MyTetra Share
Делитесь знаниями!
редактирование реестра Windows из Ubuntu
Время создания: 12.06.2012 15:02
Раздел: Windows
Запись: lesnik757/mytetra/master/base/1339491735xh28jlytq4/text.html на raw.githubusercontent.com

редактирование реестра Windows из Ubuntu

В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.


Редактирование реестра:


1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu


2. Устанавливаем утилиту chntpw


sudo aptitude install chntpw

3. Подключаем раздел windows


Смотрим где он:

sudo fdisk -l

ищем ntfs раздел и монтируем:

$ sudo mkdir /media/windows


$ sudo mount /dev/sda2 /media/windows

4. Редактируем реестр


chntpw -l /media/windows/Windows/system32/config/software

Редактирование осуществляется перемещением по веткам, например:

cd Microsoft\Windows NT\CurrentVersion\Winlogon

и самим редактированием ключей, например:

ed Shell


Сброс пароля:


1. Пункты 1-3 предыдущего параграфа


4. Смотрим у какого пользователя будем менять пароль


chntpw -l /media/windows/Windows/system32/config/SAM

5. Сбрасываем пароль


chntpw /media/windows/Windows/system32/config/SAM -u Administrator


Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


HKCU\Software\Microsoft\Windows\CurrentVersion\Run


Значения по умолчанию в Regedit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]


"Shell"="Explorer.exe"


"Userinit"="C:\WINDOWS\system32\userinit.exe"


Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\...

Так же в этом разделе:
 
MyTetra Share v.0.59
Яндекс индекс цитирования