Как найти программу в реестре windows 7

Обновлено: 22.01.2025

Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем семейства Microsoft Windows [2].

В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].

Открытие реестра¶

Поскольку файлов в реестре несколько, его нельзя открыть, например, в текстовом редакторе и внести какие-либо коррективы. Для работы с ним требуется специальная программа – редактор реестра, который является встроенным компонентом операционной системы Windows и вызывается путем ввода команды Regedit [4].

Существует несколько способов открыть редактор реестра.

Способ №1 – Открытие через утилиту «Выполнить»:

Выбрать Пуск → Выполнить, либо нажать сочетание клавиш Win+R ( Win — клавиша, между Ctrl и Alt в нижнем ряду клавиатуры, обычно на ней изображен значок Microsoft Windows ;
В открывшимся окне ввести команду regedit ;
Нажать клавишу ОК .

Рис. 1 – Открытие через утилиту «Выполнить»

Способ №2 – Открытие через поиск по меню «Пуск»:

Открыть меню Пуск;
Ввести в строке поиска regedit и запустить найденный файл, который отобразится в верхней части Пуска.

Рис. 2 – Открытие через поиск по меню «Пуск»

С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.

Структура реестра¶

Реестр имеет иерархическую структуру, которая напоминает файловую систему жесткого диска – с его каталогами, подкаталогами и файлами. Но называются элементы реестра по-другому: верхний уровень иерархии составляют разделы, каждый из которых может содержать вложенные подразделы, а также параметры. Именно в параметрах хранится основное содержимое реестра, разделы служат лишь для группировки схожих по назначению параметров [4].

Рис. 3 – Редактор реестра

Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.

HKEY_CURRENT_USER

Данный раздел является корневым для данных конфигурации пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU .

HKEY_USERS

Данный раздел содержит все активные загруженные профили пользователей компьютера. Раздел HKEY_CURRENT_USER является подразделом раздела HKEY_USERS . Вместо полного имени раздела иногда используется аббревиатура HKU .

HKEY_LOCAL_MACHINE

Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Наиболее интересным является подраздел Software , который включает в себя настройки всех установленных в системе приложений. Вместо полного имени раздела иногда используется аббревиатура HKLM .

HKEY_CLASSES_ROOT

Является подразделом HKEY_LOCAL_MACHINE\Software . Хранящиеся здесь сведения обеспечивают выполнение необходимой программы при открытии файла с использованием проводника. Вместо полного имени раздела иногда используется аббревиатура HKCR . Начиная с Windows 2000, эти сведения хранятся как в HKEY_LOCAL_MACHINE , так и в HKEY_CURRENT_USER .

Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes , переопределяют принятые по умолчанию и относятся только к текущему пользователю.

Раздел HKEY_CLASSES_ROOT включает в себя данные из обоих источников. Кроме того, раздел HKEY_CLASSES_ROOT предоставляет эти объединенные данные программам, разработанным для более ранних версий Windows. Изменения настроек текущего пользователя выполняются в разделе HKEY_CURRENT_USER\Software\Classes . Модификация параметров по умолчанию должна производиться в разделе HKEY_LOCAL_MACHINE\Software\Classes . Данные из разделов, добавленных в HKEY_CLASSES_ROOT , будут сохранены системой в разделе HKEY_LOCAL_MACHINE\Software\Classes . Если изменяется параметр в одном из подразделов раздела HKEY_CLASSES_ROOT и такой подраздел уже существует в HKEY_CURRENT_USER\Software\Classes , то для хранения информации будет использован раздел HKEY_CURRENT_USER\Software\Classes , а не HKEY_LOCAL_MACHINE\Software\Classes .

HKEY_CURRENT_CONFIG

Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.

Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле: HKEY_LOCAL_MACHINE\Software\WOW6432Node

Файлы реестра на жестком диске¶

Основные файлы, отвечающие за формирование реестра хранятся в папке %SystemRoot%\System32\Config\ . Обычно это C:\Windows\System32\Config\ и в зависимости от версии ОС их состав может несколько различаться.

Файл, хранящий личные настройки пользователя, «скрыт» в папке соответствующей учетной записи, например, в C:\Documents and Settings\Dmitry . Также файлы, отвечающие за пользовательские настройки, могут храниться в:

C:\Documents and Settings\%Username%\(Ntuser.dat) ;
C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\Windows\ (UsrClass.dat) .

Еще есть резервные копии файлов реестра, созданные системой, хранятся они в

C:\Windows\System32\config\RegBack – для Windows 7 и Server 2008;
C:\Windows\repair – для XP и Server 2003.

По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.

