Для хакера важен факт, что весь контроль доступа основан на реестре. Реестр содержит тысячи индивидуальных данных, сгруппированных в «ключи» или особый тип значений. Эти ключи, в свою очередь, группируются в ответвления директорий. Они имеют по несколько копий, что делает систему доступа более надежной. Реестр делится на несколько поддиректорий. Мы рассмотрим пять разделов:

HKEY_CLASSES_ROOT’

HKEY_CURRENT_USEF.

HKEY_LOCAL_MACHINE

HKEY_USERS

HKEY_DYN_DATA

Для хакера наиболее интересен раздел HKEY_LOCAL_MACHINE. Он содержит несколько ключей, среди которых имеется «золотой ключик»:

SECURITY — этот ключ содержит такую информацию, как права пользователя, данные о группе и пароли.

Ключи являются двоичными данными (в целях безопасности) и обычно недоступны, если только вы не имеете статуса администратора;

HARDWARE — Здесь хранится база данных, которая описывает компоненты компьютера. Драйверы и приложения встраиваются в эту базу данных во время выполнения и обновляются в процессе запуска системы.

Если вы плохо разбираетесь в 16-ричном счислении, то воздержитесь от прямого редактирования этой базы данных.

Ключ HARDWARE содержит три субключа: Description, DeviceMap и ResourceMap.

Субключ Description описывает каждый ресурс хардвара; DeviceMap определяет данные по индивидуальным группам драйверов, a ResourceMap поясняет сопряжение каждого драйвера с приписанным к нему ресурсом.

SYSTEM — Этот ключ содержит основные операционные данные (что происходит при запуске, какие драйверы загружаются, какие службы используются и т.д.). В этом ключе находится особый субключ ControlSets: уникальная система конфигураций (некоторые связаны с запуском, другие — нет), каждая из которых содержит данные служб и компонентов OS.

SOFTWARE — Здесь хранится информация о локально загружаемом софте: файловые связи, OLE-данные, информация о смешенных конфигурациях и т.д.

CONFIG — Здесь хранятся конфигурационные данные о различных конфигурациях устройств.

ENUM — Данные устройств. Здесь вы можете найти тип устройства, информацию о производителях, драйверы и конфигурацию.

NETWORK — содержит информацию о сети.

Вторым важнейшим ключом является HKEY_USERS. Он содержит субключ .Default и еще один субключ для каждого пользователя, который имеет локальный или удаленный доступ к системе. Здесь хранятся такие данные, жак настройки рабочего стола и профили пользователей. Если вы откроете субключ пользователя, то увидите пять важных субключей:

AppEvent — Содержит путь аудиофайлов, которые Windows играет при возникновении определенных событий.

Control Panel — Здесь находятся настройки, определяемые на панели управления. Обычно они хранятся в win.ini и condbd.ini.

Keyboard Layouts — Здесь содержится идентификатор той настройки кейборда, которая была определена на панели управления.