Windows Registry er en samling af konfigurationer, værdier og egenskaber for Windows-applikationer såvel som Windows-operativsystemet, som er organiseret og gemt på en hierarkisk måde i et enkelt lager.

Når et nyt program bliver installeret i Windows -systemet, foretages der en indtastning i Windows-registreringsdatabasen^{(Windows Registry)} med dets attributter såsom størrelse, version, placering i lageret osv.

Fordi disse oplysninger er blevet lagret i databasen, er ikke kun operativsystemet opmærksom på de anvendte ressourcer, andre applikationer kan også drage fordel af denne information, da de er opmærksomme på eventuelle konflikter, der kan opstå, hvis visse ressourcer eller filer skulle sam- eksisterer.

Hvad er Windows-registreringsdatabasen^{(Windows Registry)} , og hvordan^(How) fungerer det?

Windows-registreringsdatabasen^{(Windows Registry)} er virkelig hjertet i den måde, Windows fungerer på. Det er det eneste operativsystem, der bruger denne tilgang til et centralt register. Hvis vi skulle visualisere, skal alle dele af operativsystemet interagere med Windows-registreringsdatabasen^{(Windows Registry)} lige fra opstartssekvensen til noget så simpelt som at omdøbe filens navn.

Kort^(Simply) sagt er det bare en database, der ligner databasen i et bibliotekskortkatalog, hvor posterne i registreringsdatabasen er som en stak kort, der er gemt i kortkataloget. En registreringsnøgle ville være et kort, og en registreringsværdi ville være den vigtige information skrevet på kortet. Windows - operativsystemet bruger registreringsdatabasen til at gemme en masse information, der bruges til at kontrollere og administrere vores system og software. Dette kan være alt fra pc-hardwareoplysninger til brugerpræferencer og filtyper. Næsten^(Almost) enhver form for konfiguration, som vi gør til et Windows -system, involverer redigering af registreringsdatabasen.

Historien om Windows-registreringsdatabasen

I de oprindelige versioner af Windows skulle applikationsudviklere inkludere en separat .ini filtypenavn sammen med den eksekverbare fil. Denne .ini-fil indeholdt alle de indstillinger, egenskaber og konfigurationer, der kræves for at det givne eksekverbare program kunne fungere korrekt. Dette viste sig dog meget ineffektivt på grund af redundansen af ​​visse oplysninger, og det udgjorde også en sikkerhedstrussel mod det eksekverbare program. Som følge heraf var en ny implementering af standardiseret, centraliseret såvel som sikker teknologi en tilsyneladende nødvendighed.

Med fremkomsten af ​​Windows 3.1 blev en bare-bones-version af denne efterspørgsel imødekommet med en central database, der er fælles for alle applikationer og system kaldet Windows Registry .

Dette værktøj var dog meget begrænset, da applikationerne kun kunne gemme visse konfigurationsoplysninger for en eksekverbar. I årenes løb blev Windows 95 og Windows NT videreudviklet på dette grundlag og introducerede centralisering som kernefunktionen i den nyere version af Windows Registry .

Når det er sagt, er lagring af oplysninger i Windows-registreringsdatabasen^{(Windows Registry)} en mulighed for softwareudviklere. Så hvis en softwareapplikationsudvikler skulle oprette en bærbar applikation, er han ikke forpligtet til at tilføje oplysninger til registreringsdatabasen, lokal lagring med konfigurationen, egenskaberne og værdierne kan oprettes og sendes med succes.

Relevansen af ​​Windows-registreringsdatabasen^{(Windows Registry)} i forhold til andre operativsystemer

Windows er det eneste operativsystem, der bruger denne tilgang til et centralt register. Hvis vi skulle visualisere, skal alle dele af operativsystemet interagere med Windows-registreringsdatabasen^{(Windows Registry)} lige fra opstartssekvensen til omdøbningen af ​​et filnavn.

Alle andre operativsystemer såsom iOS, Mac OS , Android og Linux fortsætter med at bruge tekstfiler som en måde at konfigurere operativsystemet på og ændre operativsystemets adfærd.

I de fleste Linux - varianter er konfigurationsfilerne gemt i .txt -formatet, dette bliver et problem, når vi skal arbejde med tekstfilerne, da alle .txt -filerne betragtes som kritiske systemfiler. Så hvis vi prøver at åbne tekstfilerne i disse operativsystemer, ville vi ikke være i stand til at se dem. Disse operativsystemer forsøger at skjule det som en sikkerhedsforanstaltning, da alle systemfiler, såsom konfigurationer af netværkskortet, firewall, operativsystem, grafisk brugergrænseflade, grafikkortgrænseflade osv. gemmes i ASCII-formatet.^{(ASCII format.)}

For at omgå dette problem implementerede både macOS såvel som iOS en helt anden tilgang til tekstfiludvidelsen ved at implementere .plist-udvidelsen^{(.plist extension)} , som indeholder hele systemet såvel som applikationskonfigurationsoplysninger, men stadig fordelene ved at have et enkelt register langt opvejer den simple ændring af filtypenavnet.

Hvad er fordelene ved Windows-registreringsdatabasen^{(Windows Registry)} ?

Fordi hver^(Every) del af operativsystemet kontinuerligt kommunikerer med Windows-registreringsdatabasen^{(Windows Registry)} , skal den opbevares i meget hurtig opbevaring. Derfor^(Hence) er denne database designet til ekstremt hurtig læsning og skrivning samt effektiv lagring.

Hvis vi skulle åbne og tjekke størrelsen af ​​registreringsdatabasen, ville den typisk svæve mellem 15 – 20 megabyte, hvilket gør den lille nok til altid at blive indlæst i den RAM ( Random Access Memory ), der i øvrigt er den hurtigste lagerplads til rådighed for operativsystemet.

Da registreringsdatabasen til enhver tid skal indlæses i hukommelsen, vil den, hvis størrelsen af ​​registreringsdatabasen er stor, ikke efterlade plads nok til, at alle andre programmer kan køre glat eller overhovedet køre. Dette ville være skadeligt for operativsystemets ydeevne, derfor er Windows-registreringsdatabasen^{(Windows Registry)} designet med et kernemål om at være yderst effektiv.

Hvis der er flere brugere, der interagerer med den samme enhed, og der er en række applikationer, som de bruger er fælles, vil geninstallation af de samme applikationer to gange eller flere gange være spild af ret dyr opbevaring. Windows -registreringsdatabasen udmærker sig i disse scenarier, hvor applikationskonfigurationen deles mellem forskellige brugere.

Dette reducerer ikke kun det samlede brugte lager, men giver også dets brugere adgang til at foretage ændringer i applikationens konfiguration fra én enkelt interaktionsport. Dette sparer også tid, da brugeren ikke manuelt behøver at gå til hver lokal lagring .ini -fil.

Multi-User scenarier er meget almindelige i virksomhedsopsætninger, her er der et stort behov for brugerrettigheder. Da ikke alle oplysninger eller ressourcer kan deles med alle, blev behovet for privatlivsbaseret brugeradgang nemt implementeret gennem den centraliserede Windows-registrering. Her forbeholder netværksadministratoren sig ret til at tilbageholde eller tillade baseret på det udførte arbejde. Dette gjorde den enkeltstående database alsidig og gjorde den robust, da opdateringerne kan udføres samtidigt med fjernadgang til alle registrene på flere enheder i netværket.

Hvordan fungerer Windows Registry?

Lad os udforske de grundlæggende elementer i Windows-registreringsdatabasen^{(Windows Registry)} , før vi begynder at få hænderne snavsede.

Windows-registreringsdatabasen^{(Windows Registry)} består af to grundlæggende elementer kaldet registreringsnøglen^{(Registry Key)} , som er et containerobjekt eller ganske enkelt sagt, de er som en mappe, der har forskellige typer filer gemt i dem og registreringsdatabaseværdier^{(Registry Values)} , som er ikke-containerobjekter, der ligner filer, der kunne have et hvilket som helst format.

Du bør også vide: ^{(You should also know:)} Sådan tager du fuld kontrol eller ejerskab af Windows registreringsdatabasenøgler^{(How to Take Full Control or Ownership of Windows Registry Keys)}

Hvordan får man adgang til Windows-registreringsdatabasen?

Vi kan få adgang til og konfigurere Windows-registreringsdatabasen^{(Windows Registry)} ved hjælp af et registreringseditor^{(Registry Editor)} - værktøj, Microsoft inkluderer et gratis redigeringsværktøj til registreringsdatabasen sammen med hver version af dets Windows-operativsystem^{(Windows Operating System)} .

Denne registreringseditor^{(Registry Editor)} kan tilgås ved at skrive "Regedit" i kommandoprompten^{(Command Prompt)} eller ved blot at skrive "Regedit" i søge- eller kørselsboksen fra Start - menuen. Denne editor er portalen til at få adgang til Windows -registreringsdatabasen, og den hjælper os med at udforske og foretage ændringer i registreringsdatabasen. Registret er det paraplyudtryk, der bruges af forskellige databasefiler, der er placeret i mappen til Windows -installationen.

Er det sikkert at redigere registreringseditor?^{(Is it Safe to edit Registry Editor?)}

Hvis du ikke ved, hvad du laver, er det farligt at spille uden om registreringsdatabasen^(Registry) . Når du redigerer registreringsdatabasen^(Registry) , skal du sørge for at følge de korrekte instruktioner og kun ændre det, du bliver bedt om at ændre.

Hvis du bevidst eller ved et uheld sletter noget i Windows-registreringsdatabasen^{(Windows Registry)} , kan det ændre dit systems konfiguration, hvilket enten kan føre til Blue Screen of Death eller Windows vil ikke starte.

Så det anbefales generelt at tage backup af Windows-registreringsdatabasen^{(backup Windows Registry)} , før du foretager ændringer i det. Du kan også oprette et systemgendannelsespunkt^{(create a system restore point)} (som automatisk sikkerhedskopierer registreringsdatabasen^(Registry) ), som kan bruges, hvis du nogensinde har brug for at ændre registreringsdatabasens^(Registry) indstillinger tilbage til normale. Men hvis du kun får det du får at vide, burde det ikke være noget problem. Hvis du har brug for at vide, hvordan du gendanner Windows-registreringsdatabasen, så^{(restore Windows Registry then this tutorial)} forklarer denne vejledning, hvordan du gør det nemt.

Lad os undersøge strukturen af ​​Windows-registreringsdatabasen^{(Windows Registry)}

Der er en bruger på en utilgængelig lagerplacering, som kun eksisterer for operativsystemets adgang.

