Windows -registret^(Registry) är en samling av konfigurationer, värden och egenskaper för Windows-applikationer samt Windows-operativsystemet som är organiserat och lagrat på ett hierarkiskt sätt i ett enstaka arkiv.

När ett nytt program installeras i Windows- systemet, görs en post i Windows-registret^{(Windows Registry)} med dess attribut som storlek, version, plats i lagringen, etc.

Vad är Windows-registret och hur det fungerar

Eftersom denna information har lagrats i databasen är inte bara operativsystemet medvetet om vilka resurser som används, andra applikationer kan också dra nytta av denna information eftersom de är medvetna om eventuella konflikter som kan uppstå om vissa resurser eller filer skulle samverka. existera.

Vad är Windows-registret^{(Windows Registry)} och hur^(How) fungerar det?

Windows -registret^{(Windows Registry)} är verkligen hjärtat i hur Windows fungerar. Det är det enda operativsystemet som använder detta tillvägagångssätt för ett centralt register. Om vi skulle visualisera måste varje del av operativsystemet interagera med Windows-registret^{(Windows Registry)} från startsekvensen till något så enkelt som att byta namn på filens namn.

Enkelt^(Simply) uttryckt är det bara en databas som liknar den för en bibliotekskortskatalog, där posterna i registret är som en bunt kort lagrade i kortkatalogen. En registernyckel skulle vara ett kort och ett registervärde skulle vara den viktiga informationen skriven på det kortet. Operativsystemet Windows använder registret för att lagra en mängd information som används för att kontrollera och hantera vårt system och vår programvara. Detta kan vara allt från PC-hårdvaruinformation till användarpreferenser och filtyper. Nästan^(Almost) varje form av konfiguration som vi gör för ett Windows- system innebär att registret redigeras.

Historik för Windows-registret

I de första versionerna av Windows var programutvecklare tvungna att inkludera en separat .ini-filtillägg tillsammans med den körbara filen. Denna .ini-fil innehöll alla inställningar, egenskaper och konfigurationer som krävs för att det givna körbara programmet ska fungera korrekt. Detta visade sig dock vara mycket ineffektivt på grund av redundansen av viss information och det utgjorde också ett säkerhetshot mot det körbara programmet. Som ett resultat var en ny implementering av standardiserad, centraliserad och säker teknik en uppenbar nödvändighet.

Med tillkomsten av Windows 3.1 möttes en bara-bones-version av denna efterfrågan med en central databas gemensam för alla applikationer och system som kallas Windows-registret^{(Windows Registry)} .

Detta verktyg var dock mycket begränsat, eftersom applikationerna bara kunde lagra viss konfigurationsinformation för en körbar fil. Under åren har Windows 95 och Windows NT vidareutvecklats på denna grund och introducerat centralisering som kärnfunktionen i den nyare versionen av Windows-registret^{(Windows Registry)} .

Som sagt, att lagra information i Windows-registret^{(Windows Registry)} är ett alternativ för mjukvaruutvecklare. Så om en mjukvaruapplikationsutvecklare skulle skapa en bärbar applikation, behöver han inte lägga till information till registret, lokal lagring med konfiguration, egenskaper och värden kan skapas och skickas framgångsrikt.

Relevansen av Windows-registret^{(Windows Registry)} med avseende på andra operativsystem

Windows är det enda operativsystemet som använder detta tillvägagångssätt för ett centralt register. Om vi skulle visualisera måste varje del av operativsystemet interagera med Windows-registret^{(Windows Registry)} från startsekvensen till byte av ett filnamn.

Alla andra operativsystem som iOS, Mac OS , Android och Linux fortsätter att använda textfiler som ett sätt att konfigurera operativsystemet och ändra operativsystemets beteende.

I de flesta av Linux- varianterna sparas konfigurationsfilerna i .txt -formatet, detta blir ett problem när vi måste arbeta med textfilerna eftersom alla .txt- filer betraktas som kritiska systemfiler. Så om vi försöker öppna textfilerna i dessa operativsystem, skulle vi inte kunna se dem. Dessa operativsystem försöker dölja det som en säkerhetsåtgärd eftersom alla systemfiler som konfigurationer av nätverkskort, brandvägg, operativsystem, grafiskt användargränssnitt, grafikkortsgränssnitt etc. sparas i ASCII-format.

För att kringgå det här problemet använde både macOS och iOS ett helt annat tillvägagångssätt för textfiltillägget genom att implementera tillägget .plist^{(.plist extension)} , som innehåller all information om systemet såväl som applikationskonfiguration men ändå fördelarna med att ha ett enskilt register långt uppväger den enkla ändringen av filändelsen.

Vilka är fördelarna med Windows-registret^{(Windows Registry)} ?

Eftersom varje^(Every) del av operativsystemet kontinuerligt kommunicerar med Windows-registret^{(Windows Registry)} måste det lagras i mycket snabb lagring. Därför^(Hence) designades denna databas för extremt snabb läsning och skrivning samt effektiv lagring.

Om vi skulle öppna och kontrollera storleken på registerdatabasen, skulle den vanligtvis sväva mellan 15 – 20 megabyte, vilket gör den tillräckligt liten för att alltid laddas in i RAM -minnet ( Random Access Memory ) som för övrigt är den snabbaste lagringen som finns tillgänglig för operativsystemet.

