Windows Registry Hives: En Dybdegående Guide

23/04/2015

★★★★★Rating: 4.07 (14075 votes)

Windows-registreringsdatabasen kan virke som en kompleks og skræmmende del af operativsystemet for mange brugere. Den fungerer som Windows' centrale nervesystem, en hierarkisk database, der gemmer kritiske oplysninger til konfiguration af systemet for brugere, applikationer og hardwareenheder. For at gøre denne enorme mængde data håndterbar, er den organiseret i logiske grupper af nøgler, undernøgler og værdier. Disse grupper, der er gemt i separate filer på disken, kaldes for en Registry Hive. At forstå, hvad en hive er, og hvilken information den indeholder, er afgørende for systemadministration, fejlfinding og især inden for cybersikkerhed og digital efterforskning.

Where are the hives located in Windows 10? — The registry contains the following 5 core hives (or root keys): You can view the registry by searching for “registry” via the Windows search bar or by simply pressing Windows Key + R and typing “regedit”. The registry hives can also be located via the following directory: C:\Windows\System32\config HKCR is the abbreviation for this Hive.

Denne artikel vil afmystificere Windows Registry Hives. Vi vil udforske, hvad de præcist er, hvor de er placeret på dit system, og vi vil dykke ned i de specifikke oplysninger, som hver kerne-hive indeholder. Uanset om du er en nysgerrig superbruger, en IT-professionel eller en sikkerhedsanalytiker, vil denne guide give dig en solid forståelse af en af de mest fundamentale komponenter i Windows-operativsystemet.

Indholdsfortegnelse

Hvad er en Windows Registry Hive?
De 5 Centrale Rodnøgler (Hives)
Hvor er Hive-Filerne Placeret?
Dybdegående Analyse: Den Forensiske Værdi af Hives
Sammenligningstabel: Vigtige Hive-Filer
Ofte Stillede Spørgsmål (FAQ)
Konklusion

Hvad er en Windows Registry Hive?

En Registry Hive er i sin essens en samling af registreringsdatabasenøgler, undernøgler og værdier, der er gemt i en enkelt fil på din harddisk. Man kan forestille sig registreringsdatabasen som et stort træ. Hver gren på træet er en 'nøgle', og disse grene kan have mindre grene, som kaldes 'undernøgler'. På disse grene sidder 'værdierne', som er de faktiske konfigurationsdata. En hive er en stor sektion af dette træ, pakket sammen i én fil. Når Windows starter op, eller en bruger logger ind, indlæses disse hive-filer i hukommelsen, så systemet hurtigt kan få adgang til de nødvendige konfigurationsindstillinger.

Denne struktur er essentiel for Windows' funktion. For eksempel, når en ny bruger logger på en computer for første gang, oprettes en ny hive specifikt for den bruger. Denne 'brugerprofil-hive' indeholder alle de personlige indstillinger for brugeren – lige fra skrivebordsbaggrund og applikationsindstillinger til netværksforbindelser og printere. Dette sikrer, at hver brugers oplevelse er adskilt og tilpasset.

What is a Windows registry hive? — Each Windows registry hive is a file that stores config settings and system/user data, and these are essential sources in forensic investigations. As DFIR expert Chris Ray explains, “Windows Registry is a key source of forensic data because of its function within the system.

De 5 Centrale Rodnøgler (Hives)

Når du åbner Registreringseditor (ved at skrive "regedit" i Start-menuen), vil du se fem hovedkategorier eller rodnøgler. Disse er de primære logiske grupperinger, som Windows bruger til at organisere data. Hver af disse repræsenterer en eller flere hives.

HKEY_CLASSES_ROOT (HKCR): Denne hive håndterer filassociationer. Den fortæller Windows, hvilket program der skal åbnes, når du dobbeltklikker på en fil med en bestemt filtype (f.eks. .docx eller .pdf).
HKEY_CURRENT_USER (HKCU): Indeholder konfigurationsindstillingerne for den bruger, der aktuelt er logget ind. Dette er en 'genvej' til den specifikke brugers hive, som findes under HKEY_USERS.
HKEY_LOCAL_MACHINE (HKLM): Denne massive hive gemmer konfigurationsoplysninger, der gælder for hele computeren, uanset hvem der er logget ind. Dette inkluderer hardwareindstillinger, installerede softwareindstillinger og driverinformation. Flere hive-filer udgør denne sektion.
HKEY_USERS (HKU): Indeholder en undernøgle for hver brugerprofil, der er oprettet på computeren, samt en standardprofil. Når en bruger logger ind, bliver deres specifikke profil fra HKU 'mappet' til HKCU.
HKEY_CURRENT_CONFIG (HKCC): En mindre hive, der indeholder oplysninger om den hardwareprofil, computeren bruger ved opstart.

Hvor er Hive-Filerne Placeret?

Mens registreringseditoren giver en logisk visning af dataene, er de fysiske hive-filer gemt i specifikke mapper på systemdrevet. De fleste systemdækkende hives findes i mappen: C:\Windows\System32\config.

Her er de vigtigste filer i denne mappe:

SAM (Security Account Manager): Indeholder oplysninger om lokale brugerkonti og grupper, herunder brugernavne og hashede adgangskoder. Korresponderer med HKLM\SAM.
SECURITY: Gemmer systemdækkende sikkerhedspolitikker og brugerrettigheder. Korresponderer med HKLM\SECURITY.
SOFTWARE: Indeholder indstillinger for software installeret på systemet for alle brugere. Korresponderer med HKLM\SOFTWARE.
SYSTEM: Gemmer oplysninger om systemets hardwarekonfiguration, installerede tjenester og opstartsindstillinger. Korresponderer med HKLM\SYSTEM.
DEFAULT: Skabelonen for nye brugerprofiler.

Bruger-specifikke hives har deres egen placering. Den vigtigste er NTUSER.DAT, som findes i hver brugers profilmappe (f.eks., C:\Users\<brugernavn>\NTUSER.DAT). Denne fil indlæses som HKEY_CURRENT_USER, når brugeren logger ind.

What is a hive in Windows 10? — A hive is a logical group of keys, subkeys, and values in the registry that has a set of supporting files containing backups of its data.

Dybdegående Analyse: Den Forensiske Værdi af Hives

For cybersikkerhedsanalytikere og digitale efterforskere er registry hives en guldgrube af information. De kan afsløre detaljeret historik om brugeraktivitet, programudførelse og eksterne enheder, der har været tilsluttet systemet. Denne information er uvurderlig, når man skal spore en attackers fodspor eller analysere malware-adfærd.

NTUSER.DAT - Brugerens Digitale Fodspor

Denne hive er central for at forstå en specifik brugers handlinger. Nogle af de vigtigste nøgler inkluderer:

UserAssist: Registrerer hvilke programmer med en grafisk brugerflade (GUI) brugeren har kørt, hvornår de sidst blev kørt, og hvor mange gange de er blevet startet.
RunMRU: Viser de kommandoer, der er blevet indtastet i 'Kør'-dialogboksen (Windows-tast + R).
RecentDocs: Holder styr på nyligt åbnede filer og mapper.
TypedPaths: Gemmer stier, som brugeren manuelt har indtastet i Stifinders adressebar.
MountPoints2: Indeholder information om tilsluttede USB-enheder og netværksdrev.

SYSTEM - Systemets Historik

Denne hive giver indsigt i, hvordan systemet er konfigureret, og hvad der er sket på et hardware-niveau.

Enum\USBSTOR: En detaljeret log over alle USB-lagerenheder, der nogensinde har været tilsluttet computeren. Den gemmer oplysninger som producent-ID, produkt-ID, serienummer og tidspunkter for første og sidste tilslutning. Dette er ekstremt nyttigt for at spore datatyveri.
TCP/IP Interfaces: Viser en historik over netværkskonfigurationer, herunder tildelte IP-adresser, DNS-servere og gateways.
ShimCache (AppCompatCache): En cache, der bruges til at sikre applikationskompatibilitet. Den kan bevise, at en bestemt eksekverbar fil har eksisteret på systemet, og i nogle tilfælde at den er blevet kørt, selv efter filen er slettet.

SOFTWARE - Installerede Applikationer og Netværk

Denne hive sporer software og netværksforbindelser på tværs af hele systemet.

NetworkList: Viser en liste over de netværk, systemet har været forbundet til, sammen med navnet på netværket (SSID for Wi-Fi) og tidspunkter for første og sidste forbindelse.
Microsoft\Windows NT\CurrentVersion\Profilelist: Mapper bruger-SID'er (Security Identifiers) til deres profilmappestier. Dette er nyttigt for at forbinde en brugerkonto med den korrekte NTUSER.DAT-fil.
Run/RunOnce Keys: Ofte brugt af både legitime programmer og malware til at starte automatisk, når en bruger logger ind. En kritisk placering at undersøge for vedvarende trusler (persistence).

Sammenligningstabel: Vigtige Hive-Filer

For at give et hurtigt overblik, er her en tabel, der sammenligner de mest kritiske hive-filer og deres formål.

Hive-Fil	Placering	Indlæses under	Primær Værdi
NTUSER.DAT	C:\Users\<bruger>\	HKEY_CURRENT_USER	Sporer bruger-specifik aktivitet som programkørsel, åbnede filer og søgninger.
SAM	C:\Windows\System32\config	HKEY_LOCAL_MACHINE\SAM	Indeholder information om lokale brugerkonti og adgangskode-hashes.
SYSTEM	C:\Windows\System32\config	HKEY_LOCAL_MACHINE\SYSTEM	Gemmer systemkonfiguration, USB-historik og netværksinterface-detaljer.
SOFTWARE	C:\Windows\System32\config	HKEY_LOCAL_MACHINE\SOFTWARE	Lister systemdækkende installerede applikationer og netværkshistorik.
Amcache.hve	C:\Windows\AppCompat\Programs\	Ikke en del af standard-registreringsdatabasen	Sporer metadata og kørselshistorik for eksekverbare filer, selv efter sletning.

Ofte Stillede Spørgsmål (FAQ)

Er det sikkert at redigere i Windows Registry Hives?

Nej, det anbefales generelt ikke for almindelige brugere. Registreringsdatabasen indeholder kritiske indstillinger, og en forkert ændring kan forårsage alvorlig systeminstabilitet, applikationsfejl eller endda forhindre Windows i at starte. Redigering bør kun udføres af erfarne brugere eller IT-professionelle, som ved præcis, hvad de gør, og som altid tager en backup først.

Hvad er forskellen på HKEY_CURRENT_USER og HKEY_USERS?

HKEY_USERS (HKU) er 'master'-listen, der indeholder profiler for alle brugere, der har en konto på computeren. Hver brugerprofil er identificeret ved en unik Security ID (SID). HKEY_CURRENT_USER (HKCU) er simpelthen en genvej eller et 'spejl' af den specifikke SID-undernøgle i HKU, der tilhører den bruger, som er logget ind i øjeblikket. Alle ændringer i HKCU gemmes reelt i den pågældende brugers profil under HKU.

How many hive keys are there in a registry? — As we said before, the registry is a hierarchical database where information is presented on a number of levels (up to 6). Hive keys are on the first level. There are five hive keys, each of which begins with “HKEY_” and name of a key: There is also the sixth hive key called HKEY_DYN_DATA.

Hvorfor er disse oplysninger så vigtige inden for cybersikkerhed?

Oplysningerne i hives er en detaljeret logbog over næsten alt, hvad der sker på en computer. For en forensisk analytiker er det som at finde et gerningssteds fingeraftryk og DNA. Man kan se, hvilke programmer en hacker har kørt, hvilke filer de har fået adgang til, om de har tilsluttet en USB-enhed for at stjæle data, og hvordan de har oprettet bagdøre for at bevare adgangen til systemet. Uden analyse af registry hives ville digital efterforskning være markant sværere.

Konklusion

Windows Registry Hives er langt mere end blot en samling af konfigurationsfiler; de er rygraden i Windows' drift og et detaljeret arkiv over systemets og dets brugeres historie. At forstå deres struktur, placering og indhold er en fundamental færdighed for enhver, der ønsker at mestre Windows på et dybere niveau. Fra at diagnosticere systemproblemer til at jage cyberkriminelle, giver den viden, der er gemt i disse hives, en enestående indsigt i en computers indre liv. Selvom direkte redigering er risikabelt, er evnen til at læse og fortolke dataene i dem en kraftfuld kompetence.

Hvis du vil læse andre artikler, der ligner Windows Registry Hives: En Dybdegående Guide, kan du besøge kategorien Teknologi.