У глупости, совершённой перфекционистом, не бывает изъянов

Редактирование реестра Windows из Linux

29.01.13 20:32 / Обновлено 29.01.13 20:32 | Версия для печати

Linux | Windows | Твики | Копипаст

В рамках проекта HIVEXFS подготовлен FUSE-модуль для монтирования реестра Windows к любому каталогу и дальнейшей работы с реестром как с древовидной ФС. На данный момент HIVEXFS уже используется в Dr.Web LiveCD, на котором найденные реестры монтируются посредством autofs в каталог /reg.

Каталоги соответствуют разделам реестра, файлы — параметрам, содержимое файла — значению соответствующего параметра. Параметр по умолчанию обозначается файлом «@», тип параметра определяется через расширенные атрибуты файла. Значения параметров, имеющие типы REG_SZ, REG_EXPAND_SZ, REG_LINK REG_DWORD или REG_QWORD, автоматически конвертируется в текст (UTF-8) и обратно.

Для монтирования реестра используется утилита hivexfs. В качестве первого аргумента указывается точка монтирования windows-диска, второй аргумент — пустой каталог:

sudo hivexfs /mnt/windows /mnt/registry

Примеры использования:

Создадим параметр NEW_VALUE типа REG_SZ:

echo qwerty > NEW_VALUE

Посмотрим реальное содержимое:

attr -qg value NEW_VALUE |hexdump -C
00000000 71 00 77 00 65 00 72 00 74 00 79 00 0a 00 00 00 |q.w.e.r.t.y. |

Как видим это строка в кодировке UTF-16LE, в конце завершается двумя нулями.

Преобразуем в тип REG_DWORD:

attr -s type -V reg_dword NEW_VALUE
attr_set: Недопустимый аргумент
Could not set «type» for NEW_VALUE

Выдана ошибка, так как строка в число не переводится, попробуем снова:

echo 12345 > NEW_VALUE
Attribute «type» set to a 9 byte value for NEW_VALUE : reg_dword

attr -g type NEW_VALUE
Attribute «type» had a 9 byte value for NEW_VALUE : REG_DWORD

attr -g size NEW_VALUE
Attribute «size» had a 1 byte value for NEW_VALUE : 4

cat NEW_VALUE
12345

Поддерживаемые операции:

Посмотреть доступный список типов параметра:

Посмотреть тип параметра можно командой:

getfattr -n user.type [value]

attr -g type [value]

Реальный размер параметра:

getfattr -n user.size [value]

attr -g size [value]

Реальное побайтное содержимое параметра:

getfattr —only-values -n user.value [value]

attr -qg value [value]

Копировать лучше командой ln (link), тогда копируются все атрибуты параметра.
Команда cp использует вызовы read и write, которые строковые и числовые ключи перекодируют на лету, в UTF-8 и обратно. Так что cp — это весьма накладно + он ничего не знает о типе параметра. Рекурсивно скопировать раздел можно командой

cp -Rl [path1] [path2]

По умолчанию создаётся тип REG_SZ, если параметр модифицируется, то его тип не меняется. Сменить тип параметра можно командой:

setfattr -n user.type -v [new_type] [value]

attr -s type -V [new_type] [value]

Модификация типа возможна для параметров: REG_SZ, REG_EXPAND_SZ, REG_LINK, REG_BINARY, REG_DWORD, REG_QWORD. В случае невозможности модификации типа — возвращается ошибка.

Если что-то сделали не так, то отменить изменения можно убив процесс hivexfs, тогда демонтирования не будет и изменения в силу не вступят.

Есть ограничение: невозможно создать раздел или параметр с именем, содержащим национальные символы.

Редактирование реестра Windows из Ubuntu

Тем, кто занимается администрированием Windows, Ubuntu тоже может послужить хорошую службу в качестве «спасательной» рабочей среды, которую можно запустить с диска или USB-флэшки, например, на зараженном вирусом компьютере, чтобы провести «оперативное лечение».

Тут можно и проверить файловые системы на ошибки, и отредактировать разделы жесткого диска, и внести правки в файлы, и даже сбросить пароль Windows! А сегодня хочу рассказать еще об одной интересной возможности — редактировании реестра Windows из Ubuntu.

Для чего может понадобиться редактировать реестр из Ubuntu? Элементарный пример: вирус заблокировал Windows — в систему войти невозможно.

Необходимо найти и удалить блокиратор из автозагрузки Windows, но сделать это в самой Windows — невозможно. Что же остается делать?

Загружаемся с диска Ubuntu, USB-флэшки Ubuntu или устанавливаем Ubuntu второй системой.

Открываем терминал (CTRL+ALT+T). Устанавливаем пакет chntpw:

Теперь нам необходимо подключить диск с Windows к системе. Для начала, определимся где он и как называется:

ищем раздел NTFS с нужным размеров (вы ведь знаете, какого размера у вас диск C: ?). Смотрим как он называется (будет что-то вроде: /dev/sda2) и далее выполняем:

sudo mount /dev/sda2 /media/windows

где заменяем /dev/sda2 на свой вариант.