Disse nøgler^(Keys) indlæses på RAM'en^(RAM) under systemstartfasen og kommunikeres konstant inden for et bestemt tidsinterval, eller når en eller flere begivenheder på systemniveau finder sted.

En vis del af disse registreringsnøgler bliver gemt på harddisken. Disse nøgler, der er gemt på harddisken, kaldes hives. Denne sektion af registreringsdatabasen indeholder registreringsdatabasenøgler, registreringsundernøgler og registreringsdatabaseværdier. Afhængigt af niveauet af det privilegium, en bruger er blevet tildelt, ville han være at få adgang til visse dele af disse nøgler.

De nøgler, der er på toppen af ​​hierarkiet i registreringsdatabasen, der begynder med HKEY , anses for at være bistader.

I editoren^(Editor) er bistaderne placeret i venstre side af skærmen, når alle tasterne ses uden at udvide sig. Disse er registreringsdatabasenøglerne, der vises som mapper.

Lad os undersøge strukturen af ​​Windows registreringsdatabasenøglen og dens undernøgler:

Eksempel på et nøglenavn – "HKEY_LOCAL_MACHINESYSTEMInputBreakloc_0804"

Her refererer "loc_0804" til undernøglen "Break" til undernøglen "Input", som refererer til undernøglen "SYSTEM" af HKEY_LOCAL_MACHINE rodnøglen.

Fælles rodnøgler i Windows registreringsdatabasen^{(Common Root Keys in Windows Registry)}

Hver af de følgende nøgler er sin egen individuelle bikube, som omfatter flere nøgler inden for nøglen på øverste niveau.

jeg. HKEY_CLASSES_ROOT

Dette er registreringsdatabasen i Windows-registreringsdatabasen^{(Windows Registry)} , som består af filtypetilknytningsoplysninger, programmatisk identifikator^{(programmatic identifier)} ( ProgID ), Interface ID ( IID ) data og Class ID (CLSID) .

Denne registreringsdatabase  HKEY_CLASSES_ROOT er gatewayen for enhver handling eller begivenhed, der kan finde sted i Windows -operativsystemet. Antag^(Suppose) , at vi vil have adgang til nogle mp3-filer i mappen Downloads . Operativsystemet kører sin forespørgsel igennem dette for at udføre de nødvendige handlinger.

I det øjeblik du får adgang til HKEY_CLASSES_ROOT- kuben, er det virkelig nemt at blive overvældet af at se på sådan en massiv liste af udvidelsesfiler. Dette er dog selve registreringsdatabasenøglerne, der får Windows til at fungere flydende

Følgende er nogle af eksemplerne på HKEY_CLASSES_ROOT hive registreringsdatabasenøgler,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Hver gang vi dobbeltklikker og åbner en fil, lad os sige et billede, sender systemet forespørgslen gennem HKEY_CLASSES_ROOT , hvor instruktionerne om, hvad man skal gøre, når en sådan fil anmodes om, er tydeligt givet. Så systemet ender med at åbne en billedfremviser, der viser det ønskede billede.

I ovenstående eksempel foretager registreringsdatabasen et opkald til de nøgler, der er gemt i nøglen HKEY_CLASSES_ROOT\.jpg . HKEY_CLASSES_ROOT - bikuben er en kollektiv data, der findes i både HKEY_LOCAL_MACHINE - kuben ( HKEY_LOCAL_MACHINE\Software\Classes ) såvel som  HKEY_CURRENT_USER- kuben ( HKEY_CURRENT_USER\Software\Classes ). Så når registreringsdatabasenøglen findes to steder, skaber det konflikter. Så dataene fundet i HKEY_CURRENT_USER\Software\Classes bruges i HKEY_ CLASSES_ ROOT . Den kan tilgås ved at åbne tasten HKEY_CLASSES i venstre side af skærmen.

ii. HKEY_LOCAL_MACHINE

Dette er en af ​​de flere registreringsdatabase-hive, der gemmer alle de indstillinger, der er specifikke for den lokale computer. Dette er en global nøgle, hvor den gemte information ikke kan redigeres af nogen bruger eller program. På grund^(Due) af den globale karakter af denne undernøgle er al information, der er gemt i dette lager, i form af en virtuel beholder, der kører på RAM kontinuerligt. Størstedelen af ​​konfigurationsoplysningerne for softwarebrugerne har installeret, og selve Windows -operativsystemet er optaget i HKEY_LOCAL_MACHINE . Al den aktuelt detekterede hardware er gemt i HKEY_LOCAL_MACHINE- hivet.

Ved også, hvordan man: ^{(Also know how to:)} Retter Regedit.exe-nedbrud, når du søger gennem registreringsdatabasen^{(Fix Regedit.exe Crashes when searching through Registry)}

Denne registreringsnøgle er yderligere opdelt i 7 undernøgler:^{(This registry key is further divided into 7 sub-keys:)}

1. SAM ( Security Accounts Manager ) – Det er en registreringsnøglefil, der gemmer brugernes adgangskoder i et sikkert format (i LM-hash og NTLM - hash). En hash-funktion er en form for kryptering, der bruges til at beskytte brugernes kontooplysninger.

Det er en låst fil, der er placeret i systemet på C:WINDOWSsystem32config, som ikke kan flyttes eller kopieres, når operativsystemet kører.

Windows bruger Security Accounts Manager- registreringsnøglefilen til at godkende brugere, mens de logger ind på deres Windows - konti. Når en bruger logger på, bruger Windows en række hash-algoritmer til at beregne en hash for den indtastede adgangskode. Hvis den indtastede adgangskodes hash er lig med adgangskodehashen inde i SAM-registreringsfilen^{(SAM registry file)} , får brugere adgang til deres konto. Dette er også en fil, som de fleste hackere målretter mod, mens de udfører et angreb.

2. Sikkerhed^{(2. Security)} (ikke tilgængelig undtagen af ​​administrator) – Denne registreringsnøgle er lokal for kontoen for den administrative bruger, der er logget ind på det aktuelle system. Hvis systemet administreres af en organisation, kan brugerne ikke få adgang til denne fil, medmindre administrativ adgang eksplicit er givet til en bruger. Hvis vi skulle åbne denne fil uden administrative rettigheder, ville den være tom. Nu, hvis vores system er forbundet til et administrativt netværk, vil denne nøgle som standard være den lokale systemsikkerhedsprofil, der er etableret og aktivt administreret af organisationen. Denne nøgle er knyttet til SAM , så efter vellykket godkendelse, afhængigt af privilegieniveauet for brugeren, anvendes en række lokale og gruppepolitikker^{(group policies)} .

3. System (kritisk opstartsproces og andre kernefunktioner) – Denne undernøgle indeholder vigtig information relateret til hele systemet, såsom computernavn, aktuelt monterede hardwareenheder, filsystem og hvilken slags automatiske handlinger, der kan udføres i en bestemt begivenhed, siger der er Blue screen of death på grund af CPU- overophedning, er der en logisk procedure, som computeren automatisk begynder at tage i sådan et tilfælde. Denne fil er kun tilgængelig for brugere med tilstrækkelige administrative rettigheder. Når systemet starter, er det her alle logfilerne bliver dynamisk gemt og læst videre. Forskellige systemparametre såsom alternative konfigurationer, der er kendt som kontrolsæt.

4. Software Alle tredjeparts^{(Third-party)} softwarekonfigurationer, såsom plug and play-drivere, er gemt her. Denne undernøgle indeholder software og Windows - indstillinger knyttet til den eksisterende hardwareprofil, som kan ændres af forskellige applikationer og systeminstallationsprogrammer. Softwareudviklere^(Software) kan begrænse eller tillade, hvilke oplysninger brugerne får adgang til, når deres software bliver brugt. Dette kan indstilles ved hjælp af undernøglen "Politik", der håndhæver de generelle brugspolitikker på applikationer og systemtjenester, der inkluderer de systemcertifikater, der bruges at autentificere, godkende eller afvise visse systemer eller tjenester.

5. Hardware , som er en undernøgle, der skabes dynamisk under systemstart

6. Komponenter^{(6. Components )} System-dækkende enhedsspecifikke komponentkonfigurationsoplysninger kan findes her

7. BCD.dat (i oot-mappen i systempartitionen), som er en kritisk fil, som systemet læser og begynder at udføre under systemets opstartssekvens ved at indlæse registreringsdatabasen til RAM'en^(RAM) .

iii. HKEY_CURRENT_CONFIG

Hovedårsagen til eksistensen af ​​denne undernøgle er at gemme video såvel som netværksindstillinger. Det kunne være alle oplysningerne vedrørende videokortet såsom opløsning, opdateringshastighed, billedformat osv. samt netværket

Det er også en registreringsdatabase, en del af Windows-registreringsdatabasen^{(Windows Registry)} , og som gemmer oplysninger om den hardwareprofil, der bruges i øjeblikket. HKEY_CURRENT_CONFIG er faktisk en pegepind til HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry nøglen. Dette er blot en pegepind til den aktuelt aktive hardwareprofil, der er angivet under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles nøglen.

Så HKEY_ CURRENT_CONFIG hjælper os med at se og ændre konfigurationen af ​​den aktuelle brugers hardwareprofil, hvilket vi kan gøre som administrator på en hvilken som helst af de tre steder, som er angivet ovenfor, da de alle er ens.

iv. HKEY_CURRENT_USER

En del af registreringsdatabasen, der indeholder butiksindstillinger samt konfigurationsoplysninger for Windows og software, der er specifikke for den aktuelt loggede bruger. For eksempel er en række registreringsværdier i registreringsdatabasenøglerne placeret i HKEY_CURRENT_USER hive-kontrolindstillingerne på brugerniveau, såsom tastaturlayout, installerede printere, skrivebordsbaggrund, skærmindstillinger, tilknyttede netværksdrev og mere.

Mange af de indstillinger, du konfigurerer i forskellige applets i kontrolpanelet^{(Control Panel)} , er gemt i  registreringsdatabasen HKEY_CURRENT_USER . Fordi HKEY_CURRENT_USER -kuben er brugerspecifik, på den samme computer, vil nøglerne og værdierne i den være forskellige fra bruger til bruger. Dette er i modsætning til de fleste andre registreringsdatabaser, der er globale, hvilket betyder, at de bevarer de samme oplysninger på tværs af alle brugere i Windows .

