Общая информация:
Реестр представляет собой древовидную структуру, состоящую из корневых (root keys) и вложенных (subkeys) ключей, в которых, как в папках, находятся параметры. Основу реестра Windows составляют 5 корневых ключей: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG
HKEY_CLASSES_ROOT (или HKCR)
Содержит информацию об OLE, сведения о типах файлов (ассоциации между ними и приложениями).
HKEY_CLASSES_ROOT (или HKCR)
Содержит информацию об OLE, сведения о типах файлов (ассоциации между ними и приложениями).
HKEY_CURRENT_USER (или HKCU)
Содержит настройки текущего пользователя, вошедшего в систему (профиль пользователя). Эти настройки определяют права пользователя, внешний вид win, также настройки сети, принтеров и многие другие параметры, входящие в профиль. Это раздел является всего лишь ссылкой на подключение текущего пользователя.
HKEY_USERS\USER_SecurityID\.HKEY_LOCAL_MACHINE (или HKLM)
Содержит глобальную информацию об операционной системе, установленном софте и оборудо-вании. Эти параметры затрагивают всех пользователей. В этом ключе хранятся самые важные настройки.
HKEY_USERS (или HKU)
Содержит профили всех пользователей (в том числе включает в себя раздел HKCU).
HKEY_CURRENT_CONFIG (или HKCC)
Содержит параметры текущего аппаратного профиля. Тут хранятся только изменения по сравнению со стандартной конфигурацией.
Ключи:
Каждый корневой ключ содержит множество вложенных под ключей, в которые вложены еще ключи или параметры. Параметры реестра могут принимать около 15 всевозможных типов значений, перечислять их все не имеет смысла. Из них чаще всего используются только 3 типа: REG_BINARY (двоичный тип данных в regedit’e представлен в шестнадцатеричном формате) REG_DWORD (целые числа размером до 4 байт - в редакторе могут отображаться в двоичном, десятичном и шестнадцатеричном виде) REG_SZ (обыкновенная текстовая строка). С этими типами придется работать чаще всего
Файлы
Если в прошлых версиях винды весь реестр состоял из нескольких файлов, то теперь все это добро занимает кучу папок и файлов, найти которые можно в основном в c:\windows\system32\config\, и еще немного пользовательских настроек хранятся в c:\documents and settings\user_name\(удалять эти папки настоятельно не рекомендуется :)). В win2k/ХР для хранения реестра используется система ульев (или кустов). Ульи - это постоянные составные части реестра, состоящие из главных ключей, вложенных в них под ключей и параметров (динамичные ключи в улей не входят). Таким вот образом реестр делится на файлы. Основная часть реестра хранится в четырех файлах без расширений: sam, security, software и system (понять их назначение можно по названию). Плюс еще два пользовательских файла: c:\documents and settings\user_name\ntuser.dat и c:\documents and settings\user_name\local settings\application data\microsoft\windows\usrclass.dat. Резервную часть реестра составляют файлы *.sav - в них хранятся копии ульев и файлы *.log, в которых лежат логи изменений реестра. Но для того чтобы сделать бэкап, скопировать эти файлы недостаточно. *.reg в реестр - достаточно его запустить. А сам reg файл можно также создавать и править в блокноте. Достаточно написать в заголовке "Windows Registry Editor Version 5.00", ниже - [ключ, в который будут вноситься изменения], еще ниже - "параметр" - "значение" (в одном файле можно обрабатывать сразу несколько ключей).
Проводник:
Так вот, ХР "не знает", где точно лежит ее проводник! Она сначала просматривает корень системного диска, потом лезет в свою папку, в надежде найти файл explorer. exe. А как ты думаешь, если система найдет файл с таким именем в корне? ДА, она просто запустит его. А что мешает взломщику положить туда трояна? Видишь, какая "защищенность" у ХР "по умолчанию". Для уничтожения этой бреши в защите следует в реестре в пути [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] явно прописать путь к explorer.exe.
Логирование:
Отключения логирования отдаваемых команд, и менюшка выполнения будет всегда пуста. Иди в реестр по адресу [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]. Создай параметр с именем ClearRecentDocsOnExit и значением 01000000.
Отключение шары $ и т.д.
System Tools ->Shared Folders -> Shares. Stop Sharing HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft \Windows\CurrentVersion \Explorer\My Computer\NameSpace\DelegateFolders, ключ - {59031a47-3f72-44a7-89c5-5595fe6b30ee } del Shared Documents HKEY_USERS\.DEFAULT\ControlPanel\Desktop -> ScreenSaveActive 0 отключить заставку
Администрирование
Чтобы удалить аплет Панель управления -> Администрирование, открой раздел [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace], найди там подраздел[{D20EA4E1-3957-11d2-A40B-0C5020524153}] и переименуй его с минусом вначале([-{D20EA4E1-3957-11d2-A40B-0C5020524153}]).
Чистить команд и документы
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]. Создай параметр с именем ClearRecentDocsOnExit и значением 01000000 Такое усовершенствование позволяет Windows чистить не только список команд, но и недавно использованные документы.
Чистка swap при вкл \ пк
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management] => ClearPageFileAtShutdown =>00000001.
bluescreen по вызову
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\ Parameters], создается параметр DWordCrashOnCtrlScroll, ему присваивается значение 1. После этого твоя система будет падать в запланированный даун после двойного нажатия Scroll Lock с зажатой правой Ctrl.
