Найти и заменить в реестре windows 10

Обновлено: 07.07.2024

Реестр Windows (англ. Windows Registry), или системный реестр — иерархически построенная база данных параметров и настроек в большинстве операционных систем семейства Microsoft Windows [2].

В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].

Открытие реестра¶

Поскольку файлов в реестре несколько, его нельзя открыть, например, в текстовом редакторе и внести какие-либо коррективы. Для работы с ним требуется специальная программа – редактор реестра, который является встроенным компонентом операционной системы Windows и вызывается путем ввода команды Regedit [4].

Существует несколько способов открыть редактор реестра.

Способ №1 – Открытие через утилиту «Выполнить»:

  1. Выбрать Пуск → Выполнить, либо нажать сочетание клавиш Win+R ( Win — клавиша, между Ctrl и Alt в нижнем ряду клавиатуры, обычно на ней изображен значок Microsoft Windows ;
  2. В открывшимся окне ввести команду regedit ;
  3. Нажать клавишу ОК .

Рис. 1 – Открытие через утилиту «Выполнить»

Рис. 1 – Открытие через утилиту «Выполнить»

Способ №2 – Открытие через поиск по меню «Пуск»:

  1. Открыть меню Пуск;
  2. Ввести в строке поиска regedit и запустить найденный файл, который отобразится в верхней части Пуска.

Рис. 2 – Открытие через поиск по меню «Пуск»

Рис. 2 – Открытие через поиск по меню «Пуск»

С другими способами можно ознакомиться в статье Три способа открыть редактор реестра Windows.

Структура реестра¶

Реестр имеет иерархическую структуру, которая напоминает файловую систему жесткого диска – с его каталогами, подкаталогами и файлами. Но называются элементы реестра по-другому: верхний уровень иерархии составляют разделы, каждый из которых может содержать вложенные подразделы, а также параметры. Именно в параметрах хранится основное содержимое реестра, разделы служат лишь для группировки схожих по назначению параметров [4].

Рис. 3 – Редактор реестра

Рис. 3 – Редактор реестра

Далее приведен краткий перечень и краткое описание стандартных разделов реестра. Максимальная длина имени раздела составляет 255 символов.

HKEY_CURRENT_USER

Данный раздел является корневым для данных конфигурации пользователя, вошедшего в систему в настоящий момент. Здесь хранятся папки пользователя, цвета экрана и параметры панели управления. Эти сведения сопоставлены с профилем пользователя. Вместо полного имени раздела иногда используется аббревиатура HKCU .

HKEY_USERS

Данный раздел содержит все активные загруженные профили пользователей компьютера. Раздел HKEY_CURRENT_USER является подразделом раздела HKEY_USERS . Вместо полного имени раздела иногда используется аббревиатура HKU .

HKEY_LOCAL_MACHINE

Раздел содержит параметры конфигурации, относящиеся к данному компьютеру (для всех пользователей). Наиболее интересным является подраздел Software , который включает в себя настройки всех установленных в системе приложений. Вместо полного имени раздела иногда используется аббревиатура HKLM .

HKEY_CLASSES_ROOT

Является подразделом HKEY_LOCAL_MACHINE\Software . Хранящиеся здесь сведения обеспечивают выполнение необходимой программы при открытии файла с использованием проводника. Вместо полного имени раздела иногда используется аббревиатура HKCR . Начиная с Windows 2000, эти сведения хранятся как в HKEY_LOCAL_MACHINE , так и в HKEY_CURRENT_USER .

Раздел HKEY_LOCAL_MACHINE\Software\Classes содержит параметры по умолчанию, которые относятся ко всем пользователям локального компьютера. Параметры, содержащиеся в разделе HKEY_CURRENT_USER\Software\Classes , переопределяют принятые по умолчанию и относятся только к текущему пользователю.

