключити права для доступа до реестру для звичайних коритсувачiв, крiм адмiнiстраторiв та системи.

13. Налаштування доступу до роздiлiв в реестрi

Установка параметрiв безпеки для каталогiв в реестрi налаштовуеться аналогiчно як i для об’ектiв. Допустим, що потрiбно для гiлки закрити доступ для звичайних користувачiв, але для окремой папки зробити повний доступ. Тодi потрiбно вибрати суб’ект користувачi, вписати туди повний доступ, вiдключити наслiдування для каталогу, а потiм добавити права для користувачiв. Також для змiни наслiдування прав в дочiрнiх об’ектах, потрiбно включити наслiдування прав для об’ектiв всереденi данного каталогу.

14. Право на повний доступ до роздiла реестра

Для предоставлення повного доступу до каталогу для конкретного користувача потрiбно зайти в налаштування каталога, що iнтересуе. В додаткових налаштуваннях безпеки вiдключити наслiдування з преобразуванням прав, включити наслiдування для об’ектiв всерединi, додати потрiбного користувача, предоставити йому повний доступ.

15. Аудит роботи з роздiлом реестра

Налаштування аудита реестра дозволяе заносити до журналу безпеки iнформацiю про дiї користувача в реестрi при невдвлiй спробi отримати дозвiл вiд системи для роботи. Для прикладу, можно рееструвати невдалi спроби роботи с каталогом для всiх категорiй користувачiв, важливо, що доступ до каталогу не мають тiльки звичайнi користувачi.

16. Змiна власника елемента реестра

Для змiни власника потрiбно перейти в доповненi налаштування безпеки, власник, змiна, вибрати наступного внасника об’екта.

4. Перехват подiй, змiна параметрiв, другой програмой за допомогою regmon

   1. Запустити notepad та вибрати шрифт Times New Roman

2. Запустити Regmon та вибрати протоколювання актривностi тiльки для notepad

3. Снова запустити notepad та зупинити перехват активностi

4. Прокрутити отриманий журнал

5. Знайти в зiбраних подiях iнформацiю про змiну шрифта

6. Перейти до regedit

5. Перехват подiй за допомогою програми regshot

   1. Налаштувати копiювання звiту

Спочатку треба обрати папку куди буде зберiгатись звiт.

2. Зробити снимок локального реестра

Пiсля першого снимку треба зробити, в програмi (налаштуваннях мишi), що потрiбно, а потiм зробити другий звiт.

3. Перейти до налаштувань мишi, та змiнити налаштування

4. Зробити повторний знiмок реестра

Пiсля снимкiв, програме проведе зрiвнення, та виведе статистику.

5. Продивитись звiт

Скомпiльований звiт, та змiненi значення.

Висновок: у ходi даной лабораторной роботи, я ознайомився з назначенням та органiзацiей системного реестра в ОС Windows. Дослiдив засоби архивацiї, перегляду та корректировки реестра.

Я навчився створювати архiвнi копiї реестру для забезпечення безпечной роботи системи. Переглядати та активно редагувати системний реестр. Дослiдив роботу програми по редагуванню реестра regedit, навчився правильно шукати iнформацiю в ньому. Iз недолiкiв regedit можу назвати не зручний пошук, програма шукає по 1 параметру за раз, було значно краще, якщо вона в окремому вiкнi видавала збiги по параметрам у виглядi вiдредагованого древа реестру. Також не можна знаючи повний шлях одразу перейти до каталога. Для цього потрiбно спочатку перейти до шуканого каталога вручну, а потiм, у разi необхiдностi, добавити його до фаворитiв.

Також навчився створювати, редагувати каталоги в древi реестра, добавляти, видаляти та редагувати параметри. Навчився регулювати доступ до вибраних ключiв та налаштовувати аудит, як i до звичайних об’ектiв, а також змiнювати власника для каталогiв.

Знайшов та дослiдив роботу параметрiв безпеки в реестрi, змiну самой програми з реестра, що не представляе великой складностi.

За допомогою додаткових програм regshot та process monitor навчився перехвату змiни параметрiв для знаходження змiнених параметрiв у самому реестрi та можливостi подальшого редагування параметрiв через реестр.