Eftersom registret hela tiden måste laddas i minnet, kommer det inte att lämna tillräckligt med utrymme för att alla andra applikationer ska fungera smidigt eller alls köras om registrets storlek är stor. Detta skulle vara skadligt för operativsystemets prestanda, därför är Windows-registret^{(Windows Registry)} utformat med ett kärnmål att vara mycket effektivt.

Om det finns flera användare som interagerar med samma enhet och det finns ett antal applikationer som de använder är vanliga, skulle ominstallation av samma applikationer två eller flera gånger vara ett slöseri med ganska dyr lagring. Windows -registret utmärker sig i dessa scenarier där applikationskonfigurationen delas mellan olika användare.

Detta minskar inte bara det totala lagringsutrymmet som används utan ger också dess användare tillgång att göra ändringar i applikationens konfiguration från en enda interaktionsport. Detta sparar också tid eftersom användaren inte behöver gå manuellt till varje lokal lagring .ini -fil.

Fleranvändarscenarier^(Multi-User) är mycket vanliga i företagsinställningar, här finns det ett stort behov av åtkomst till användarrättigheter. Eftersom inte all information eller resurser kan delas med alla, implementerades behovet av integritetsbaserad användaråtkomst enkelt genom det centraliserade Windows-registret. Här förbehåller sig nätverksadministratören rätten att undanhålla eller tillåta baserat på utfört arbete. Detta gjorde den singulära databasen mångsidig och gjorde den robust eftersom uppdateringarna kan utföras samtidigt med fjärråtkomst till alla register för flera enheter i nätverket.

Hur fungerar Windows-registret?

Låt oss utforska grundelementen i Windows-registret^{(Windows Registry)} innan vi börjar smutsa ner händerna.

Windows -registret^{(Windows Registry)} består av två grundläggande element som kallas registernyckeln^{(Registry Key)} som är ett containerobjekt eller helt enkelt de är som en mapp som har olika typer av filer lagrade i dem och registervärden^{(Registry Values)} som är icke-containerobjekt som är som filer som kan ha vilket format som helst.

Du bör också veta: ^{(You should also know:)} Hur man tar full kontroll eller äganderätt av Windows-registernycklar^{(How to Take Full Control or Ownership of Windows Registry Keys)}

Hur får jag åtkomst till Windows-registret?

Vi kan komma åt och konfigurera Windows-registret^{(Windows Registry)} med hjälp av ett registerredigeringsverktyg^{(Registry Editor)} , Microsoft inkluderar ett gratis verktyg för registerredigering tillsammans med alla versioner av dess Windows-operativsystem^{(Windows Operating System)} .

Denna registerredigerare^{(Registry Editor)} kan nås genom att skriva "Regedit" i kommandotolken^{(Command Prompt)} eller genom att helt enkelt skriva "Regedit" i sök- eller körrutan från Start - menyn. Den här redigeraren är portalen för åtkomst till Windows -registret och den hjälper oss att utforska och göra ändringar i registret. Registret är den paraplyterm som används av olika databasfiler som finns i katalogen för Windows -installationen.

Hur man kommer åt Registereditorn

kör regedit i kommandotolken shift + F10

Är det säkert att redigera Registereditorn?^{(Is it Safe to edit Registry Editor?)}

Om du inte vet vad du gör är det farligt att leka med registerkonfigurationen^(Registry) . När du redigerar registret^(Registry) , se till att du följer de korrekta instruktionerna och bara ändrar det du uppmanas att ändra.

Om du medvetet eller av misstag tar bort något i Windows-registret^{(Windows Registry)} kan det ändra systemets konfiguration, vilket antingen kan leda till Blue Screen of Death eller så kommer Windows inte att starta.

Så det rekommenderas i allmänhet att säkerhetskopiera Windows-registret^{(backup Windows Registry)} innan du gör några ändringar i det. Du kan också skapa en systemåterställningspunkt^{(create a system restore point)} (som automatiskt säkerhetskopierar registret^(Registry) ) som kan användas om du någonsin behöver ändra registerinställningarna^(Registry) tillbaka till det normala. Men om du bara får det du får höra så borde det inte vara några problem. Om du behöver veta hur du återställer Windows-registret förklarar denna handledning^{(restore Windows Registry then this tutorial)} hur du gör det enkelt.

Låt oss utforska strukturen för Windows-registret^{(Windows Registry)}

Det finns en användare på en otillgänglig lagringsplats som endast finns för operativsystemets åtkomst.

Dessa nycklar^(Keys) laddas på RAM -minnet under systemets startskede och kommuniceras ständigt inom ett visst tidsintervall eller när en viss händelse eller händelser på systemnivå äger rum.

En viss del av dessa registernycklar lagras på hårddisken. Dessa nycklar som lagras på hårddisken kallas bikupor. Det här avsnittet av registret innehåller registernycklar, registerundernycklar och registervärden. Beroende på nivån på den behörighet en användare har beviljats, skulle han få åtkomst till vissa delar av dessa nycklar.

De nycklar som är på toppen av hierarkin i registret som börjar med HKEY anses vara bikupor.

I redigeraren^(Editor) finns bikuporna till vänster på skärmen när alla nycklar visas utan att expandera. Det här är registernycklarna som visas som mappar.