Раздел HKEY_CLASSES_ROOT включает в себя данные из обоих источников. Кроме того, раздел HKEY_CLASSES_ROOT предоставляет эти объединенные данные программам, разработанным для более ранних версий Windows. Изменения настроек текущего пользователя выполняются в разделе HKEY_CURRENT_USER\Software\Classes . Модификация параметров по умолчанию должна производиться в разделе HKEY_LOCAL_MACHINE\Software\Classes . Данные из разделов, добавленных в HKEY_CLASSES_ROOT , будут сохранены системой в разделе HKEY_LOCAL_MACHINE\Software\Classes . Если изменяется параметр в одном из подразделов раздела HKEY_CLASSES_ROOT и такой подраздел уже существует в HKEY_CURRENT_USER\Software\Classes , то для хранения информации будет использован раздел HKEY_CURRENT_USER\Software\Classes , а не HKEY_LOCAL_MACHINE\Software\Classes .

HKEY_CURRENT_CONFIG

Данный раздел содержит сведения о профиле оборудования, используемом локальным компьютером при запуске системы.

Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в следующем узле: HKEY_LOCAL_MACHINE\Software\WOW6432Node

Файлы реестра на жестком диске¶

Основные файлы, отвечающие за формирование реестра хранятся в папке %SystemRoot%\System32\Config\ . Обычно это C:\Windows\System32\Config\ и в зависимости от версии ОС их состав может несколько различаться.

Файл, хранящий личные настройки пользователя, «скрыт» в папке соответствующей учетной записи, например, в C:\Documents and Settings\Dmitry . Также файлы, отвечающие за пользовательские настройки, могут храниться в:

  • C:\Documents and Settings\%Username%\(Ntuser.dat) ;
  • C:\Documents and Settings\%Username%\Local Settings\Application Data\Microsoft\Windows\ (UsrClass.dat) .

Еще есть резервные копии файлов реестра, созданные системой, хранятся они в

  • C:\Windows\System32\config\RegBack – для Windows 7 и Server 2008;
  • C:\Windows\repair – для XP и Server 2003.

По умолчанию операционная система делает резервные копии этих файлов раз в 10 дней с помощью планировщика задач.

Вспомогательные файлы для всех кустов за исключением HKEY_CURRENT_USER хранятся в системах Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 и Windows Vista в папке %SystemRoot%\System32\Config .

Вспомогательные файлы для куста HKEY_CURRENT_USER хранятся в папке %SystemRoot%\Profiles\Имя_пользователя . Расширения имен файлов в этих папках указывают на тип содержащихся в них данных. Отсутствие расширения также иногда может указывать на тип содержащихся в файле данных.

Куст (дерево) реестра (англ. hive) - это группа разделов, подразделов и параметров реестра с набором вспомогательных файлов, содержащих резервные копии этих данных.

Таблица 1 — Соответствие кустов реестра и вспомогательных файлов ¶
Куст реестра Вспомогательные файлы
HKEY_LOCAL_MACHINE\SAM Sam , Sam.log , Sam.sav
HKEY_LOCAL_MACHINE\Security Security , Security.log , Security.sav
HKEY_LOCAL_MACHINE\Software Software , Software.log , Software.sav
HKEY_LOCAL_MACHINE\System System , System.alt , System.log , System.sav
HKEY_CURRENT_CONFIG System , System.alt , System.log , System.sav , Ntuser.dat , Ntuser.dat.log
HKEY_USERS\DEFAULT Default , Default.log , Default.sav

Например, кусту HKEY_LOCAL_MACHINE\Software соответствует на жестком диске файл C:\Windows\System32\config\SOFTWARE .