Ved at klikke på venstre side af skærmen i registreringseditoren får vi adgang til HKEY_CURRENT_USER . Som en sikkerhedsforanstaltning er de oplysninger, der er gemt på HKEY_CURRENT_USER , blot en pegepind til nøglen, der er placeret under HKEY_USERS- kuben som vores sikkerhedsidentifikator. Ændringer i et af områderne træder i kraft med det samme.

v. HKEY_USERS

Dette indeholder undernøgler, der svarer til HKEY_CURRENT_USER nøglerne for hver brugerprofil. Dette er også en af ​​mange registreringsdatabasen, som vi har i Windows-registreringsdatabasen^{(Windows Registry)} .

Alle de brugerspecifikke konfigurationsdata logges her, for alle, der aktivt bruger enheden, gemmes den slags information under HKEY_USERS . Alle de brugerspecifikke oplysninger, der er gemt på systemet, der svarer til en bestemt bruger, er gemt under HKEY_USERS - biblen, vi kan unikt identificere brugerne ved at bruge sikkerhedsidentifikatoren eller SID'et^{(security identifier or the SID)} , der logger alle konfigurationsændringer foretaget af brugeren.

Alle disse aktive brugere, hvis konto findes i HKEY_USERS- kuben afhængigt af privilegiet givet af systemadministratoren, vil være i stand til at få adgang til de delte ressourcer såsom printere, lokalt netværk, lokale lagerdrev, skrivebordsbaggrund osv. Deres konto har et bestemt register nøgler og tilsvarende registreringsværdier gemt under den aktuelle brugers SID .

Med hensyn til retsmedicinske oplysninger gemmer hver SID en enorm mængde data om hver bruger, da den laver en log over hver hændelse og handling, der udføres under brugerens konto. Dette inkluderer brugerens navn^(Name) , antallet af gange, brugeren loggede på computeren, datoen og klokkeslættet for sidste login, datoen og klokkeslættet, hvor sidste adgangskode blev ændret, antallet af mislykkede login, og så videre. Derudover indeholder den også registreringsdatabasen oplysninger for, hvornår Windows indlæses og sidder ved login-prompten.

Anbefalet: ^{(Recommended:)} Rette Registreringseditoren er holdt op med at fungere^{(Fix The Registry editor has stopped working)}

Registreringsnøglerne for standardbrugeren er gemt i filen ntuser.dat i profilen, at vi skulle indlæse dette som en hive ved hjælp af regedit for at tilføje indstillinger for standardbrugeren.

Typer af data, vi kan forvente at finde i Windows-registreringsdatabasen^{(Types of data we can expect to find in the Windows Registry)}

Alle de ovenfor diskuterede nøgler og undernøgler vil have konfigurationerne, værdierne og egenskaberne gemt i enhver af følgende datatyper, normalt er det en kombination af følgende datatyper, der udgør hele vores Windows-registrering.

• Strengværdier såsom Unicode, som^{(Unicode ​which)} er en computerindustristandard for ensartet kodning, repræsentation og håndtering af tekst udtrykt i de fleste af verdens skrivesystemer.
• Binære data
• Heltal uden fortegn
• Symbolske links
• Multi-streng værdier
• Ressourceliste^(Resource) ( Plug and Play hardware)
• Ressourcebeskrivelse^(Resource) ( Plug and Play -hardware)
• 64-bit heltal

Konklusion^(Conclusion)

Windows Registry har været intet mindre af en revolution, som ikke kun minimerede sikkerhedsrisikoen, der fulgte ved at bruge tekstfiler som en filtypenavn til at gemme systemet og applikationskonfigurationen, men det reducerede også antallet af konfigurations- eller .ini-filer, som applikationsudviklerne skulle sendes med deres softwareprodukt. Fordelene ved at have et centraliseret lager til at gemme hyppigt tilgåede data af både systemet og den software, der kører på systemet, er meget tydelige.

Brugervenligheden samt adgangen til forskellige tilpasninger og indstillinger på ét centralt sted har også gjort Windows til den foretrukne platform for desktop-applikationer af forskellige softwareudviklere. Dette er meget tydeligt, hvis du sammenligner mængden af ​​tilgængelige desktop-softwareapplikationer i Windows med Apples macOS. For at opsummere diskuterede vi, hvordan Windows-registreringsdatabasen^{(Windows Registry)} fungerer og dens filstruktur og betydningen af ​​forskellige registreringsnøglekonfigurationer samt at bruge registreringseditoren til fuld effekt.

What is the Windows Registry & How it Works?

Windows Rеgistry is a collection of configurations, values, and propertieѕ of windows applications as well as the windowѕ operatіng system which is organized and storеd in a hierarchical manner in a singυlar repository.

Whenever a new program gets installed in the Windows system, an entry is made in the Windows Registry with its attributes such as size, version, location in the storage, etc.

Because, this information has been stored in the database, not only the operating system is aware of the resources utilized, other applications can also benefit from this information since they are aware of any conflicts that may arise if certain resources or files were to co-exist.

What is the Windows Registry & How it Works?

The Windows Registry is really the heart of the way Windows works. It is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to something as simple as renaming the file’s name.

Simply put, it is just a database similar to that of a library card catalog, where the entries in the registry are like a stack of cards stored in the card catalog. A registry key would be a card and a registry value would be the important information written on that card. The Windows operating system uses the registry to store a bunch of information that’s used to control and manage our system and software. This can be anything from PC hardware information to user preferences and file types. Almost any form of configuration that we do to a Windows system involves editing the registry.

