Структура реестра ОС семейства Windows по своей структуре очень близка к файловой системе. Файлы реестра состоят из блоков, размером 4096 (0х1000) байт. Операционная система работает с реестром как с набором блоков по 4Кб, таким образом, все операции, связанные с выделением памяти, производятся блоками по 4 Кб. Первый блок файла является заголовком.
Анализ реестра может производиться путем подключения файлов реестра с использованием редактора regedt32.exe (в Windows XP regedit.exe) как кустов реестра с произвольным именем (команда «Файл Загрузить куст» доступна при нахождении курсора в позиции раздела HKEY_LOCAL_ MACHINE).
Реестр ОС семейства Windows NT является совокупностью файлов, которые называются ульями (hive). Каждый улей представляет собой древовидную структуру, содержащую корневой ключ (root key), подключи (subkey), параметры и их значения (value). Реестр состоит из файлов, находящихся в каталоге %SystemRoot%\System32\config (разделы HKEY_LOCAL_ MACHINE, HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG), а также файлов NTUSER.DAT из соответствующих подкаталогов пользователей каталога Documents and Settings (раздел HKEY_CURRENT_USER). Некоторые ульи являются временными (создаются на время работы операционной системы) и не имеют представления в виде файла.
Существующие инструменты анализа файлов реестра не предоставляют возможности восстановления удаленных ключей, параметров и их значений. Для решения данной задачи был разработан программный инструментарий, который позволяет выявить все свободные ячейки в файле реестра и путем контекстного анализа содержимого свободных ячеек восстановить удаленные данные. Данная задача решена для ОС семейства Windows NT.
В процессе информационно-аналитической экспертизы, информационно-аналитического исследования, в ряде случаев эксперт должен получить информацию о том, какие учетные записи пользователей присутствуют в системе, какие из них и когда входили в систему, какое программное обеспечение установлено в системе на момент исследования, а также какие программы были в системе ранее, но к моменту исследования оказались удалены. Получить ответы на подобные вопросы можно, анализируя файлы реестра Windows. Существующие инструменты анализа файлов реестра не предоставляют возможности восстановления удаленных ключей, параметров и их значений. Для решения данной задачи был разработан программный инструментарий, который позволяет выявить все свободные ячейки в файле реестра и путем контекстного анализа содержимого свободных ячеек восстановить удаленные данные. Данная задача решена для ОС семейства Windows NT.
Данное приложение позволяет выявить все свободные ячейки в файле реестра и путем контекстного анализа содержимого свободных ячеек восстановить удаленные данные. Задача решена для ОС семейства Windows NT.
Восстановление удаленных ключей реестра ОС семейства MS Windows NTРубрика: Теги: | Просмотров: 779
Восстановление удаленных ключей реестра ОС семейства MS Windows NT » Портфолио
Комментариев нет:
Отправить комментарий