Автозагрузка
Самая стандартная фишка реестра. Запуск программ из реестра, минуя автозагрузку - любимое место троянцев. Смотри ветку HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ - из этого ключа проги будут грузиться каждый раз после входа пользователя. Или ...\RunOnce\ и \RunOnceEx\ - отсюда программа загружается всего один раз, затем параметр удаляется. Или \RunServices\ и \RunServicesOnce\ - прога грузится еще до входа пользователя в систему. Также есть аналогичные параметры только для текущего пользователя, а не для всех: HKCU\Software\ Microsoft\Windows\CurrentVersion\Run или \RunOnce\. Теперь добавляй или удаляй проги на авто запуск. Для задания пути запускаемого файла используется тип данных REG_SZ или REG_EXPAND_SZ.
Запрет на доступ к реестру
Запрет на доступ к реестру (на запуск regedit.exe). Заходи в раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ и создай параметр DisableRegistryTools типа REG_DWORD
Отрубаем автозапуск CD.
HKLM\System\CurrentControlSet\Services\Cdrom\ и меняй AutoRun с 1 на 0. Если хочешь наоборот - включить, то ставь 1.
Автоматически выгружать из памяти неиспользуемые библиотеки (увеличивает количество свободной памяти, что заметно ускоряет работу)
Если полезут лаги, то придется включить снова. Залезай в HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ и делай новый параметр AlwaysUnloadDLL типа REG_DWORD со значением 1.
Очистка файла подкачки pagefile.sys перед выходом из системы
Если очень паришься по поводу безопасности, то включай эту опцию:файл подкачки, в котором могут остаться, например, пароли, перед выходом будет очищаться, но комп будет выключаться несколько дольше. HKLM\System\CurrentControlSet\Control\Session Manager\MemoryManagement\ и ставь 1 напротив ClearPageFileAtShutdown.
Dr.Watson
В ХР есть встроенная прога Dr.Watson для диагностики ошибок - польза от нее крайне сомнительна. Я думаю, она так и висит у тебя мертвым грузом, отжирая память. Перекроем ей кислород: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AeDebug\ ставь 0 параметру Auto.
Отключить надоедливое сообщение о нехватке свободного места нахарде
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Если нет, то создавай там новый параметр NoLowDiskSpaceChecks и ставь ему значение dword равное 1.
Запретить бесполезные окошки с предложением отослать в MS сообщение об ошибке
Заползай в HKLM\Software\Microsoft\PCHealth\ErrorReporting и присвой 0 параметру DoReport.
Службы
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services 1. Авто - сервис автоматически запускается при старте системы. После этого ты можешь его остановить вручную или оставить в запущенном состоянии. Автоматически должны за пускаться только необходимые всегда службы. 2. Вручную - сервис не стартует автоматически, но ты можешь его запустить вручную из оснастки или просто с командной строки. Этот режим - для редко запускаемых служб, например,установил ты SQL Server для выполнения какой-то задачи. После этого удалять сервер жалко (может еще пригодиться), а держать в загруженном состоянии глупо, потому что это тормозит загрузку и отнимает память. В таком случае лучше поставить ручную загрузку и стартовать сервер только по мере необходимости. 3. Отключен - сервис отключен, и его невозможно запустить никакими методами. Если у тебя есть какой-то сервис, который ты считаешь небезопасным, и при этом он тебе не нужен,то отключи его, чтобы твой злейший враг не наказал тебя. Автоматическое обновление (Automatic Updates) - если эта служба включена, то комп имеет право автоматически загружать обновления по Сети. Диспетчер очереди печати (Print Spooler) - обеспечивает очередь печати на принтер. Планировщик заданий (Task Scheduler) - лично я никогда не заставлял ОС делать какие-то задания по графику. Серийный номер переносного медиаустройства (Portable media serial number) - получение серийных номеров всех медиаустройств, подключенных к системе. Служба сообщений (Messenger) - используется для приема-передачи сообщений командой NET SEND. Служба терминалов (Terminal Service) - используется для того, чтобы другие компы подключались к твоему и работали с твоим рабочим столом по cети. Удаленный реестр (Remote Registry Service) - из названия понят но, что служба позволяет изменять параметры реестра по сети. Самое интересное, что она еще и работает по умолчанию. Так что срочно переводи в ручной режим, чтобы реестр можно было править только локально.
System Restore
System Restore имеет несколько параметров в реестре, хранится в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]. DiskPercent отвечает за количество места, которое будет отведено для хранения точек восстановления (по умолчанию 12%). RPGlobalInterval отвечает за временной интервал между авто созданием точек отката (по умолчанию 86400 секунд - раз в сутки). RPGlobalInterval отвечает за время жизни каждой точки восстановления (по умолчанию 7776000 секунд - 90 дней).
Отключить скрытые общие ресурсы
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters и изменяем (или добавляем) следующий параметр: AutoShareWks (его тип REG_DWORD) значение 0. Расширенных ресурсов как не бывало.
Твики
http://www.tweakxp.com http://www.winguides.com http://www.tipsdr.com http://www.speedguide.net http://reestr.hotmail.ru 1. TWEAK XP 2. Tweak Now PowerPack 3. TuneUP Utilities 4. Activity and Authentication Analyzer 6. Resplendent Registrar 7. Regmon (Registry Monitor)
Украшалки
http://www.themexp.org http://www.neowin.net http://www.winall.ru http://www.nsd.ru http://www.deviantart.com - no comments http://www.2advanced.com http://www.tweakxp.com http://www.astonshell.com - AstonShell http://www.tgtsoft.com - StyleXP è ResBuilder http://www.fvip.net/bootxp/ - BootXP http://www.users.on.net/johnson/resourcehacker/ - ResHacker