History of Windows Registry

In the initial versions of Windows, application developers had to include in a separate .ini file extension along with the executable file. This .ini file contained all the settings, properties and configuration required for the given executable program to function properly. However, this proved very inefficient due to the redundancy of certain information and it also posed a security threat to the executable program. As a result, a new implementation of standardized, centralized as well as secure technology was an apparent necessity.

With the advent of Windows 3.1, a bare-bones version of this demand was met with a central database common to all the applications and system called the Windows Registry.

This tool, however, was very limited, since the applications could only store certain configuration information of an executable. Over the years, Windows 95 and Windows NT further developed on this foundation, introduced centralization as the core feature in the newer version of Windows Registry.

That said, storing information in Windows Registry is an option for software developers. So, if a software application developer were to create a portable application, he is not required to add information to the registry, local storage with the configuration, properties, and values can be created and successfully shipped.

The relevance of Windows Registry with respect to other operating systems

Windows is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to the renaming of a file name.

All other operating systems such as iOS, Mac OS, Android, and Linux continue to use text files as a way of configuring the operating system and modifying the operating system behavior.

In most of the Linux variants, the configuration files are saved in the .txt format, this becomes an issue when we have to work with the text files since all the .txt files are considered as critical system files. So if we try to open the text files in these operating systems, we wouldn’t be able to view it. These operating systems try to hide it as a security measure since all the system files such as configurations of the network card, firewall, operating system, graphical user interface, video cards interface, etc. are saved in the ASCII format.

To circumvent this issue both macOS, as well as iOS, deployed a completely different approach to the text file extension by implementing .plist extension, which contains all of the system as well as application configuration information but still the benefits of having a singular registry far outweigh the simple change of file extension.

What are the benefits of the Windows Registry?

Because Every part of the operating system continuously communicates with the Windows Registry, it must be stored in very fast storage. Hence, this database was designed for extremely fast reads and writes as well as efficient storage.

If we were to open and check the size of the registry database, it would typically hover between 15 – 20 megabytes which make it small enough to be always loaded into the RAM (Random Access Memory) that co-incidentally is the fastest storage available for the operating system.

Since the registry needs to be loaded in memory at all times, if the size of the registry is large it won’t leave enough room for all other applications to run smoothly or run at all. This would be detrimental to the performance of the operating system, hence the Windows Registry is designed with a core objective of being highly efficient.

If there are multiple users interacting with the same device and there are a number of applications that they use are common, the reinstallation of the same applications twice or multiple times would be a waste of rather expensive storage. Windows registry excels in these scenarios where the application configuration is shared among various users.

This not only reduces the total storage used but also gives its users access to make changes to the application’s configuration from one single interaction port. This also saves time since the user doesn’t have to manually go to every local storage .ini file.

Multi-User scenarios are very common in enterprise setups, here, there is a strong need for user privilege access. Since not all the information or resources can be shared with everyone, the need for privacy-based user access was easily implemented through the centralized windows registry. Here the network administrator reserves the right to withhold or allow based on the work undertaken. This made the singular database versatile as well made it robust since the updates can be undertaken simultaneously with remote access to all of the registries of multiple devices in the network.

How does Windows Registry Works?

Let’s explore the basics elements of the Windows Registry before we start getting our hands dirty.

The Windows Registry is made up of two basic elements called the Registry Key which is a container object or simply put they are like a folder that has various types of files stored in them and Registry Values which are non-container objects that are like files that could be of any format.

You should also know: How to Take Full Control or Ownership of Windows Registry Keys

How to access the Windows Registry?

We can access and configure the Windows Registry using a Registry Editor tool, Microsoft includes a free registry editing utility along with every version of its Windows Operating System.

This Registry Editor can be accessed by typing “Regedit” in the Command Prompt or by simply typing “Regedit” in the search or run box from the Start menu. This editor is the portal to access the Windows registry, and it helps us to explore and make changes to the registry. The registry is the umbrella term used by various database files located within the directory of the Windows installation.

Is it Safe to edit Registry Editor?

If you don’t know what you’re doing then it is dangerous to play around Registry configuration. Whenever you edit the Registry, make sure you follow the correct instructions and only change what you’re instructed to change.

If you knowingly or accidentally delete something in the Windows Registry then it could alter your system’s configuration which could either lead to Blue Screen of Death or Windows won’t boot.

So it is generally recommended to backup Windows Registry before making any changes to it. You can also create a system restore point (which automatically backup the Registry) that can be used if you ever need to alter the Registry settings back to normal. But if you only what you’re told then it shouldn’t be any problem. In case you need to know how to restore Windows Registry then this tutorial explains how to do so easily.

Let’s explore the structure of the Windows Registry

There is a user in an inaccessible storage location that exists for only the operating system’s access.

These Keys are loaded on to the RAM during the system boot stage and are constantly being communicated within a certain interval of time or when a certain system-level event or events take place.

A certain portion of these registry keys gets stored in the hard disk. These keys that are stored in the hard disk are called hives. This section of the registry contains registry keys, registry subkeys, and registry values. Depending on the level of the privilege a user has been granted, he would be to access certain parts of these keys.

The keys that are at the peak of the hierarchy in the registry that begins with HKEY are considered to be hives.

