5. Исследование раздела hkey_current_user.

HKEY_CURRENT_USER содержит настройки системы и программ, относящиеся к текущему пользователю. Он создается при регистрации пользователя в системе на основе информации из соответствующего ключа [HKEY_USERS]. HKEY_USERS содержит информацию обо всех пользователях данной рабочей станции. Здесь хранятся данные о каждом пользователе, а также типовые настройки, служащие шаблоном для новых ключей, создаваемых пользователем. Типовые настройки включают различные значения по умолчанию для программ, событий, конфигураций рабочего стола и т.д.

Именно здесь хранится информация о том, как данный пользователь сконфигурировал рабочую станцию.

В разделе HKEY_CURRENT_USER были произведены следующие действия:

1. Был найден раздел, отвечающий за настойки рабочего стола: HKEY_CURRENT_USER\Control Panel\Desktop.

Рисунок 2.5.1 – Раздел, отвечающий за настойки рабочего стола.

2. Для изменения ширины полосы прокрутки значение параметров ScrollWidth и MenuWidth раздела HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics было изменено с -255 и -285 на 100 и 100 соответственно.

Рисунок 2.5.2 – Изменение ширины полосы прокрутки.

6. Импорт/Экспорт Реестра.

Перед работой с реестром был экспортирован в новый файл. Для этого был выделен раздел HKEY_CURRENT_USER\AppEvents и экспортирован в файл UIB.reg («Файл» > « Экспорт…»).Файлы импорта-экспорта реестра имеют расширение REG.

Экспорт реестра удобен в резервировании параметров некоторых ключей, самих ключей или реестра. При необходимости экспортированные параметры могут быть восстановлены при помощи импорта реестра из файла.

После завершения работы с реестром было восстановлено начальное состояние системного реестра из резервной копии UIB.reg.

2. Перехват событий, изменения параметров, производимой другой программой при помощи утилиты Regmon.

Программа Regmon предназначена для слежения за реестром. Она показывает, какие приложения обращаются к реестру и в какие разделы, какую информацию они читают или пишут. И все это в реальном масштабе времени.

Regmon была заменена одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программа Regmon была оставлена для поддержки устаревших операционных систем, включая и Windows 9x.

Для перехват событий посредством программы Process Monitor был создан файл Notepad.exe и выбран шрифт Verdana. Далее был запущен Process Monitor и были установлены фильтры на notepad.exe и активность реестра. Тогда Process Monitor будет протоколировать только активность notepad.exe в столбце Process или Path.

Рисунок 3.1 – Установка фильтров в Process Monitor.

Далее был снова запущен Notepad и остановлен в Process Monitor перехват событий «Capture Events». Открыв диалоговое окно Find, была введёна строка поиска Verdana. Process Monitor должен выделил строку.

Рисунок 3.2 – Перехват событий в Process Monitor.

2. Перехват событий при помощи утилиты RegShot .

RegShot – небольшая утилита предназначенная для фиксации изменений в системном реестре Windows. Regshot может делать снимки системного реестра, сравнивать два файла и находить все изменения. RegShot умеет сохранять изменения реестра в текстовом или HTML-форматы. Отчет в формате HTML выглядит более удобным, так как в нем строки со старым значением выделены зеленым цветом для лучшего восприятия.

После того как изменения видны, можно написать reg-файл, отвечающий за данную настройку.

Рисунок 4.1 – Изменения в реестре.