Методы поиска в реестре Windows

  1. Использование классической утилиты regedit (Редактор реестра)
  2. Regscanner
  3. Registry Finder
  4. Через текстовый редактор
  5. Через PowerShell

Поиск по редактору реестра

  1. Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
  2. В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
  3. или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

окно поиска в реестре Windows

У данного метода, как вы можете заметить огромный минус, вы не можете увидеть сразу все ключи по критерию, что не дает полной картины и во вторых данный процесс становится дольше по времени и я его использую, только тогда когда нет нужным мне утилит

Поиск в реестре Windows через regscanner

Regscanner - это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

    1. Для поиска по реестру откройте Regscanner.exe
    2. В окне "Regystry San Options" вы можете выбрать: "Find String" - искомое значение и "Don't load more than" - количество выводимых строк (максимальное)
    3. Задать временные промежутки, по умолчанию стоит значение "No time filter", означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
    4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
    5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку "Display only data with the following length range" и выбрав например только RED_DWORD

    Выбор ветки для поиска в Regscanner

    Нажимаем кнопку "Scan" и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

    Результаты поиска в реестре через Regscanner

    Поиск в реестре Windows через Registry Finder

    Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

    Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

    • Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле "Find what" пишем то, что хотим искать. В "Top-level-keys" выбираем разделы реестра для поиска.

    Поиск в реестре в Registry Finder

    • Нажав кнопку "Data Types" вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

    Настройка поиска в Registry Finder

    • Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку "Search only hidden keys"

    Search only hidden keys

    • Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

    поиск по реестру Windows в Registry Finder

    • Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем "Find".

    Результаты поиска в Registry Finder

    На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

    Командная строка Registry Finder

    Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

    Четвертый метод поиска по реестру Windows

    Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне "Редактора реестра" щелкаем правым кликом по значку компьютера и выбираем экспорт

    Экспорт реестра Windows

    В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

    Экспорт ключей реестра в текстовый файл

    Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

    поиск по реестру Windows в текстовом файле

    То же самое можно сделать и с помощью скрипта вот с таким содержимым:

    @ECHO OFF
    TITLE SEARCH REGEDIT
    COLOR 0A
    ECHO SEARCH.
    chcp 1251 > nul
    TIME /t > C:\Search_Reg.txt
    ECHO HKLM >> C:\Search_Reg.txt
    REG QUERY HKLM /f ping /s >> C:\Search_Reg.txt
    TIME /t >> C:\Search_Reg.txt
    ECHO HKCU >> C:\Search_Reg.txt
    REG QUERY HKCU /f ping /s >> C:\Search_Reg.txt
    TIME /t >> C:\Search_Reg.txt
    ECHO HKCR >> C:\Search_Reg.txt
    REG QUERY HKCR /f ping /s >> C:\Search_Reg.txt
    TIME /t >> C:\Search_Reg.txt
    ECHO HKU >> C:\Search_Reg.txt
    REG QUERY HKU/f ping /s >> C:\Search_Reg.txt
    TIME /t >> C:\Search_Reg.txt
    ECHO HKCC >> C:\Search_Reg.txt
    REG QUERY HKCC /f ping /s >> C:\Search_Reg.txt
    TIME /t >> C:\Search_Reg.txt

    В результате чего у вас на диске C:\Search_Reg.txt по которому вы так же легко осуществите поиск.

    поиск по реестру-17

    Поиск в реестре Windows через PowerShell

    В PowerShell можно воспользоваться вот такой конструкцией:

    Get - ChildItem - path HKLM : \ - Recurse | where < $_ . Name - match 'VMware' >| Out-File C:\scripts\regedit.txt

    поиск по реестру в PowerShell

    Популярные Похожие записи:

    2 Responses to Поиск в реестре windows, лучшие методы

    Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

    Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

    Что такое реестр Windows простыми словами.

    Большинство команд лучше выполнять, запустив командную строку от имени администратора. Для этого найдите ее по ключу cmd - кликните по файлу правой кнопкой мыши - выберите Запустить от имени администратора. Или в Windows 10 правой кнопкой по Пуск - Командная строка (администратор).