In the Editor, the hives are located on the left side of the screen when all the keys are viewed without expanding. These are the registry keys that appear as folders.

Let’s explore the structure of the windows registry key and its subkeys:

Example of a key name – “HKEY_LOCAL_MACHINE\SYSTEM\Input\Break\loc_0804”

Here the “loc_0804” refers to the subkey “Break” refers to the subkey “Input” which refers to the subkey “SYSTEM” of the HKEY_LOCAL_MACHINE root key.

Common Root Keys in Windows Registry

Each of the following keys is its own individual hive, which comprises more keys within the top-level key.

i. HKEY_CLASSES_ROOT

This is the registry hive of the Windows Registry which consists of file extension association information, programmatic identifier (ProgID), Interface ID (IID) data, and Class ID (CLSID).

This registry hive  HKEY_CLASSES_ROOT is the gateway for any action or event to take place in the Windows operating system. Suppose we want to access some mp3 files in the Downloads folder. The operating system runs its query through this to take the required actions.

The moment you access the HKEY_CLASSES_ROOT hive, it is really easy to get overwhelmed looking at such a massive list of extension files. However, these are the very registry keys that make windows function fluidly

Following are some of the examples of HKEY_CLASSES_ROOT hive registry keys,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Whenever we double-click and open a file lets say a photo, the system sends the query through the HKEY_CLASSES_ROOT where the instructions on what to do when such a file is requested are clearly given. So the system ends up opening a photo viewer displaying the requested image.

In the above example, the registry makes a call to the keys stored in the HKEY_CLASSES_ROOT\.jpg key. The HKEY_CLASSES_ROOT hive is a collective data found in both the HKEY_LOCAL_MACHINE hive (HKEY_LOCAL_MACHINE\Software\Classes) as well as the HKEY_CURRENT_USER hive (HKEY_CURRENT_USER\Software\Classes). So when the registry key exists in two locations it creates conflicts. So the data found in HKEY_CURRENT_USER\Software\Classes is used in HKEY_ CLASSES_ ROOT. It can be accessed by opening the HKEY_CLASSES key on the left side of the screen.

ii. HKEY_LOCAL_MACHINE

This is one of the several registry hives that stores all the settings that are specific to the local computer. This is a global key where the information stored cannot be edited by any user or program. Due to the global nature of this subkey, all the information stored in this storage is in the form of a virtual container running on the RAM continuously. The majority of the configuration information for the software users have installed and the Windows operating system itself is occupied in HKEY_LOCAL_MACHINE. All of the currently detected hardware is stored in the HKEY_LOCAL_MACHINE hive.

Also know how to: Fix Regedit.exe Crashes when searching through Registry

This registry key is further divided into 7 sub-keys:

1. SAM (Security Accounts Manager) – It is a registry key file that stores users’ passwords in a secured format (in LM hash and NTLM hash). A hash function is a form of encryption used to protect the users’ account information.

It is a locked file that is located in the system at C:\WINDOWS\system32\config, which cannot be moved or copied when the operating system is running.

Windows uses the Security Accounts Manager registry key file to authenticate users while they log into their Windows accounts. Whenever a user logs in, Windows uses a series of hash algorithms to calculate a hash for the password that has been entered. If the entered password’s hash is equal to the password hash inside the SAM registry file, users will be allowed to access their account. This also a file that most of the hackers target while performing an attack.

2. Security (not accessible except by administrator) – This registry key is local to the account of the administrative user who is logged in to the current system. If the system is managed by any organization the users cannot access this file unless administrative access has been explicitly given to a user. If we were to open this file without administrative privilege it would be blank. Now, if our system is connected to an administrative network, this key will default to the local system security profile established and actively managed by the organization. This key is linked to the SAM, so upon successful authentication, depending on the privilege level of the user, a variety of local and group policies are applied.

3. System (critical boot process and other kernel functions) –  This subkey contains important information related to the entire system such as computer name, currently mounted hardware devices, filesystem and what kind of automated actions can be taken in a certain event, say there is Blue screen of death due to CPU overheating, there is a logical procedure that the computer will automatically start taking in such an event. This file is only accessible by users with sufficient administrative privileges. When the system boots this is where all the logs get dynamically get saved and read upon. Various system parameters such as alternative configurations which are known as control sets.

4. Software All the Third-party software configurations such as plug and play drivers are stored here. This subkey contains software and Windows settings linked to the preexisting hardware profile that can be changed by various applications and system installers. Software developers get to limit or allow what information gets accessed by the users when their software is being used, this can be set using the “Policies” subkey that enforces the general usage policies on applications and system services that include the system certificates that is used to authenticate, authorize or disallow certain systems or services.

5. Hardware which is a subkey that is created dynamically during the system boot

6. Components system-wide device-specific component configuration information can be found here

7. BCD.dat (in the \boot folder in the system partition) which is a critical file that the system reads and starts executing during the system boot sequence by loading the registry to the RAM.

iii. HKEY_CURRENT_CONFIG

The main reason for the existence of this subkey is to store video as well as network settings. That could be all the information pertaining to the video card such as the resolution, refresh rate, aspect ratio, etc. as well as the network

It is also a registry hive, part of the Windows Registry, and which stores information about the hardware profile currently being used. HKEY_CURRENT_CONFIG is actually a pointer to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry key, This is simply a pointer to the currently active hardware profile listed under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles key.

