Tweet
Windows Registry là gì?
Windows Registry là một cơ sở dữ liệu phân cấp trung tâm, nơi hệ điều hành Microsoft Windows lưu trữ tất cả thông tin cần thiết để cấu hình hệ thống cho người dùng, ứng dụng và thiết bị phần cứng.
Registry chứa thông tin mà Windows liên tục tham chiếu trong quá trình hoạt động, ví dụ:
Cấu trúc Registry
Registry được tổ chức theo dạng hệ phân cấp (hierarchical). Thành phần cao nhất gọi là Hive. Mỗi Hive được ánh xạ đến một tệp nhị phân trong hệ thống tệp, chứa cơ sở dữ liệu của các key và value.
Các Hive quan trọng:
Registry Editor
Để chỉnh sửa registry, Windows cung cấp công cụ regedit.exe. Người quản trị có thể mở bằng cách vào Start > gõ regedit.
Cách duyệt registry giống Windows Explorer: panel trái hiển thị hives và key, panel phải hiển thị các giá trị (value) của key đã chọn.
Ví dụ:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Wind ows\CurrentVersion\Run
→ Key này quyết định ứng dụng nào tự khởi động khi người dùng đăng nhập. Đây cũng là nơi malware thường thêm vào để khởi chạy mỗi khi reboot.
Key và Value
Một Registry Key tương tự như thư mục, có thể chứa subkey hoặc value. Các value có nhiều loại dữ liệu, phổ biến nhất:
Ví dụ: thêm một giá trị kiểu REG_SZ trong key Run để chỉ định đường dẫn Notepad.exe → ứng dụng sẽ tự chạy khi user login.
Khía cạnh bảo mật của Registry
Registry có vai trò quan trọng đối với bảo mật hệ thống. Một số điểm đáng chú ý:
Lời khuyên thực tế
Anh sẽ viết câu hỏi trắc nghiệm review giống trong tài liệu để các bạn tự luyện:
Hãy ghép đúng Hive với mô tả:
Windows Registry là một cơ sở dữ liệu phân cấp trung tâm, nơi hệ điều hành Microsoft Windows lưu trữ tất cả thông tin cần thiết để cấu hình hệ thống cho người dùng, ứng dụng và thiết bị phần cứng.
Registry chứa thông tin mà Windows liên tục tham chiếu trong quá trình hoạt động, ví dụ:
- Hồ sơ (profile) của từng người dùng.
- Các ứng dụng đã cài đặt.
- Các loại tài liệu và phần mềm có thể mở/chỉnh sửa.
- Cấu hình phần cứng, driver, cổng đang sử dụng.
- Các thiết lập hiển thị, control panel.
Cấu trúc Registry
Registry được tổ chức theo dạng hệ phân cấp (hierarchical). Thành phần cao nhất gọi là Hive. Mỗi Hive được ánh xạ đến một tệp nhị phân trong hệ thống tệp, chứa cơ sở dữ liệu của các key và value.
Các Hive quan trọng:
- HKEY_CURRENT_USER (HKCU): Dữ liệu của user hiện đang đăng nhập.
- HKEY_USERS (HKU): Thông tin của tất cả tài khoản user trên máy.
- HKEY_CLASSES_ROOT (HKCR): Liên quan đến file associations và Object Linking & Embedding (OLE).
- HKEY_LOCAL_MACHINE (HKLM): Lưu trữ thông tin hệ thống, cấu hình phần cứng, driver.
- HKEY_CURRENT_CONFIG (HKCC): Thông tin về cấu hình phần cứng hiện tại.
Registry Editor
Để chỉnh sửa registry, Windows cung cấp công cụ regedit.exe. Người quản trị có thể mở bằng cách vào Start > gõ regedit.
Cách duyệt registry giống Windows Explorer: panel trái hiển thị hives và key, panel phải hiển thị các giá trị (value) của key đã chọn.
Ví dụ:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Wind ows\CurrentVersion\Run
→ Key này quyết định ứng dụng nào tự khởi động khi người dùng đăng nhập. Đây cũng là nơi malware thường thêm vào để khởi chạy mỗi khi reboot.
Key và Value
Một Registry Key tương tự như thư mục, có thể chứa subkey hoặc value. Các value có nhiều loại dữ liệu, phổ biến nhất:
- REG_SZ: Chuỗi ký tự (string).
- REG_BINARY: Dữ liệu nhị phân.
- REG_DWORD: Giá trị số (32-bit hoặc 64-bit).
Ví dụ: thêm một giá trị kiểu REG_SZ trong key Run để chỉ định đường dẫn Notepad.exe → ứng dụng sẽ tự chạy khi user login.
Khía cạnh bảo mật của Registry
Registry có vai trò quan trọng đối với bảo mật hệ thống. Một số điểm đáng chú ý:
- Persistence của malware: nhiều phần mềm độc hại thêm entry vào key Run hoặc RunOnce để tự khởi động.
- Phân tích forensics: Registry ghi lại nhiều hoạt động của user và ứng dụng. Ví dụ: kiểm tra key HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR sẽ thấy lịch sử các USB đã cắm vào hệ thống, bao gồm vendor, product number và serial number. Đây là thông tin cực kỳ hữu ích trong điều tra số.
Lời khuyên thực tế
- Người dùng thông thường không nên chỉnh sửa registry nếu không có kinh nghiệm, vì chỉ cần thay đổi sai một key quan trọng có thể khiến hệ thống không khởi động được.
- Với quản trị viên hệ thống và chuyên gia bảo mật, registry là một nơi bắt buộc phải nắm rõ để cấu hình hệ thống, gỡ sự cố, hoặc điều tra malware.
- Khi nghi ngờ máy bị nhiễm mã độc, ngoài việc kiểm tra tiến trình đang chạy, đừng quên kiểm tra registry keys liên quan đến startup.
Anh sẽ viết câu hỏi trắc nghiệm review giống trong tài liệu để các bạn tự luyện:
Hãy ghép đúng Hive với mô tả:
- Lưu dữ liệu của user hiện đang đăng nhập → HKCU
- Thông tin về tất cả user account → HKU
- File association và OLE → HKCR
- Thông tin hệ thống, driver, phần cứng → HKLM
- Cấu hình phần cứng hiện tại → HKCC
Attached Files