Låt oss utforska strukturen för Windows-registernyckeln och dess undernycklar:

Exempel på ett nyckelnamn – "HKEY_LOCAL_MACHINESYSTEMInputBreakloc_0804"

Här hänvisar "loc_0804" till undernyckeln "Break" hänvisar till undernyckeln "Input" som hänvisar till undernyckeln "SYSTEM" för HKEY_LOCAL_MACHINE rotnyckeln^{(HKEY_LOCAL_MACHINE)} .

Vanliga rotnycklar i Windows-registret^{(Common Root Keys in Windows Registry)}

Var och en av följande nycklar är sin egen individuella bikupa, som omfattar fler nycklar inom nyckeln på översta nivån.

i. HKEY_CLASSES_ROOT

Detta är registret i Windows-registret^{(Windows Registry)} som består av filtilläggsassocieringsinformation, programmatisk identifierare^{(programmatic identifier)} ( ProgID ), gränssnitts-ID^{(Interface ID)} ( IID )-data och klass-ID (CLSID)^{(Class ID (CLSID))} .

Denna register -hive HKEY_CLASSES_ROOT^{(HKEY_CLASSES_ROOT)} är gatewayen för alla åtgärder eller händelser som kan äga rum i Windows -operativsystemet. Anta^(Suppose) att vi vill komma åt några mp3-filer i mappen Nedladdningar . ^(Downloads)Operativsystemet kör sin fråga genom detta för att vidta nödvändiga åtgärder.

I det ögonblick du kommer åt HKEY_CLASSES_ROOT-kuben^{(HKEY_CLASSES_ROOT)} är det verkligen lätt att bli överväldigad av att titta på en så enorm lista med tilläggsfiler. Men dessa är själva registernycklarna som gör att Windows fungerar smidigt

Följande är några av exemplen på HKEY_CLASSES_ROOT hive^{(HKEY_CLASSES_ROOT)} registernycklar,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

När vi dubbelklickar och öppnar en fil, låt oss säga ett foto, skickar systemet frågan via HKEY_CLASSES_ROOT där instruktionerna om vad man ska göra när en sådan fil efterfrågas är tydligt. Så det slutar med att systemet öppnar en bildvisare som visar den begärda bilden.

I exemplet ovan gör registret ett anrop till nycklarna som är lagrade i nyckeln HKEY_CLASSES_ROOT\.jpg . HKEY_CLASSES_ROOT -^{(HKEY_CLASSES_ROOT)} bikupan är en samlad data som finns i både HKEY_LOCAL_MACHINE-kuben^{(HKEY_LOCAL_MACHINE)} ( HKEY_LOCAL_MACHINE\Software\Classes ) och HKEY_CURRENT_USER-kuben^{(HKEY_CURRENT_USER)} ( HKEY_CURRENT_USER\Software\Classes ). Så när registernyckeln finns på två platser skapar det konflikter. Så data som finns i HKEY_CURRENT_USER\Software\Classes används i HKEY_ CLASSES_ ROOT . Den kan nås genom att öppna HKEY_CLASSES- tangenten på vänster sida av skärmen.

ii. HKEY_LOCAL_MACHINE

Detta är en av flera registerbikupor som lagrar alla inställningar som är specifika för den lokala datorn. Detta är en global nyckel där informationen som lagras inte kan redigeras av någon användare eller program. På^(Due) grund av denna undernyckels globala karaktär är all information som lagras i denna lagring i form av en virtuell behållare som körs kontinuerligt på RAM -minnet. ^(RAM)Majoriteten av konfigurationsinformationen för programvaran som användare har installerat och själva Windows - operativsystemet är upptaget i HKEY_LOCAL_MACHINE . All för närvarande upptäckt hårdvara lagras i HKEY_LOCAL_MACHINE-kuben^{(HKEY_LOCAL_MACHINE)} .

Vet också hur man: ^{(Also know how to:)} Fixar Regedit.exe-krascher när du söker genom registret^{(Fix Regedit.exe Crashes when searching through Registry)}

Denna registernyckel är vidare uppdelad i 7 undernycklar:^{(This registry key is further divided into 7 sub-keys:)}

1. SAM ( Security Accounts Manager ) – Det är en registernyckelfil som lagrar användarnas lösenord i ett säkert format (i LM-hash och NTLM- hash). En hashfunktion är en form av kryptering som används för att skydda användarnas kontoinformation.

Det är en låst fil som finns i systemet på C:WINDOWSsystem32config, som inte kan flyttas eller kopieras när operativsystemet körs.

Windows använder registernyckelfilen Security Accounts Manager för att autentisera användare medan de loggar in på sina ^{(Security Accounts Manager)}Windows - konton. Närhelst en användare loggar in använder Windows en serie hashalgoritmer för att beräkna en hash för lösenordet som har angetts. Om det angivna lösenordets hash är lika med lösenordshashen i SAM-registerfilen^{(SAM registry file)} kommer användare att tillåtas komma åt sitt konto. Detta är också en fil som de flesta hackare riktar in sig på när de utför en attack.

2. Säkerhet^{(2. Security)} (inte tillgänglig förutom av administratören) – Denna registernyckel är lokal för kontot för den administrativa användaren som är inloggad på det aktuella systemet. Om systemet hanteras av någon organisation kan användarna inte komma åt den här filen om inte administrativ åtkomst uttryckligen har getts till en användare. Om vi skulle öppna den här filen utan administrativ behörighet skulle den vara tom. Nu, om vårt system är anslutet till ett administrativt nätverk, kommer denna nyckel som standard till den lokala systemsäkerhetsprofil som upprättats och aktivt hanteras av organisationen. Den här nyckeln är kopplad till SAM , så vid framgångsrik autentisering, beroende på användarens behörighetsnivå, tillämpas en mängd olika lokala och grupppolicyer^{(group policies)} .

3. System (kritisk startprocess och andra kärnfunktioner) – Den här undernyckeln innehåller viktig information relaterad till hela systemet såsom datornamn, för närvarande monterade hårdvaruenheter, filsystem och vilken typ av automatiska åtgärder som kan vidtas i en viss händelse, säg där är Blue screen of death på grund av CPU- överhettning finns det en logisk procedur som datorn automatiskt börjar ta vid en sådan händelse. Den här filen är endast tillgänglig för användare med tillräckliga administrativa rättigheter. När systemet startar är det här alla loggar sparas dynamiskt och läses vidare. Olika systemparametrar såsom alternativa konfigurationer som är kända som kontrolluppsättningar.

4. Programvara^{(4. Software )} Här lagras alla programvarukonfigurationer från tredje part^{(Third-party)} som plug and play-drivrutiner. Denna undernyckel innehåller programvara och Windows - inställningar kopplade till den befintliga hårdvaruprofilen som kan ändras av olika applikationer och systeminstallatörer. Mjukvaruutvecklare^(Software) får begränsa eller tillåta vilken information som får åtkomst av användarna när deras programvara används, detta kan ställas in med hjälp av undernyckeln "Policer" som upprätthåller de allmänna användningspolicyerna för applikationer och systemtjänster som inkluderar systemcertifikaten som används för att autentisera, auktorisera eller förbjuda vissa system eller tjänster.

5. Maskinvara^{(5. Hardware)} som är en undernyckel som skapas dynamiskt under systemstarten

6. Komponenter^{(6. Components )} Systemomfattande enhetsspecifik komponentkonfigurationsinformation finns här

7. BCD.dat (i oot-mappen i systempartitionen) som är en kritisk fil som systemet läser och börjar köra under systemets startsekvens genom att ladda registret till RAM -minnet .

iii. HKEY_CURRENT_CONFIG

Den främsta anledningen till att denna undernyckel finns är att lagra video såväl som nätverksinställningar. Det kan vara all information som hör till grafikkortet, såsom upplösning, uppdateringsfrekvens, bildförhållande, etc. samt nätverket

Det är också en registerenhet, en del av Windows-registret^{(Windows Registry)} , och som lagrar information om den hårdvaruprofil som används för närvarande. HKEY_CURRENT_CONFIG är faktiskt en pekare till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry nyckeln. Detta är helt enkelt en pekare till den för närvarande aktiva hårdvaruprofilen listad under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles nyckeln.

Så HKEY_ CURRENT_CONFIG hjälper oss att se och ändra konfigurationen av den aktuella användarens hårdvaruprofil, vilket vi kan göra som administratör på någon av de tre platserna som anges ovan eftersom de alla är likadana.

iv. HKEY_CURRENT_USER

En del av registerbikuporna som innehåller butiksinställningar samt konfigurationsinformation för Windows och programvara som är specifika för den för närvarande inloggade användaren. Till exempel finns en mängd olika registervärden i registernycklarna i HKEY_CURRENT_USER -kuben kontrollinställningar på användarnivå som tangentbordslayout, installerade skrivare, skrivbordsunderlägg, bildskärmsinställningar, mappade nätverksenheter och mer.

Många av inställningarna som du konfigurerar inom olika appletar i kontrollpanelen^{(Control Panel)} lagras i HKEY_CURRENT_USER- registret. Eftersom HKEY_CURRENT_USER -kuben är användarspecifik, på samma dator, kommer nycklarna och värdena i den att skilja sig från användare till användare. Detta är till skillnad från de flesta andra registerbikupor som är globala, vilket innebär att de behåller samma information för alla användare i Windows .

Genom att klicka på den vänstra sidan av skärmen i registerredigeraren får vi tillgång till HKEY_CURRENT_USER . Som en säkerhetsåtgärd är informationen som lagras på HKEY_CURRENT_USER bara en pekare till nyckeln placerad under HKEY_USERS- bikupan som vår säkerhetsidentifierare. Ändringar som görs i något av områdena träder i kraft omedelbart.

v. HKEY_USERS

Den innehåller undernycklar som motsvarar HKEY_CURRENT_USER- nycklarna för varje användarprofil. Detta är också en av många registerbikupor som vi har i Windows-registret^{(Windows Registry)} .

All användarspecifik konfigurationsdata loggas här, för alla som aktivt använder enheten lagras den typen av information under HKEY_USERS . All användarspecifik information som lagras på systemet som motsvarar en viss användare lagras under HKEY_USERS-kuben^(HKEY_USERS) , vi kan unikt identifiera användarna med hjälp av säkerhetsidentifieraren eller SID:et^{(security identifier or the SID)} som loggar alla konfigurationsändringar som användaren har gjort.

Alla dessa aktiva användare vars konto finns i HKEY_USERS-kuben^(HKEY_USERS) beroende på privilegiet som beviljats av systemadministratören skulle kunna komma åt de delade resurserna som skrivare, lokala nätverk, lokala lagringsenheter, skrivbordsbakgrund, etc. Deras konto har ett visst register nycklar och motsvarande registervärden lagrade under den aktuella användarens SID .

När det gäller kriminalteknisk information lagrar varje SID en enorm mängd data om varje användare eftersom det gör en logg över varje händelse och åtgärd som utförs under användarens konto. Detta inkluderar användarens namn^(Name) , antalet gånger användaren loggat in på datorn, datum och tid för senaste inloggning, datum och tid då det senaste lösenordet ändrades, antal misslyckade inloggningar och så vidare. Dessutom innehåller den också registerinformation för när Windows laddas och sitter vid inloggningsprompten.

Rekommenderas: ^{(Recommended:)} Fix Registereditorn har slutat fungera^{(Fix The Registry editor has stopped working)}

Registernycklarna för standardanvändaren lagras i filen ntuser.dat i profilen, att vi skulle behöva ladda detta som en hive med regedit för att lägga till inställningar för standardanvändaren.

Typer av data vi kan förvänta oss att hitta i Windows-registret^{(Types of data we can expect to find in the Windows Registry)}

Alla ovan diskuterade nycklar och undernycklar kommer att ha konfigurationer, värden och egenskaper sparade i någon av följande datatyper, vanligtvis är det en kombination av följande datatyper som utgör hela vårt Windows-register.

Strängvärden som Unicode som^{(Unicode which)} är en datorindustristandard för konsekvent kodning, representation och hantering av text som uttrycks i de flesta av världens skrivsystem.
Binära data
Osignerade heltal
Symboliska länkar
Flersträngsvärden
Resurslista^(Resource) ( Plug and Play -hårdvara)
Resursbeskrivning^(Resource) ( Plug and Play -hårdvara)
64-bitars heltal

Slutsats^(Conclusion)

Windows-registret^{(Windows Registry)} har inte bara varit en revolution, som inte bara har minimerat säkerhetsrisken som följde med att använda textfiler som filtillägg för att spara system- och applikationskonfigurationen, utan det minskade också antalet konfigurations- eller .ini-filer som applikationsutvecklarna var tvungen att skickas med sin mjukvaruprodukt. Fördelarna med att ha ett centraliserat arkiv för att lagra data som ofta används av både systemet och programvaran som körs på systemet är mycket uppenbara.

Lättheten att använda samt tillgången till olika anpassningar och inställningar på en central plats har också gjort Windows till den föredragna plattformen för skrivbordsapplikationer av olika mjukvaruutvecklare. Detta är mycket tydligt om du jämför den stora mängden tillgängliga skrivbordsprogram för Windows med Apples macOS. För att sammanfatta diskuterade vi hur Windows-registret^{(Windows Registry)} fungerar och dess filstruktur och betydelsen av olika registernyckelkonfigurationer samt att använda registerredigeraren till fullo.

What is the Windows Registry & How it Works?

Windows Registry is а collection of configυrations, values, and proрerties of windows applications as well аs the windows operating system which іs organized and stored in a hierarchical manner in a singular reрository.

Whenever a new program gets installed in the Windows system, an entry is made in the Windows Registry with its attributes such as size, version, location in the storage, etc.

What is the Windows Registry and How it Works

Because, this information has been stored in the database, not only the operating system is aware of the resources utilized, other applications can also benefit from this information since they are aware of any conflicts that may arise if certain resources or files were to co-exist.

What is the Windows Registry & How it Works?

The Windows Registry is really the heart of the way Windows works. It is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to something as simple as renaming the file’s name.

Simply put, it is just a database similar to that of a library card catalog, where the entries in the registry are like a stack of cards stored in the card catalog. A registry key would be a card and a registry value would be the important information written on that card. The Windows operating system uses the registry to store a bunch of information that’s used to control and manage our system and software. This can be anything from PC hardware information to user preferences and file types. Almost any form of configuration that we do to a Windows system involves editing the registry.

History of Windows Registry

In the initial versions of Windows, application developers had to include in a separate .ini file extension along with the executable file. This .ini file contained all the settings, properties and configuration required for the given executable program to function properly. However, this proved very inefficient due to the redundancy of certain information and it also posed a security threat to the executable program. As a result, a new implementation of standardized, centralized as well as secure technology was an apparent necessity.

With the advent of Windows 3.1, a bare-bones version of this demand was met with a central database common to all the applications and system called the Windows Registry.

This tool, however, was very limited, since the applications could only store certain configuration information of an executable. Over the years, Windows 95 and Windows NT further developed on this foundation, introduced centralization as the core feature in the newer version of Windows Registry.

That said, storing information in Windows Registry is an option for software developers. So, if a software application developer were to create a portable application, he is not required to add information to the registry, local storage with the configuration, properties, and values can be created and successfully shipped.

The relevance of Windows Registry with respect to other operating systems

Windows is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to the renaming of a file name.

All other operating systems such as iOS, Mac OS, Android, and Linux continue to use text files as a way of configuring the operating system and modifying the operating system behavior.

In most of the Linux variants, the configuration files are saved in the .txt format, this becomes an issue when we have to work with the text files since all the .txt files are considered as critical system files. So if we try to open the text files in these operating systems, we wouldn’t be able to view it. These operating systems try to hide it as a security measure since all the system files such as configurations of the network card, firewall, operating system, graphical user interface, video cards interface, etc. are saved in the ASCII format.

To circumvent this issue both macOS, as well as iOS, deployed a completely different approach to the text file extension by implementing .plist extension, which contains all of the system as well as application configuration information but still the benefits of having a singular registry far outweigh the simple change of file extension.

What are the benefits of the Windows Registry?

Because Every part of the operating system continuously communicates with the Windows Registry, it must be stored in very fast storage. Hence, this database was designed for extremely fast reads and writes as well as efficient storage.

If we were to open and check the size of the registry database, it would typically hover between 15 – 20 megabytes which make it small enough to be always loaded into the RAM (Random Access Memory) that co-incidentally is the fastest storage available for the operating system.

Since the registry needs to be loaded in memory at all times, if the size of the registry is large it won’t leave enough room for all other applications to run smoothly or run at all. This would be detrimental to the performance of the operating system, hence the Windows Registry is designed with a core objective of being highly efficient.

If there are multiple users interacting with the same device and there are a number of applications that they use are common, the reinstallation of the same applications twice or multiple times would be a waste of rather expensive storage. Windows registry excels in these scenarios where the application configuration is shared among various users.

This not only reduces the total storage used but also gives its users access to make changes to the application’s configuration from one single interaction port. This also saves time since the user doesn’t have to manually go to every local storage .ini file.

Multi-User scenarios are very common in enterprise setups, here, there is a strong need for user privilege access. Since not all the information or resources can be shared with everyone, the need for privacy-based user access was easily implemented through the centralized windows registry. Here the network administrator reserves the right to withhold or allow based on the work undertaken. This made the singular database versatile as well made it robust since the updates can be undertaken simultaneously with remote access to all of the registries of multiple devices in the network.

How does Windows Registry Works?

Let’s explore the basics elements of the Windows Registry before we start getting our hands dirty.

The Windows Registry is made up of two basic elements called the Registry Key which is a container object or simply put they are like a folder that has various types of files stored in them and Registry Values which are non-container objects that are like files that could be of any format.

You should also know: How to Take Full Control or Ownership of Windows Registry Keys

How to access the Windows Registry?

We can access and configure the Windows Registry using a Registry Editor tool, Microsoft includes a free registry editing utility along with every version of its Windows Operating System.

This Registry Editor can be accessed by typing “Regedit” in the Command Prompt or by simply typing “Regedit” in the search or run box from the Start menu. This editor is the portal to access the Windows registry, and it helps us to explore and make changes to the registry. The registry is the umbrella term used by various database files located within the directory of the Windows installation.

How to access Registry Editor

run regedit in command prompt shift + F10

Is it Safe to edit Registry Editor?

If you don’t know what you’re doing then it is dangerous to play around Registry configuration. Whenever you edit the Registry, make sure you follow the correct instructions and only change what you’re instructed to change.

If you knowingly or accidentally delete something in the Windows Registry then it could alter your system’s configuration which could either lead to Blue Screen of Death or Windows won’t boot.

So it is generally recommended to backup Windows Registry before making any changes to it. You can also create a system restore point (which automatically backup the Registry) that can be used if you ever need to alter the Registry settings back to normal. But if you only what you’re told then it shouldn’t be any problem. In case you need to know how to restore Windows Registry then this tutorial explains how to do so easily.

Let’s explore the structure of the Windows Registry

There is a user in an inaccessible storage location that exists for only the operating system’s access.

These Keys are loaded on to the RAM during the system boot stage and are constantly being communicated within a certain interval of time or when a certain system-level event or events take place.

A certain portion of these registry keys gets stored in the hard disk. These keys that are stored in the hard disk are called hives. This section of the registry contains registry keys, registry subkeys, and registry values. Depending on the level of the privilege a user has been granted, he would be to access certain parts of these keys.

The keys that are at the peak of the hierarchy in the registry that begins with HKEY are considered to be hives.

In the Editor, the hives are located on the left side of the screen when all the keys are viewed without expanding. These are the registry keys that appear as folders.

Let’s explore the structure of the windows registry key and its subkeys:

Example of a key name – “HKEY_LOCAL_MACHINE\SYSTEM\Input\Break\loc_0804”

Here the “loc_0804” refers to the subkey “Break” refers to the subkey “Input” which refers to the subkey “SYSTEM” of the HKEY_LOCAL_MACHINE root key.

Common Root Keys in Windows Registry

Each of the following keys is its own individual hive, which comprises more keys within the top-level key.

i. HKEY_CLASSES_ROOT

This is the registry hive of the Windows Registry which consists of file extension association information, programmatic identifier (ProgID), Interface ID (IID) data, and Class ID (CLSID).

This registry hive HKEY_CLASSES_ROOT is the gateway for any action or event to take place in the Windows operating system. Suppose we want to access some mp3 files in the Downloads folder. The operating system runs its query through this to take the required actions.

The moment you access the HKEY_CLASSES_ROOT hive, it is really easy to get overwhelmed looking at such a massive list of extension files. However, these are the very registry keys that make windows function fluidly

Following are some of the examples of HKEY_CLASSES_ROOT hive registry keys,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Whenever we double-click and open a file lets say a photo, the system sends the query through the HKEY_CLASSES_ROOT where the instructions on what to do when such a file is requested are clearly given. So the system ends up opening a photo viewer displaying the requested image.

