Ministerul Educaiei al Republicii Moldova

Universitatea Tehnic a Moldovei

Catedra: Automatic i Tehnologii Informaionale

RAPORT
Lucrare de laborator Nr.5
la Metode i mijloace de protecie a informaiei
Tema: Operarea cu Windows Registry

A efectuat:

st.gr.SI-121
D.Stratan

A verificat:

conf.univ.dr.hab
D.Postovan

Chiinu 2014

Scopul lucrrii: Abiliti de detectare a programelor malware utiliznd Windows

Registry.
Registry conine informaii pe care Windows le acceseaz continuu n timpul
funcionrii, cum ar fi profilurile fiecrui utilizator, aplicaiile instalate pe
calculator i tipurile de documente ce pot fi create de aplicaii, setrile de
proprieti pentru foldere i pictogramele de aplicaii, ce hardware exist n sistem
i porturile care sunt utilizate.
Fereastra editorului de regitri (Registry Editor se lanseaz cu comanda regedit
introdus n opiunea Run) este prezentat n figura de mai jos i prezint ntr-o
manier unificat sistemul de regitry ai sistemului de operare.

O analogie util n modul de nelegere a structurii registry-ului a sistemului de

operare este comparaia ntre acesta i Windows Explorer (WE). Poriunea din
stnga a ferestrei Registry Editor este asemntoare Explorer Bar-ului din WE.
Cheile i subcheile ce aparin celor 5 seciuni sunt asemntoare folderelor i
subfolderelor WE, iar o cheie este similar fiierului dintr-un folder. Poriunea din
dreapta ferestrei Registry Editor este asemntoare ferestrei de coninut din WE i
conine valoarea cheii (numele fiierului), tipul acesteia (extensia fiierului) i data
(coninutul fiierului).
Sistemul de registry este structurat pe 5 seciuni. n tabelul de mai jos este
prezentat rolul fiecreia dintre cele 5 chei.

Registry memoreaz i orice operaiune realizat de utilizatorul calculatorului

(ultimele pagini Web vizitate, ultimele documente accesate, comenzile executate
din Run, stick-urile de memorie utilizate, echipamentele hardware conectate la
calculator, etc). De asemenea se memoreaz ultima structur de registry care
asigur funcionarea corect a sistemului de operare. Atunci cnd s-a produs o
eroare neateptat i eventual sistemul s-a nchis pentru a preveni o degradare i
mai accentuat a sistemului de operare, la pornirea calculatorului se apas tasta F8
i se alege varianta de lansare a Windows-ului Last Known Good Configuration.
Aceast opiune implic tergerea unei chei din registry.
Programul Malware, ca i orice aplicaie are necesitatea de startare. De aceea, el
folosete deseori registry, n special, seciunile Run.
n registry Editor seciunea HKEY_LOCAL_MACHINE, selectai ramura
Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon.
n jumtatea dreapt a ferestrei se afieaz o list de chei pentru o aceast
ramur. Gsesc cheia Userinit i verific coninutul

Inainte de a modifica cheia fac o copie de rezerve a ramurii cu ajutorul comenzii

File ->export

n mod normal, valoarea cheie userinit este C: \ WINDOWS \ system32 \

userinit.exe. Prezena altor nregistrri pot indica prezena de malware pe
calculator. Pentru a modifica (terge) nregistrrile suspecte din cheie, executai
clic dublu pe butonul din stnga al mouse-ului. Dup editare, facei clic pe OK .

Apoi, accesez folderul n care se afl fiierul suspect i il sterg manual.

Dup aceasta, restartez calculatorul. Controlez din nou nregistrrile din
cheie, dac nregistrarea suspect nu a aprut din nou sistemul a fost
devirusat.
n registry, Startup-ul este prezent n mai multe ramuri:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Run - programe care starteaz la logare.
Aceast seciune conine programele a tuturor utilizatorilor din sistem.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\RunOnce - programe care starteaz o singur dat la
intrarea utilizatorului n sistem. Dup aceasta cheile programelor sunt
eliminate automat. Aceast seciune conine programele a tuturor
utilizatorilor din sistem.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\RunOnceEx - programe care starteaz o singur dat cnd
se carc sistemul. Aceast seciune este utilizat la instalarea
programelor. Dup aceasta cheile programelor sunt eliminate automat.
Aceast seciune conine programele a tuturor utilizatorilor din sistem.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe
rsion\Run - programe care starteaz la intrarea utilizatorului curent n
sistem.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe
rsion\RunOnce - programe care starteaz o singur dat la intrarea
utilizatorului curent n sistem. Dup aceasta cheile programelor sunt
eliminate automat.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\RunServices - programe care starteaz la pornirea
sistemului pn la logarea utilizatorului.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\RunServicesOnce - programe care starteaz o singur dat
la pornirea sistemului.
n registry editor accesez ramura:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru
n
n partea dreapt a ferestrei, executai clic dreapta i alegei String Value
i ntroduc un nou parametru - Paint

Execut dublu clic pe parametrul - Paint, i ntroduc calea spre aceast aplicaie
C:\WINDOWS\System32\mspaint.exe

Dupa resetarea sistemului aplicatia Paint se va porni automat dupa incarcarea

sistemului .
Dac dorim s aflam versiunea BIOS din registry, urmam ramura:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS

n curs, pentru scanarea Windows Registry se propune utilitarul jvl6 Power Tools
2012 din sursa - http://www.macecraft.com

Execut clic - Clean and fix my computer

Dupa scanare apare o fereastra cu lacunele depistate

Concluzie:
Registrul este o component de baza n windows de care depinde buna lui
funcionare, iar pentru modificarea lui este necesar sa avem nite cunotine de
baz. La fel din registry putem dezactiva un malware depistat anterior fr s avem
nevoie de un program antivirus.