Запускаем утилиту для редактирования реестра Windows:

chntpw -l /media/windows/Windows/system32/config/software

Редактирование осуществляется перемещением по веткам реестра, по аналогии с папками — командой cd, например:

cd MicrosoftWindows NTCurrentVersionWinlogon

просмотр ключей в текущей ветке — команда dir. ключи редактируются командой ed, например:

Существуют ли программы под Linux для редактирования системного реестра Windows?

В общем, есть ли такое вообще?

Унесено в talks, ибо проект исчез с гитхаба.

И где его теперь искать?

Исчез проект файловой системы HIVEXFS, использующей HIVEX. Сам HIVEX никуда не исчез, всё так же в составе libguestfs.

app-crypt chntpw 110511 Offline Windows NT Password & Registry Editor

app-misc hivex 1.3.7 Library for reading and writing Windows Registry ‘hive’ binary files

Установил. Оно без графического интерфейса что-ли?

а с GUI ничего не существует?

дык regedit идет в комплекте с wine и отлично работает.

он не открывает файлы реестра Windows 7 почему-то

потому, что реестр не нужен

Помню в сборке с касперским что-то такое было.

Видел на DrWeb Live, но не пользовался — ненужно.

существуют, но не нужны.

сказал бы хоть названия что-ли

Текстовый редактор. Я серьезно.

я пользовал KAV 2012 Rescue CD, там в составе была тулза для копания в реестре винды.. помоему это какой-то их самописный проджект.

а отдельно его нет? Лайвсиди я могу и виндовый использовать, но хочется чинить винду из-под загруженной Убунты.

не знаю, зайди к ним на сайт, может они распространяют эту штуку отдельно

Нет конечно, ибо им смысла нет.

Редкктировать текстовым редактором бинарные файлы? Ну-ну… Может HEX редактор всё таки?

Может хватит гнать-то? Вот эти «Ну-ну» или от снобизма, или от обскурантизма. Если ты реестор не знаешь и формат бинаря — тебе HEX не поможет. Если знаешь сам реестр, можешь написать .reg (на край бэкап из .sav нужного улья можно на другой винде открыть и сдампить — отличаться он будет несильно, и как правило в лучшую сторону) и отредактировать как тебе надо, а потом так же к реестру результат применить.

Редактирование реестра Windows из Ubuntu

Тем, кто занимается администрированием Windows, Ubuntu тоже может послужить хорошую службу в качестве «спасательной» рабочей среды, которую можно запустить с диска или USB-флэшки, например, на зараженном вирусом компьютере, чтобы провести «оперативное лечение». Тут можно и проверить файловые системы на ошибки, и отредактировать разделы жесткого диска, и внести правки в файлы, и даже сбросить пароль Windows! А сегодня хочу рассказать еще об одной интересной возможности — редактировании реестра Windows из Ubuntu.

http://vvc23.ru анализ сайта pinupbet.

Для чего может понадобиться редактировать реестр из Ubuntu? Элементарный пример: вирус заблокировал Windows — в систему войти невозможно. Необходимо найти и удалить блокиратор из автозагрузки Windows, но сделать это в самой Windows — невозможно. Что же остается делать?

1. Загружаемся с диска Ubuntu, USB-флэшки Ubuntu или устанавливаем Ubuntu второй системой.

2. Открываем терминал (CTRL+ALT+T). Устанавливаем пакет chntpw:

sudo apt-get install chntpw

3. Теперь нам необходимо подключить диск с Windows к системе. Для начала, определимся где он и как называется:

ищем раздел NTFS с нужным размеров (вы ведь знаете, какого размера у вас диск C: ?). Смотрим как он называется (будет что-то вроде: /dev/sda2) и далее выполняем:

sudo mkdir /media/windows
sudo mount /dev/sda2 /media/windows

где заменяем /dev/sda2 на свой вариант.

4. Запускаем утилиту для редактирования реестра Windows:

chntpw -l /media/windows/Windows/system32/config/software

Редактирование осуществляется перемещением по веткам реестра, по аналогии с папками — командой cd, например:

cd Microsoft/Windows NT/CurrentVersion/Winlogon

просмотр ключей в текущей ветке — команда dir. ключи редактируются командой ed, например:

Сброс пароля, редактирование реестра Windows из Ubuntu

Редактирование реестра:

1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu

2. Устанавливаем утилиту chntpw

3. Подключаем раздел windows

4. Редактируем реестр

chntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed Shell

Сброс пароля:

1. Пункты 1-3 предыдущего параграфа

4. Смотрим у какого пользователя будем менять пароль

5. Сбрасываем пароль

chntpw /media/windows/Windows/system32/config/SAM -u Administrator

Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe»
«Userinit»=»C:\WINDOWS\system32\userinit.exe»

Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\.

Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями
Очистка windows от вирусов с помощью Ubuntu