In the above example, the registry makes a call to the keys stored in the HKEY_CLASSES_ROOT\.jpg key. The HKEY_CLASSES_ROOT hive is a collective data found in both the HKEY_LOCAL_MACHINE hive (HKEY_LOCAL_MACHINE\Software\Classes) as well as the HKEY_CURRENT_USER hive (HKEY_CURRENT_USER\Software\Classes). So when the registry key exists in two locations it creates conflicts. So the data found in HKEY_CURRENT_USER\Software\Classes is used in HKEY_ CLASSES_ ROOT. It can be accessed by opening the HKEY_CLASSES key on the left side of the screen.

ii. HKEY_LOCAL_MACHINE

This is one of the several registry hives that stores all the settings that are specific to the local computer. This is a global key where the information stored cannot be edited by any user or program. Due to the global nature of this subkey, all the information stored in this storage is in the form of a virtual container running on the RAM continuously. The majority of the configuration information for the software users have installed and the Windows operating system itself is occupied in HKEY_LOCAL_MACHINE. All of the currently detected hardware is stored in the HKEY_LOCAL_MACHINE hive.

Also know how to: Fix Regedit.exe Crashes when searching through Registry

This registry key is further divided into 7 sub-keys:

1. SAM (Security Accounts Manager) – It is a registry key file that stores users’ passwords in a secured format (in LM hash and NTLM hash). A hash function is a form of encryption used to protect the users’ account information.

It is a locked file that is located in the system at C:\WINDOWS\system32\config, which cannot be moved or copied when the operating system is running.

Windows uses the Security Accounts Manager registry key file to authenticate users while they log into their Windows accounts. Whenever a user logs in, Windows uses a series of hash algorithms to calculate a hash for the password that has been entered. If the entered password’s hash is equal to the password hash inside the SAM registry file, users will be allowed to access their account. This also a file that most of the hackers target while performing an attack.

2. Security (not accessible except by administrator) – This registry key is local to the account of the administrative user who is logged in to the current system. If the system is managed by any organization the users cannot access this file unless administrative access has been explicitly given to a user. If we were to open this file without administrative privilege it would be blank. Now, if our system is connected to an administrative network, this key will default to the local system security profile established and actively managed by the organization. This key is linked to the SAM, so upon successful authentication, depending on the privilege level of the user, a variety of local and group policies are applied.

3. System (critical boot process and other kernel functions) – This subkey contains important information related to the entire system such as computer name, currently mounted hardware devices, filesystem and what kind of automated actions can be taken in a certain event, say there is Blue screen of death due to CPU overheating, there is a logical procedure that the computer will automatically start taking in such an event. This file is only accessible by users with sufficient administrative privileges. When the system boots this is where all the logs get dynamically get saved and read upon. Various system parameters such as alternative configurations which are known as control sets.

4. Software All the Third-party software configurations such as plug and play drivers are stored here. This subkey contains software and Windows settings linked to the preexisting hardware profile that can be changed by various applications and system installers. Software developers get to limit or allow what information gets accessed by the users when their software is being used, this can be set using the “Policies” subkey that enforces the general usage policies on applications and system services that include the system certificates that is used to authenticate, authorize or disallow certain systems or services.

5. Hardware which is a subkey that is created dynamically during the system boot

6. Components system-wide device-specific component configuration information can be found here

7. BCD.dat (in the \boot folder in the system partition) which is a critical file that the system reads and starts executing during the system boot sequence by loading the registry to the RAM.

iii. HKEY_CURRENT_CONFIG

The main reason for the existence of this subkey is to store video as well as network settings. That could be all the information pertaining to the video card such as the resolution, refresh rate, aspect ratio, etc. as well as the network

It is also a registry hive, part of the Windows Registry, and which stores information about the hardware profile currently being used. HKEY_CURRENT_CONFIG is actually a pointer to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry key, This is simply a pointer to the currently active hardware profile listed under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles key.

So HKEY_ CURRENT_CONFIG helps us to view and modify the configuration of the current user’s hardware profile, which we can do as an administrator in any of the three locations as listed above since they are all the same.

iv. HKEY_CURRENT_USER

Part of the registry hives that contains store settings as well as configuration information for Windows and software that are specific to the currently logged-in user. For example, a variety of registry values in the registry keys are located in the HKEY_CURRENT_USER hive control user-level settings such as the keyboard layout, printers installed, desktop wallpaper, display settings, mapped network drives, and more.

Many of the settings you configure within various applets in the Control Panel are stored in the HKEY_CURRENT_USER registry hive. Because the HKEY_CURRENT_USER hive is user-specific, on the same computer, the keys and values contained in it will differ from user to user. This is unlike most other registry hives that are global, meaning they retain the same information across all users in Windows.

Clicking on the left side of the screen on the registry editor will give us access to HKEY_CURRENT_USER. As a security measure, the information stored on HKEY_CURRENT_USER is just a pointer to key positioned under the HKEY_USERS hive as our security identifier. Changes made to either of the areas will take effect immediately.

v. HKEY_USERS

This contains subkeys corresponding to the HKEY_CURRENT_USER keys for each user profile. This is also one of many registry hives that we have in the Windows Registry.

All the user-specific configuration data is logged here, for everyone who is actively using the device that kind information is stored under HKEY_USERS. All the user-specific information stored on the system that corresponds to a particular user is stored under the HKEY_USERS hive, we can uniquely identify the users utilizing the security identifier or the SID that logs all the configuration changes made by the user.

All of these active users whose account exist in the HKEY_USERS hive depending on the privilege granted by the system administrator would be able to access the shared resources such as printers, local network, local storage drives, desktop background, etc. Their account has certain registry keys and corresponding registry values stored under the current user’s SID.

