Как в реестре найти нужную программу?

Поиск в реестре windows, лучшие методы

Поиск в реестре windows, лучшие методы

Добрый день! Уважаемые читатели и гости одного из популярнейших блогов посвященных системному администрированию Pyatilistnik.org. В прошлый раз мы с вами успешно восстановили данные на RAW диске и защищенном GPT разделе, тем самым сохранив свои цифровые активы. Сегодня я вам хочу показать еще одну полезную вещь, которая просто незаменима в практике системного администратора, а именно речь пойдет про поиск в реестре Windows, как его правильнее организовать, какие методы вы можете применять, думаю, что будет интересно.

Методы поиска в реестре Windows

1. Использование классической утилиты regedit (Редактор реестра)
2. Regscanner
3. Registry Finder
4. Через текстовый редактор
5. Через PowerShell

Поиск по редактору реестра

1. Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
2. В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
3. или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

Поиск в реестре Windows через regscanner

Regscanner – это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

1. 1. Для поиска по реестру откройте Regscanner.exe
   2. В окне “Regystry San Options” вы можете выбрать: “Find String” – искомое значение и “Don’t load more than” – количество выводимых строк (максимальное)
   3. Задать временные промежутки, по умолчанию стоит значение “No time filter”, означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
   4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
   5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку “Display only data with the following length range” и выбрав например только RED_DWORD

Нажимаем кнопку “Scan” и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.

• Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле “Find what” пишем то, что хотим искать. В “Top-level-keys” выбираем разделы реестра для поиска.

• Нажав кнопку “Data Types” вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.

• Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку “Search only hidden keys“

• Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.

• Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем “Find”.

На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

• –help – Печатает справочное сообщение.
• –computerName arg – Указывает имя или IP-адрес компьютера для подключения.
• –navigate arg – Определяет раздел реестра для навигации. Если для этого параметра установлено значение «буфер обмена», то путь берется из буфера обмена.
• –reopenLocal arg – Восстановить или не открывать ранние локальные окна реестра при запуске Registry Finder (arg: true или false, по умолчанию true).
• –reopenRemote arg – Восстановить или не открывать ранее удаленные окна реестра (arg: true или false, по умолчанию true).
• –dataFolder arg – Определяет папку для хранения настроек и отмены истории.
• –import arg – Импортирует указанный файл .reg в реестр.
• Работа всегда выполняется в отдельном экземпляре (то есть подразумевается –multiInst).
• –importSilent Не отображать подтверждение импорта.
• –multiInst Когда экземпляр Registry Finder уже запущен, запускается новый экземпляр. По умолчанию запущенный экземпляр активируется вместо запуска другого.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне “Редактора реестра” щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:

В результате чего у вас на диске C:Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:

На этом у меня все, мы с вами разобрали массу способов поиска ключей в реестре по нужным параметрам. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

2 Responses to Поиск в реестре windows, лучшие методы

Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

Как узнать, где программа хранит свои настройки в реестре

Описание

Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.

Как узнать, где программа хранит свои настройки в реестре

Для того, чтобы узнать к каким разделам реестра обращается программа в процессе работы, мы воспользуемся бесплатным инструментом под названием Process Monitor, который можно скачать с официального сайта по следующей ссылке: https://download.sysinternals.com/files/ProcessMonitor.zip

После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe

После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку “Agree“

Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe .

Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe , для этого мы выбираем пункт меню “Filter” и в нем опцию с одноименным названием “Filter. “.

После чего выбираем из раскрывающегося меню пункт “Process Name“, вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку “Add“, чтобы наш фильтр добавился:

Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку “Apply” и потом на “OK“, для закрытия окна настроек.

В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы:

Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.

5 способов открыть редактор реестра (в любой Windows!), даже если он заблокирован

Доброго времени суток.

Довольно часто в своих статьях я ссылаюсь на то, что вот это и вот то нужно изменить в реестре, один параметр отредактировать, другой уточнить и пр.

Между тем, многие пользователи не представляют, как его открыть (да и не всегда получается это просто сделать, особенно в случаях вирусного заражения).

Вообще, системный реестр в Windows — это большая база данных с различными параметрами, которые отвечают за работу системы.

Для его редактирования в системе есть специальный редактор, при запуске которого, на первый взгляд, Вы увидите обычный проводник: также слева каталоги, выбрав которые, можно увидеть, что в них находится.

Редактор реестра (Windows 10). Пример

Таким образом, найдя нужный каталог и отредактировав определенные параметры в нем — можно изменить такие настройки системы, которых нет в открытом доступе, и к которым другим способом просто не добраться!

Важно!

Не изменяйте и не удаляйте из реестра параметры, с которыми вы не знакомы, и не знаете за что они отвечают. Очень легко, изменив что-то не то, убить систему.

Открываем редактор реестра

Способ 1: через окно выполнить

Наверное, это один из самых простых и универсальных способов открыть редактор реестра (работает в Windows XP/7/8/10) . Распишу все действия по шагам:

1. сначала жмете сочетание кнопок WIN+R (плюс нажимать не нужно) ;
2. в левом углу должно показаться небольшое окно “Выполнить” в котором будет одна строка “Открыть” (пример на скрине ниже) ;

теперь в строку “Открыть” пишите команду regedit и жмите клавишу Enter;

Открываем редактор реестра через окно выполнить // Windows 10

если появиться окно с вопросом по поводу разрешений на внос изменений — нажмите “Да”;

Разрешить этому приложению вносить изменения

Способ 2: через командную строку

Сначала открываем 👉 командную строку — самый простой способ найти ярлык для ее запуска в меню ПУСК (в Windows 10 удобно для этого использовать ПОИСК, см. пример на скрине ниже);

Запуск командной строки в Windows 10

в командной строке нужно ввести regedit (всё ту же команду ☝) и нажать клавишу Enter. Должен открыться редактор реестра.

Командная строка – команда regedit

Способ 3: через системную папку

В зависимости от вашей версии Windows и ее настроек, файл regedit может находиться в различных папках:

1. C:WindowsSysWOW64 (самый распространенный вариант по умолчанию, в Windows 10) ;
2. C: WindowsSystem32
3. C: Windows

Дальше всё просто: открываем проводник (либо другой коммандер) , переходим в системную папку, находим файл regedit и открываем его как обычную программу. Пример представлен на скрине ниже 👇.

Находим regedit через проводник

Способ 4: через поиск в Windows

В Windows 10 можно нажать на значок с лупой возле меню ПУСК и ввести в поисковую строку regedit — среди найденных результатов увидите ярлык для запуска редактора (см. пример ниже) .

Поиск regedit через меню ПУСК

Кроме этого, можно запустить проводник (клавиши Win+E) , затем открыть системный диск с Windows (обычно C:) и в строке поиска также ввести regedit — через некоторое время увидите ссылку на запуск редактора реестра (пример ниже).

Поиск regedit на системном диске в проводнике

Способ 5: с помощью спец. утилит

Утилит для работы с реестром — сотни! В этой статье предлагаю вашему вниманию одну из лучших (на свой скромный взгляд).

Reg Organizer

Очень удобная утилита для наведения порядка в системном реестре. Позволяет удалить мусорные и ошибочные данные из него, дефрагментировать и сжать, сделать снимки (чтобы сравнивать изменения в реестре ДО и ПОСЛЕ установки какой-либо программы) и пр.

Также позволяет редактировать реестр, не открывая встроенный в Windows редактор. Утилита полностью переведена на русский язык, поддерживает Windows 7/8/10 (32/64 bits).

После установки и запуска Reg Organizer, откройте меню “Инструменты” и нажмите по ссылке “Редактор реестра” (см. скриншот ниже) .

Инструменты – редактор реестра / Reg Organizer

Собственно, далее можно работать с параметрами реестра как в классическом редакторе. Также добавьте сюда то, что в Reg Organizer есть дополнительные инструменты: более удобный поиск, возможность делать снимки, есть избранное и пр.

Редактор реестра в утилите Reg Organizer

Что делать, если реестр заблокирован и не открывается

Во-вторых, попробуйте открыть реестр через утилиту Reg Organizer (которую я советовал в 5 способе, парой строк выше).

В-третьих, скачайте антивирусную утилиту AVZ к себе на компьютер (она поможет восстановить систему в нормальный рабочий лад).

👉 В помощь!

Про AVZ (где скачать, какие плюсы, и что это) можете узнать в одной из моих статей.

Далее запустите AVZ и откройте меню “Сервис/Системные ресурсы” — в этом меню будет ссылка на запуск редактора реестра. Попробуйте открыть его (пример показан на скриншоте ниже) .

Сервисная утилита AVZ – попытка открыть редактор

Если открыть не получилось, войдите в меню “Файл” и нажмите по ссылке “Восстановление системы” (см. скрин ниже) .

Файл – восстановление системы / AVZ

Далее необходимо отметить галочками все те параметры, которые вы хотите восстановить (среди них есть и нужный нам, а именно “Разблокировка реактора реестра” , см. на скрине ниже — помечен желтым цветом) .

Кстати, AVZ выручает во многих случаях, поэтому рекомендую вам не ограничиваться одним пунктом.

Разблокировка редактора реестра

Собственно, после процедуры восстановления и перезагрузки компьютера, рекомендую вам проверить его на вирусы всё в той же утилите AVZ (причем, даже несмотря на наличие у вас в системе антивируса) .

Для антивирусной проверки в AVZ необходимо указать диски, указать методы лечения найденных вирусов, и нажать кнопку ПУСК. Пример представлен на скрине ниже.

Антивирусная проверка системы в AVZ

Собственно, после подобной процедуры восстановления — редактор реестра начинает открываться в нормальном режиме.

PS

Также, как вариант, можно попробовать запустить систему в безопасном режиме и открыть редактор из-под него.

Если и это не помогло, возможно стоит рассмотреть вариант переустановки Windows.

У меня пока всё. Дополнения по теме приветствуются.