So HKEY_ CURRENT_CONFIG helps us to view and modify the configuration of the current user’s hardware profile, which we can do as an administrator in any of the three locations as listed above since they are all the same.

iv. HKEY_CURRENT_USER

Part of the registry hives that contains store settings as well as configuration information for Windows and software that are specific to the currently logged-in user. For example, a variety of registry values in the registry keys are located in the HKEY_CURRENT_USER hive control user-level settings such as the keyboard layout, printers installed, desktop wallpaper, display settings, mapped network drives, and more.

Many of the settings you configure within various applets in the Control Panel are stored in the HKEY_CURRENT_USER registry hive. Because the HKEY_CURRENT_USER hive is user-specific, on the same computer, the keys and values contained in it will differ from user to user. This is unlike most other registry hives that are global, meaning they retain the same information across all users in Windows.

Clicking on the left side of the screen on the registry editor will give us access to HKEY_CURRENT_USER. As a security measure, the information stored on HKEY_CURRENT_USER is just a pointer to key positioned under the HKEY_USERS hive as our security identifier. Changes made to either of the areas will take effect immediately.

v. HKEY_USERS

This contains subkeys corresponding to the HKEY_CURRENT_USER keys for each user profile. This is also one of many registry hives that we have in the Windows Registry.

All the user-specific configuration data is logged here, for everyone who is actively using the device that kind information is stored under HKEY_USERS. All the user-specific information stored on the system that corresponds to a particular user is stored under the HKEY_USERS hive, we can uniquely identify the users utilizing the security identifier or the SID that logs all the configuration changes made by the user.

All of these active users whose account exist in the HKEY_USERS hive depending on the privilege granted by the system administrator would be able to access the shared resources such as printers, local network, local storage drives, desktop background, etc.  Their account has certain registry keys and corresponding registry values stored under the current user’s SID.

In terms of forensic information each SID stores a huge amount of data on every user as it makes a log of every event and action get undertaken under the user’s account. This includes the User’s Name, the number of times the user logged onto the computer, the date and time of the last login, the date and time the last password was changed, number of failed logins, and so on. Additionally, it also contains the registry information for when Windows loads and sits at the login prompt.

Recommended: Fix The Registry editor has stopped working

The registry keys for the default user are stored in the file ntuser.dat within the profile, that we would have to load this as a hive using regedit to add settings for the default user.

Types of data we can expect to find in the Windows Registry

All of the above-discussed keys and subkeys will have the configurations, values, and properties saved in any of the following data types, usually, it is a combination of the following data types that makes up our entire windows registry.

• String values such as Unicode ​which is a computing industry standard for the consistent encoding, representation, and handling of text expressed in most of the world’s writing systems.
• Binary data
• Unsigned integers
• Symbolic links
• Multi-string values
• Resource list (Plug and Play hardware)
• Resource descriptor (Plug and Play hardware)
• 64-bit integers

Conclusion

Windows Registry has been nothing less of a revolution, which not only minimized the security risk that came by using text files as a file extension to save the system and application configuration but it also reduced the number of configuration or .ini files that the application developers had to ship with their software product. The benefits of having a centralized repository to store frequently accessed data by both the system as well as the software that runs on the system are very evident.

The ease of use as well as the access to various customizations and settings in one central place has also made windows the preferred platform for desktop applications by various software developers. This is very evident if you compare the sheer volume of available desktop software applications of windows to Apple’s macOS. To summarize, we discussed how the Windows Registry works and its file structure and the significance of various registry key configurations as well as to use the registry editor to the complete effect.

Related posts

• Regbak lader dig nemt sikkerhedskopiere og gendanne Windows-registreringsdatabasen

• Registry Live Watch sporer ændringer i Windows Registry live

• Gratis Registry Defragmenter til at defragmentere Windows Registry

• Forhindre afinstallation af Chrome-udvidelser ved hjælp af Windows-registreringsdatabasen

• 3 måder at deaktivere Windows-registreringsdatabasen -

• Aktiver fuldskærms startmenu ved hjælp af gruppepolitik eller registreringsdatabase i Windows

• Sådan overvåges og spores ændringer i registreringsdatabasen i Windows 11/10

• Deaktiver Windows Startup Delay ved hjælp af StartupDelayInMSec registreringsnøgle

• Sådan tjekker du registreringsdatabasen for malware i Windows 11/10

• Slet låste registreringsnøgler med Registry DeleteEx til Windows 10

• Registry Life er et gratis Registry Cleaning & Optimization Tool til Windows

• Sådan gennemser og redigerer du registreringsdatabasen fra Stifinder i Windows

• Fix Windows kunne ikke indlæse registreringsdatabasen fejl

• Registreringseditor åbnede ikke, gik ned eller holdt op med at fungere i Windows 11/10

• Sådan slettes ødelagte poster i Windows-registreringsdatabasen

• Sådan tilføjes registreringseditor til kontrolpanelet i Windows 11/10

• Deaktiver leveringsoptimering via gruppepolitik eller registreringseditor

• Sådan tilføjer eller fjerner du favoritter i registreringsdatabasen i Windows 10.

• Ultimativ guide til sikkerhedskopiering og gendannelse af Windows-registreringsdatabasen

• Tilpas Ctrl+Alt+Del-skærm ved hjælp af gruppepolitik eller registreringsdatabasen i Windows