Вспомогательные файлы для всех кустов за исключением HKEY_CURRENT_USER хранятся в системах Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista в папке %SystemRoot%\System32\Config .

Вспомогательные файлы для куста HKEY_CURRENT_USER хранятся в папке %SystemRoot%\Profiles\Имя_пользователя . Расширения имен файлов в этих папках указывают на тип содержащихся в них данных. Отсутствие расширения также иногда может указывать на тип содержащихся в файле данных.

Куст (дерево) реестра (англ. hive) - это группа разделов, подразделов и параметров реестра с набором вспомогательных файлов, содержащих резервные копии этих данных.

Таблица 1 — Соответствие кустов реестра и вспомогательных файлов ¶

Куст реестра	Вспомогательные файлы
HKEY_LOCAL_MACHINE\SAM	Sam , Sam.log , Sam.sav
HKEY_LOCAL_MACHINE\Security	Security , Security.log , Security.sav
HKEY_LOCAL_MACHINE\Software	Software , Software.log , Software.sav
HKEY_LOCAL_MACHINE\System	System , System.alt , System.log , System.sav
HKEY_CURRENT_CONFIG	System , System.alt , System.log , System.sav , Ntuser.dat , Ntuser.dat.log
HKEY_USERS\DEFAULT	Default , Default.log , Default.sav

Например, кусту HKEY_LOCAL_MACHINE\Software соответствует на жестком диске файл C:\Windows\System32\config\SOFTWARE .

Методы поиска в реестре Windows

Использование классической утилиты regedit (Редактор реестра)
Regscanner
Registry Finder
Через текстовый редактор
Через PowerShell

Поиск по редактору реестра

Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

У данного метода, как вы можете заметить огромный минус, вы не можете увидеть сразу все ключи по критерию, что не дает полной картины и во вторых данный процесс становится дольше по времени и я его использую, только тогда когда нет нужным мне утилит

Поиск в реестре Windows через regscanner

Regscanner - это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

1. Для поиска по реестру откройте Regscanner.exe
2. В окне "Regystry San Options" вы можете выбрать: "Find String" - искомое значение и "Don't load more than" - количество выводимых строк (максимальное)
3. Задать временные промежутки, по умолчанию стоит значение "No time filter", означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку "Display only data with the following length range" и выбрав например только RED_DWORD
Нажимаем кнопку "Scan" и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.
- Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле "Find what" пишем то, что хотим искать. В "Top-level-keys" выбираем разделы реестра для поиска.
- Нажав кнопку "Data Types" вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.
- Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку "Search only hidden keys"
- Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.
- Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем "Find".
На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне "Редактора реестра" щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:
@ECHO OFF
TITLE SEARCH REGEDIT
COLOR 0A
ECHO SEARCH.
chcp 1251 > nul
TIME /t > C:\Search_Reg.txt
ECHO HKLM >> C:\Search_Reg.txt
REG QUERY HKLM /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCU >> C:\Search_Reg.txt
REG QUERY HKCU /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCR >> C:\Search_Reg.txt
REG QUERY HKCR /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKU >> C:\Search_Reg.txt
REG QUERY HKU/f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCC >> C:\Search_Reg.txt
REG QUERY HKCC /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
В результате чего у вас на диске C:\Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:
Get - ChildItem - path HKLM : \ - Recurse | where < $_ . Name - match 'VMware' >| Out-File C:\scripts\regedit.txt

Популярные Похожие записи:

2 Responses to Поиск в реестре windows, лучшие методы

Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.

Как узнать, где программа хранит свои настройки в реестре

После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe

После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку "Agree"

Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe .

Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe , для этого мы выбираем пункт меню "Filter" и в нем опцию с одноименным названием "Filter. ".

После чего выбираем из раскрывающегося меню пункт "Process Name", вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку "Add", чтобы наш фильтр добавился:

Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку "Apply" и потом на "OK", для закрытия окна настроек.

В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы:

Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
- Как осуществляется автозагрузка?
- Где найти список программ, загружаемых автоматически?
- Как отключить соответствующий список автозагрузки?
Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).

Рисунок 1 Автозапуск для всех пользователей

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Использование групповой политики для автозапуска

Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"1"="notepad.exe"

В итоге получаем запуск Блокнота (рис 3).

Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорировать списки автозагрузки программ выполняемых однажды

Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика
включена, в реестре создается следующий ключ:

Назначенные задания

Рисунок 4 Окно Планировщика заданий

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).

Рисунок 5 Создание простой задачи в Планировщике задач

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"

Смена папки автозагрузки

Подмена ярлыка для программы из списка автозагрузки

Добавление программы к программе запускаемой из списка автозагрузки

Рисунок 6 Автоматически загружаемые программы

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.

Читайте также: