Реестр операционной системы Windows отвечает за работоспособность всей системы, крах реестра – крах системы. Однако, значимое количество вирусов или же просто талантливых людей, различными способами стремятся вывести его (реестр) из строя или же просто, получить над ним полный контроль, или как вариант — разрушительное редактирование реестра через командную стоку.
Вариантов поиздеваться над беззащитным пользователем, особенно, если под рукой реестр и командная строка Windows, довольно много. Так, может произойти ситуация, что через одного одаренного человека приходится переустанавливать заново операционную систему.
В этой статье я решил привести пример «издевательства» над собственной системой. Вначале, стоит обратить свое внимание на то, пути к каким программам прописаны в автозагрузке. Через меню Пуск доступна папка автозагрузка, но это лишь вершина айсберга, есть более верный способ просмотреть что находится в автозагрузке, например, используя утилиту, входящую в состав Windows — msconfig (Пуск/выполнить/msconfig). Реестр командная строка. Однако, мир не столь уж прост, и порой стоит прибегнуть к более продвинутым средствам, например утилита autoruns.exe. С ее помощью можно увидеть намного больше, на вкладке everything сразу бросаются в глаза различные разделы, в которых и прописано много чего интересного. Если не вникать в подробности, то для простого примера стоит обратить внимание на нижестоящие разделы:
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
Плюс, стоит бросить взгляд на раздел:
- HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionRun
Раздел HKLM охватывает всех пользователей, a HKCU — только текущего. Создадим нового пользователя с правами администратора:
Net user NewUser password /add — создаем пользователя NewUser и присваиваем ему пароль password
Net localgroup Администраторы NewUser /add — добавляем новоиспеченного пользователя в группу Администраторы.
Стоит напомнить, что сервер сценариев Windows Script Host для работы с реестром предоставляет объект Wscript.Shell и его методы RegWrite, RegRead и RegDelete.
Теперь попробуем, произвести редактирование системного реестра из командной строки, чтобы изменить пароль пользователя NewUser используя ветку HKLM. Для этого стоит зайти в систему через свою учетную запись и создать батник следующего содержимого (текстовый файл с расширением .bat):
net user NewUser newpass
Следующая задача состоит в том, что бы пользователь NewUser его запустил, для этого прописываем в командной строке:
reg add HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce /v NewPass /t reg_sz /d c:Master.bat /f
В данном случае мы добавили в подраздел RunOnce новый параметр под названием NewPass со строковым типом reg_sz и прописали путь к нашему батнику. Теперь при входе в систему будет происходит запуск сценариях Master.bat, который в свою очередь изменит данные учетной записи.
Конечно, это не более чем простенький пример. Проблема в том, что редактировать реестр через командную строку стоит осмысленно, иначе, ваши действия могут принести совсем не тот результат, что ожидалось. Взять для примера печальную запись “Редактирование реестра запрещено администратором системы”, такую шалость производят, как правило, вирусы, если запрет был прописан в HKCU и вы являетесь администратором, то достаточно создать нового админ-пользователя, зайти через него в систему и открыв реестр, пробраться к нужному параметру:
HKEY_CURRENT_USERSSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
тут параметр DisableRegistryTools изменить с единицы на ноль, или просто удалить. Но, можно так и не извращаться, достаточно использовать редактор от стороннего разработчика, например reglite, или, произвести редактирование реестра из командной строки:
REG DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools
Однако, подсунуть свинью можно и собственными силами. Есть такая утилита как regini, она позволяет назначать разрешения к тем или иным веткам реестра. Не знаю почему, но на Семерке по команде regini /? выводится полная справка, а вот в Windows XP SP3 — ничего. Так вот, синтаксис утилиты довольно прост:
regini.exe -m "компьютер" "путь к файлу сценария"
если утилита используется локально, то параметр -m «компьютер» не нужен. Всего есть 17 пунктов, и каждый определяет те или иные разрешения.
Прежде всего, надо создать текстовый файл, в котором будет прописана нужная ветка и права для нее. Например, если в файле прописать строчку RegistryMachineSecurity [1 17], то администраторам и учетной записи локальной системы будут предоставлены права полного доступа к ветви реестра HKLMSECURITY. Но, эта утилита имеет один изъян — она затирает предыдущие права. Если посмотреть на разрешения для ветки SECURITY, то мы увидим, что полный доступ имеет только локальная система (SYSTEM), именно поэтому, под администратором вы не сможете просмотреть содержимое этого раздела. Редактируя реестр через командную строку, с использованием утилиты regini я решил дать для ветки SECURITY полный доступ для администратора (хотя это можно сделать в самом редакторе реестра), в файле сценария я прописал следующую строчку RegistryMachineSecurity [1]. Реестр командная строка.
Утилиту запустил, путь к сценарию прописал. И о чудо, я имею доступ к этой ветке, ни о чем не подозревая, я перезагрузил систему. Увидев надпись при загрузке «отсутствуют права доступа к файлу» или что-то в этом роде, я понял НАДО БЫЛО И ЛОКАЛЬНОЙ СИСТЕМЕ ДАТЬ ДОСТУП! Благо, что на другом винте стояла тоже ХР, правда не SP3 a SP2, я банально заменил весь реестр и о чудо, система заработала!