Для хакера важен факт, что весь контроль доступа основан на реестре. Реестр содержит тысячи индивидуальных данных, сгруппированных в «ключи» или особый тип значений. Эти ключи, в свою очередь, группируются в ответвления директорий. Они имеют по несколько копий, что делает систему доступа более надежной. Реестр делится на несколько поддиректорий. Мы рассмотрим пять разделов:
HKEY_CLASSES_ROOT’
HKEY_CURRENT_USEF.
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_DYN_DATA
Для хакера наиболее интересен раздел HKEY_LOCAL_MACHINE. Он содержит несколько ключей, среди которых имеется «золотой ключик»:
SECURITY — этот ключ содержит такую информацию, как права пользователя, данные о группе и пароли.
Ключи являются двоичными данными (в целях безопасности) и обычно недоступны, если только вы не имеете статуса администратора;
HARDWARE — Здесь хранится база данных, которая описывает компоненты компьютера. Драйверы и приложения встраиваются в эту базу данных во время выполнения и обновляются в процессе запуска системы.
Если вы плохо разбираетесь в 16-ричном счислении, то воздержитесь от прямого редактирования этой базы данных.
Ключ HARDWARE содержит три субключа: Description, DeviceMap и ResourceMap.
Субключ Description описывает каждый ресурс хардвара; DeviceMap определяет данные по индивидуальным группам драйверов, a ResourceMap поясняет сопряжение каждого драйвера с приписанным к нему ресурсом.
SYSTEM — Этот ключ содержит основные операционные данные (что происходит при запуске, какие драйверы загружаются, какие службы используются и т.д.). В этом ключе находится особый субключ ControlSets: уникальная система конфигураций (некоторые связаны с запуском, другие — нет), каждая из которых содержит данные служб и компонентов OS.
SOFTWARE — Здесь хранится информация о локально загружаемом софте: файловые связи, OLE-данные, информация о смешенных конфигурациях и т.д.
CONFIG — Здесь хранятся конфигурационные данные о различных конфигурациях устройств.
ENUM — Данные устройств. Здесь вы можете найти тип устройства, информацию о производителях, драйверы и конфигурацию.
NETWORK — содержит информацию о сети.
Вторым важнейшим ключом является HKEY_USERS. Он содержит субключ .Default и еще один субключ для каждого пользователя, который имеет локальный или удаленный доступ к системе. Здесь хранятся такие данные, жак настройки рабочего стола и профили пользователей. Если вы откроете субключ пользователя, то увидите пять важных субключей:
AppEvent — Содержит путь аудиофайлов, которые Windows играет при возникновении определенных событий.
Control Panel — Здесь находятся настройки, определяемые на панели управления. Обычно они хранятся в win.ini и condbd.ini.
Keyboard Layouts — Здесь содержится идентификатор той настройки кейборда, которая была определена на панели управления.
Комментарии