    Выборка (query)

    reg query HKLM\Software\Microsoft

    * в данном примере будет выведен на экран список веток, которые находятся в HKLM\Software\Microsoft

    Если в пути встречается пробел, необходимо весь путь поместить в кавычки, например:

    reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

    Чтобы вывести все вложенные ветки, запускаем команду с параметром /s:

    reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /s

    Добавление (add)

    reg add <Ключ> /v <Параметр> /t <Тип> /d <Значение>

    Например, добавим настройки использования прокси-сервера для браузера Internet Explorer:

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "192.168.0.15:3128"

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /t REG_SZ /d "<local>"

    * где первая команда включает использование прокси-сервера; вторая прописывает использовать прокси с IP-адресом 192.168.0.15 и портом 3128; третья указывает не использовать прокси для локальных адресов.

    Удаление (delete)

    reg delete <Ключ> /v <Параметр>

    Например, чтобы удалить одну из ранее созданной настройки, вводим следующую команду:

    reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /f

    Чтобы удалить всю ветку с ее параметрами и значениями, вводим такую команду:

    reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /va /f

    Редактирование

    Для редактирования значения нужно выполнить команду на добавление. Если ключ уже существует, команда заменить значение на новое:

    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f

    * в данном примере будет изменено значение ключа ProxyEnable на 0 (или создан с таким значением); ключ f указывает на замену значения без вывода подтверждения.

    Импорт

    Во многих случаях проще выполнить импорт из файла, кликнув по нему дважды. Но, иногда необходимо выполнить импорт из командной строки:

    reg import <путь к файлу>

    reg import C:\Temp\import_proxy_settings.reg

    * в данном примере мы импортировали настройки из файла import_proxy_settings.reg, который находится в каталоге C:\Temp\.

    Краткое описание всех операций

    В данной таблице приведены все возможные операции над коандой REG.

    Операция Описание
    REG QUERY Делает выборку ключей, параметров и значений
    REG ADD Добавляет новую запись (параметр, ключ, значение)
    REG DELETE Удаляет одну или несколько записей
    REG COPY Копирует данные из одной ветки в другую
    REG SAVE Сохраняет ветку со всеми параметрами и значениями в файл
    REG RESTORE Восстанавливает ветку и данные из файла
    REG LOAD Загружает данные в указанную ветку
    REG UNLOAD Выгружает данные из указанной ветки
    REG COMPARE Сравнивает две ветки
    REG EXPORT Экспортирует все подразделы и параметры в файл .reg
    REG IMPORT Импортирует все подразделы и параметры из файла .reg
    REG FLAGS Показывает и устанавливает флаги для ветки

    Подробное описание всех ключей можно увидеть, введя команду reg <операция> /?
    Например: reg add /?

    Registry Finder - бесплатная программа для поиска и редактирования ключей реестра Windows. Один из режимов работы утилиты по функционалу напоминает встроенный в Windows редактор реестра RegEdit. Возможности другого режима сильно превосходят системную утилиту от Microsoft. Эти возможности заключаются в более продуманном и удобной инструменте поиска и вывода ключей реестра.

    Registry Finder просмотр

    Registry Finder дает возможность максимально продуктивно просматривать и производить необходимые действия с локальный реестром Windows. Например проводить поиск, замену, создание и редактирование значений в реестре в качестве естественного типа данных (string, multistring, DWORD) или в виде двоичных данных.

    Registry Finder редактор значения

    В интерфейсе Registry Finder реализована поддержка вкладок, что дает возможность одновременно в одной вкладке отобразить реестр в древовидном (раскрывающимся) виде, а в другой вкладке с помощью инструмента поиска работать с отфильтрованными по Вашему запросу ветвями реестра.

    Большое внимание разработчика было уделено инструментам "поиска" и "замены". С помощью замены Вы сможете разом все вхождения одной строки заменить на другую строку. Также просто при необходимости можно найти и отобразить все связанные с Вашим запросом записи реестра. Найденные "ветви" отображаются в виде списка в главном окне программы. Достаточно вызвать контекстное меню кликом правой кнопки мыши и перед Вами откроется ряб доступных действий над этим значением.

    Registry Finder search value

    Утилита Registry Finder позволяет экспортировать значения любых указанных вами ключей для последующего просмотра или восстановления.

    Читайте также: