Registry là một cơ sở dữ liệu dùng để lưu trữ thông tin về những sự thay đổi, những lựa chọn, những cấu hình từ người sử dụng Windows. Registry bao gồm tất cả các thông tin về phần cứng, phần mềm, người sử dụng. Registry luôn được cập nhật khi người sử dụng tiến hành sự thay đổi trong các thành phần của Control Panel, File Associations, và một số thay đổi trong menu Options của một số ứng dụng,..
Registry xuất hiện ở hệ điều hành Windows 95 và từ đó nó cũng được sử dụng cho mọi hệ điều hành Windows. Registry thay thế các tệp tin cấu hình được sử dụng trong hệ điều hành MS-DOS, ví dụ như tệp tin config.sys và autoexec.bat. Registry cũng thay thế các tệp tin khởi tạo dựa trên các tệp tin đuôi .ini được sử dụng trong các phiên bản DOS. Registry được sử dụng bởi nhân hệ điều hành, giao diện người dùng, các thiết bị, dịch vụ và các ứng dụng khác chạy trên hệ điều hành.
Bạn đang tìm hiểu và nghiên cứu về lĩnh vực mã độc? hãy đón đọc những bài viết về phân tích mã độc của chuyên gia an ninh mạng SecurityBox TẠI ĐÂY
Cấu trúc của Windows Registry
Registry có cấu trúc hình cây, tương tự như cấu trúc của cây thư mục với rất nhiều nhánh con tỏa ra tùy theo cấu trúc ứng dụng. Thông thường Registry của Windows có 5 nhánh chính, mỗi nhánh đảm nhận viện lưu trữ những thông tin riêng biệt. Mỗi nhánh chính tỏa ra rất nhiều nhánh con và những nhánh con này cũng lưu trữ vô số thông tin đặc thù về mọi thứ có trong Windows.
Một số thành phần chính của Windows Registry
HKEY_CLASSES_ROOT (viết tắt là HKCR): Thành phần này lưu thông tin về các chương trình khi các chương trình này được thực thi trong Windows Explorer. Khóa này cũng chứa thông tin về các shortcut, điều khiển kéo-thả và giao diện người dùng.
HKEY_CURRENT_USER (viết tắt là HKCU): Thành phần này lưu thông tin về cấu hình tài khoản người dùng hiện tại đăng nhập vào hệ thống. Các dữ liệu liên quan đến màu sắc, thiết lập ứng dụng Control Panel và thư mục người dùng. Các bí danh/tên khác cho từng nhánh người dùng cụ thể có thể được tìm thấy trong khoá chính sau: HKEY_USERS
HKEY_LOCAL_MACHINE (viết tắt là HKLM): Thành phần này lưu thông tin phần cứng máy tính như thông tin hệ điều hành đang chạy. Bao gồm một danh sách các phần cứng của hệ thống và các cấu hình chung của các phần cứng và ứng dụng được cài đặt.
HKEY_USERS (viết tắt là HKU): Thành phần này lưu thông tin cấu hình của về thông tin người dùng đầy đủ trên hệ thống, liên quan đến cấu hình ứng dụng và thiết lập hình ảnh.
HKEY_CURRENT_CONFIG (viết tắt là HCU): Thành phần này lưu thông tin về cấu hình hiện tại của hệ thống.