In terms of forensic information each SID stores a huge amount of data on every user as it makes a log of every event and action get undertaken under the user’s account. This includes the User’s Name, the number of times the user logged onto the computer, the date and time of the last login, the date and time the last password was changed, number of failed logins, and so on. Additionally, it also contains the registry information for when Windows loads and sits at the login prompt.

The registry keys for the default user are stored in the file ntuser.dat within the profile, that we would have to load this as a hive using regedit to add settings for the default user.

Types of data we can expect to find in the Windows Registry

All of the above-discussed keys and subkeys will have the configurations, values, and properties saved in any of the following data types, usually, it is a combination of the following data types that makes up our entire windows registry.

String values such as Unicode which is a computing industry standard for the consistent encoding, representation, and handling of text expressed in most of the world’s writing systems.
Binary data
Unsigned integers
Symbolic links
Multi-string values
Resource list (Plug and Play hardware)
Resource descriptor (Plug and Play hardware)
64-bit integers

Conclusion

Windows Registry has been nothing less of a revolution, which not only minimized the security risk that came by using text files as a file extension to save the system and application configuration but it also reduced the number of configuration or .ini files that the application developers had to ship with their software product. The benefits of having a centralized repository to store frequently accessed data by both the system as well as the software that runs on the system are very evident.

The ease of use as well as the access to various customizations and settings in one central place has also made windows the preferred platform for desktop applications by various software developers. This is very evident if you compare the sheer volume of available desktop software applications of windows to Apple’s macOS. To summarize, we discussed how the Windows Registry works and its file structure and the significance of various registry key configurations as well as to use the registry editor to the complete effect.

Kerstin Falcon

About the author

Med en stor erfarenhet av Windows 10 och smartphones är jag en stark förespråkare av Microsoft Edge och de förmågor det ger. Förutom att vara expert på fel och wifi vet jag hur man använder verktyg som OneDrive och Cortana för att göra ditt arbete enklare.

Vad är Windows-registret och hur fungerar det?

Vad är Windows-registret(Windows Registry) och hur(How) fungerar det?

Historik för Windows-registret

Relevansen av Windows-registret(Windows Registry) med avseende på andra operativsystem

Vilka är fördelarna med Windows-registret(Windows Registry) ?

Hur fungerar Windows-registret?

Hur får jag åtkomst till Windows-registret?

Är det säkert att redigera Registereditorn?(Is it Safe to edit Registry Editor?)

Låt oss utforska strukturen för Windows-registret(Windows Registry)

Vanliga rotnycklar i Windows-registret(Common Root Keys in Windows Registry)

i. HKEY_CLASSES_ROOT

ii. HKEY_LOCAL_MACHINE

iii. HKEY_CURRENT_CONFIG

iv. HKEY_CURRENT_USER

v. HKEY_USERS

Slutsats(Conclusion)

What is the Windows Registry & How it Works?

What is the Windows Registry & How it Works?

History of Windows Registry

The relevance of Windows Registry with respect to other operating systems

What are the benefits of the Windows Registry?

How does Windows Registry Works?

How to access the Windows Registry?

Is it Safe to edit Registry Editor?

Let’s explore the structure of the Windows Registry

Common Root Keys in Windows Registry

i. HKEY_CLASSES_ROOT

ii. HKEY_LOCAL_MACHINE

iii. HKEY_CURRENT_CONFIG

iv. HKEY_CURRENT_USER

v. HKEY_USERS

Conclusion

Kerstin Falcon

About the author

Related posts

Regbak låter dig säkerhetskopiera och återställa Windows-registret enkelt

Registry Live Watch kommer att spåra ändringar i Windows Registry live

Gratis Registry Defragmenter för att defragmentera Windows-registret

Förhindra avinstallation av Chrome-tillägg med Windows-registret

3 sätt att inaktivera Windows-registret -

RegCool är en avancerad Registry Editor-programvara för Windows 11/10

Hur man bläddrar och redigerar registret från Utforskaren i Windows

Hur man säkerhetskopierar och återställer registret på Windows

Inaktivera Web Capture i Microsoft Edge med Registry i Windows 10

Aktivera helskärmsstartmenyn med hjälp av grupprincip eller register i Windows

Hur man inaktiverar Mobile Hotspot i Windows med hjälp av Registereditorn

Inaktivera vertikala flikar i Microsoft Edge med Registry i Windows 10

Inaktivera Windows-nyckel eller WinKey i Windows 11/10

Enkla frågor: Vad är Windows-registret och vad gör det?

Hur man tar bort trasiga poster i Windows-registret

Hur man tar ägarskap och full kontroll över registernycklar i Windows 11/10

Gratis Registry Cleaner, Junk File Cleaner och Windows Optimizers

Hur man reparerar eller fixar korrupt register i Windows 11/10

Ett fel förhindrar att den här nyckeln öppnas i Windows 10

Hur man säkerhetskopierar och återställer registret i Windows 11/10

Vad är Windows-registret^{(Windows Registry)} och hur^(How) fungerar det?

Relevansen av Windows-registret^{(Windows Registry)} med avseende på andra operativsystem

Vilka är fördelarna med Windows-registret^{(Windows Registry)} ?

Är det säkert att redigera Registereditorn?^{(Is it Safe to edit Registry Editor?)}

Låt oss utforska strukturen för Windows-registret^{(Windows Registry)}

Vanliga rotnycklar i Windows-registret^{(Common Root Keys in Windows Registry)}

Slutsats^(Conclusion)