» Основы реестра - кусты

Основы реестра - кусты

Откройте редактор реестра и посмотрите на структуру реестра. Вы увидите 5 корневых разделов и их подразделы. Это так называемая логическая структура реестра: так реестр представлен пользователю и программам. Но на самом деле все намного сложнее, и если вы думаете, что реестр хранится на диске в одном большом файле, то вы ошибаетесь.

На диске реестр организован в виде кустов (еще одно название — улей (hive)) — двоичных файлов специального формата. Для каждого куста Windows создает вспомогательные файлы, которые используются для восстановления основного файла куста, если при загрузке системы что-то пошло не так. Другими словами, вспомогательные файлы являются резервными копиями файла куста. Кусты есть только для разделов HKLM и HKU. Остальные корневые разделы, как мы знаем, являются ссылками на подразделы этих двух разделов.

Файлы кустов для разделов HKLM расположены в каталоге %SYSTEMROOT%\System32\config; обычно это каталог C:\Windovs\System32\config. Файлы кустов для HKU находятся в каталогах профилей пользователей (C:\Documents and Settings\Имя пользователя).

Вспомогательные файлы кустов имеют следующие расширения:

- .log — журнал изменений куста;

- .sav — исходная копия куста с момента установки Windows (обратите внимание на дату создания этого файла: вы вспомните, когда вы установили Windows).

Кусты HKLM

Загляните в каталог %SYSTEMROOT%\System32\config. В этом каталоге находятся файлы кустов и их вспомогательные файлы для раздела HKLM.

Файлы куста:

COMPONENTS - Данный файл куста отсутствует в Windows XP и более ранних версиях Windows. Он есть только в Windows Vista

SAM - Содержит базу данных SAM, соответствует ключу реестра HLKM\SAM

SECURITY - Соответствует ключу реестра HLKM\SECURITY

SOFTWARE - Соответствует ключу реестра HLKM\SOFTWARE

SYSTEM - Соответствует ключу реестра HLKM\SYSTEM

Наверное, вы заметили, что на диске нет файла куста HARDWARE. Его и не должно быть: раздел HKLMXHARDWARE создается каждый раз при запуске Windows, то есть является динамическим. При выключении компьютера файл куста данного раздела реестра не сохраняется на диск. Windows XP создает еще одну копию реестра в каталоге %SYSTEMROOT%\ repair. Vista помещает копию реестра в каталог %SYSTEMROOT%\System32\ config\RegBack. В данных каталогах сохраняется только системная часть реестра (общесистемные разделы). Резервную копию пользовательской части можно сделать с помощью специальных программ, которые будут рассмотрены в других главах этой книги.

Примечание

В каталоге %SYSTEMROOT%\System32\config\RegBack создается две копии реестра. Одна создается спустя 5 минут после входа пользователя в систему, а вторая — после последнего удачного входа в систему (файлы с расширением .old). Напомню еще раз, что данный каталог существует только в Windows Vista.

Что еще можно найти в каталоге %SYSTEMROOT%\System32\config? Прежде всего, это файлы журналов системных событий — они имеют расширение *.evt. Файл userdiff используется для преобразования профилей пользователей из более ранних версий Windows, например, Windows 2000 или Windows NT.

Кусты HKU

Каждый подраздел раздела HKU является кустом. Файл куста раздела HKUYDEFAULT можно найти в каталоге %SYSTEMROOT%\System32\config (он так и называется — DEFAULT). Пользовательские файлы кустов разделов HKU\SID и HKU\SID_Classes находятся в каталогах %USERPROFILE% и %USERPROFILE%\Local Settings\ Application Data\Microsoft\Windows\ соответственно. Файл куста для HKU\SID называется Ntuser.dat, а файл куста для HKU\SID_Classes называется UsrClass.dat.

Реклама

Реклама